Version 1.1
Stand: 01.04.2015
Author: F4RR3LL|Sven
E-Mail: sven.richter@nixhelp.de
Wer nach diesem Wiki eine from scratch Installation durchgeführt hat, der hatte die Möglichkeit Speicher frei zu lassen für LVM / Crypt.
Hier erkläre ich wie man den Speicher mit DM-Crypt verschlüsseln kann.
In diesem Beispiel nutze ich sda4 (passend zum wheezy und jessie from scratch howto), Du kannst aber natürlich auch jede beliebige andere Partition nutzen. (überall wo hier /dev/sda4 genutzt wird logisch ergänzen)
apt-get update && apt-get install cryptsetup -y
Sollte der Kernel entsprechend Compiliert sein, so muss das Modul nicht gesondert geladen werden.
(Wer einen Server mit OVH Kernel ohne Modulsupport nutzt kann diesen Teil auslassen)
Ansonsten wird das Modul geladen mit:
modprobe dm_mod
Mit folgendem Befehl wird es auch Rebootfest:
echo 'dm_mod' >> /etc/modules
Jetzt wird die Partition sda4 verschlüsselt. Dabei muss in Großbuchstaben YES eingegeben werden.
Anschließend musst Du dein Passwort eingeben. Hier nutzt Du dein supergeheimes extrem langes, von völlig irren Zeichen durchsähtes Passwort, welches Du für die verschlüsselte Partition benutzten möchtest.
Das Passwort muss zwei mal eingegeben werden.
cryptsetup luksFormat /dev/sda4
Jetzt wird die Partition geöffnet (hier ist wiederum die Passworteingabe nötig), formatiert und als Verzeichnis /home eingebunden. (An Stelle von /home kann natürlich auch ein anderes Verzeichnis benutzt werden, hierzu ist evtl ein mkdir /$ort/$verzeichnisname nötig.
cryptsetup luksOpen /dev/sda4 sda4_crypt
mkfs.ext4 /dev/mapper/sda4_crypt && mount /dev/mapper/sda4_crypt /home
Um bei zukünftigen Systemstarts das Öffnen der verschlüsselten Partition zu automatisieren wird ein Script angelegt.
cat > /root/dm-crypt.bash << "EOF" echo dm-crypt Passworteingabe cryptsetup luksOpen /dev/sda4 sda4_crypt && mount /dev/mapper/sda4_crypt /home/ EOF
Nun wird das Startscript noch ausführbar gemacht mit:
chmod 700 /root/dm-crypt.bash
Um nun nach einem Neustart des Servers die verschlüsselte Partition wieder einzuhängen ist nur noch folgender Befehl auf der Console / Putty, gefolgt vom supergeheimen Passwort nötig:
/root/dm-crypt.bash