====== Festplatte verschlüsseln ======

Verschlüsseln der Daten auf einer Partion, einer ganzen Platte oder einem Raid. \\
ACHTUNG! Es gehen ALLE Daten auf der Platte oder dem Raid oder was auch immer VERLOREN!

----

==== 1.) Installieren der Verschlüsselung ====
<code>
apt-get install cryptsetup dmsetup
</code>

----

==== 2.) Daten mit Random-Zahlen überschreiben (kein muss) ====
Von außen kann man später die verschlüsselten Daten nicht von den leeren Bereichen mit Zufallswerten unterscheiden. Außerdem werden dabei alte noch vorhandene Datenreste überschrieben.
<code>
dd if=/dev/urandom of=/dev/md0 bs=10M
</code>

Man kann sich so ansehen wie weit man schon ist
<code>
kill -USR1 <dd-pid>
</code>

----

==== 3.) Platte verschlüsseln inkl. Formatierung ====
Bei "Are you sure?" umbedingt YES eingeben. GROSS! \\
Danach muss das Passwort für die Verschlüsselung angegeben werden.
<code>
luksformat -t ext4 /dev/md0
</code>

Wenn hier ein Fehler bezüglich /proc/misc: No entry for device-mapper found kann sich damit helfen
<code>
modprobe dm-mod
</code>

----

==== 4.) Verschlüsselung öffnen mit dem Passwort und mounten ====
<code>
mkdir -p /mnt/raid
cryptsetup luksOpen /dev/md0 md0_raid
mount /dev/mapper/md0_raid /mnt/raid/
</code>

----
==== 
5.) Verschlüsselung schließen und unmount ====
<code>
umount /mnt/raid
cryptsetup luksClose /dev/mapper/md0_raid
</code>

----

==== 6.) Platte/Raid automatisch mounten beim Systemstart ====
Hier gibt es verschiedene Möglichkeiten.

=== 6A.) Platte beim Systemstart mounten aber PW muss per Hand eingegeben werden ===

In der /etc/crypttab muss folgendes eingetragen werden.
<code>
# <target name> <source device>         <key file>      <options>
md0_raid        /dev/md0                none            luks
</code>

In der /etc/fstab noch zusätzlich
<code>
/dev/mapper/md0_raid    /mnt/raid       ext4    auto,defaults   0 0
</code>

=== 6B.) Key-File statt Passwort beim Systemstart ===
Als erstes erstellen wir uns ein File mit Random-Zahlen
<code>
dd if=/dev/urandom of=/root/key bs=8k count=1
</code>

Key in das File generieren
<code>
cryptsetup luksAddKey /dev/md0 /root/key
</code>

Key Testen
<code>
cryptsetup luksOpen /dev/md0 md0_raid --key-file /root/key
</code>

Natürlich kann man dies auch in die /etc/crypttab eintragen mit dem Key-File
<code>
# <target name> <source device>         <key file>      <options>
md0_raid        /dev/md0                /mnt/usbstick/key               luks
</code>

Das Key-File spielen wir jetzt auf einen USB-Stick. \\
Zusätzlich muss es für den USB-Stick einen eintrag inder /etc/fstab geben

Danach müssen wir noch den Mount-Point des Sticks in der /etc/default/cryptdisk Eintragen.
<code>
CRYPTDISKS_MOUNT="/mnt/usbstick/"
</code>

Zur sicherheit machen wir noch ein
<code>
update-initramfs -u
</code>

Beim Systemstart wird jetzt der USB-Stick gemountet und das Key-File ausgelesen. Sind die Platten geöffnet worden wird der Stick wieder ungemountet und kann abgezogen werden.