Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:dm-crypt-verschlusselung

Dm-Crypt Verschlüsselung einer Partition

Version 1.1
Stand: 01.04.2015

Author: F4RR3LL|Sven
E-Mail: sven.richter@nixhelp.de



1. Vorbereitung


Wer nach diesem Wiki eine from scratch Installation durchgeführt hat, der hatte die Möglichkeit Speicher frei zu lassen für LVM / Crypt.
Hier erkläre ich wie man den Speicher mit DM-Crypt verschlüsseln kann.
In diesem Beispiel nutze ich sda4 (passend zum wheezy und jessie from scratch howto), Du kannst aber natürlich auch jede beliebige andere Partition nutzen. (überall wo hier /dev/sda4 genutzt wird logisch ergänzen)

Benötigte Pakete installieren und Module laden

apt-get update && apt-get install cryptsetup -y


Sollte der Kernel entsprechend Compiliert sein, so muss das Modul nicht gesondert geladen werden.
(Wer einen Server mit OVH Kernel ohne Modulsupport nutzt kann diesen Teil auslassen)
Ansonsten wird das Modul geladen mit:

modprobe dm_mod

Mit folgendem Befehl wird es auch Rebootfest:

echo 'dm_mod' >> /etc/modules


2. Partition verschlüsseln und formatieren

Jetzt wird die Partition sda4 verschlüsselt. Dabei muss in Großbuchstaben YES eingegeben werden.

Anschließend musst Du dein Passwort eingeben. Hier nutzt Du dein supergeheimes extrem langes, von völlig irren Zeichen durchsähtes Passwort, welches Du für die verschlüsselte Partition benutzten möchtest.
Das Passwort muss zwei mal eingegeben werden.

cryptsetup luksFormat /dev/sda4


Jetzt wird die Partition geöffnet (hier ist wiederum die Passworteingabe nötig), formatiert und als Verzeichnis /home eingebunden. (An Stelle von /home kann natürlich auch ein anderes Verzeichnis benutzt werden, hierzu ist evtl ein mkdir /$ort/$verzeichnisname nötig.

cryptsetup luksOpen /dev/sda4 sda4_crypt
mkfs.ext4 /dev/mapper/sda4_crypt &&
mount /dev/mapper/sda4_crypt /home

3. Startskript anlegen



Um bei zukünftigen Systemstarts das Öffnen der verschlüsselten Partition zu automatisieren wird ein Script angelegt.

cat > /root/dm-crypt.bash << "EOF"
echo dm-crypt Passworteingabe
cryptsetup luksOpen /dev/sda4 sda4_crypt && mount /dev/mapper/sda4_crypt /home/
EOF



Nun wird das Startscript noch ausführbar gemacht mit:

chmod 700 /root/dm-crypt.bash

Um nun nach einem Neustart des Servers die verschlüsselte Partition wieder einzuhängen ist nur noch folgender Befehl auf der Console / Putty, gefolgt vom supergeheimen Passwort nötig:

/root/dm-crypt.bash






howto/dm-crypt-verschlusselung.txt · Zuletzt geändert: 2015/04/20 15:45 (Externe Bearbeitung)

Seiten-Werkzeuge