Table of Contents

Festplatte verschlüsseln

Verschlüsseln der Daten auf einer Partion, einer ganzen Platte oder einem Raid.
ACHTUNG! Es gehen ALLE Daten auf der Platte oder dem Raid oder was auch immer VERLOREN!

1.) Installieren der Verschlüsselung

apt-get install cryptsetup dmsetup

2.) Daten mit Random-Zahlen überschreiben (kein muss)

Von außen kann man später die verschlüsselten Daten nicht von den leeren Bereichen mit Zufallswerten unterscheiden. Außerdem werden dabei alte noch vorhandene Datenreste überschrieben. 

dd if=/dev/urandom of=/dev/md0 bs=10M

Man kann sich so ansehen wie weit man schon ist 

kill -USR1 <dd-pid>

3.) Platte verschlüsseln inkl. Formatierung

Bei “Are you sure?” umbedingt YES eingeben. GROSS!
Danach muss das Passwort für die Verschlüsselung angegeben werden. 

luksformat -t ext4 /dev/md0

Wenn hier ein Fehler bezüglich /proc/misc: No entry for device-mapper found kann sich damit helfen 

modprobe dm-mod

4.) Verschlüsselung öffnen mit dem Passwort und mounten

mkdir -p /mnt/raid
cryptsetup luksOpen /dev/md0 md0_raid
mount /dev/mapper/md0_raid /mnt/raid/

==== 5.) Verschlüsselung schließen und unmount ==== 

umount /mnt/raid
cryptsetup luksClose /dev/mapper/md0_raid

6.) Platte/Raid automatisch mounten beim Systemstart

Hier gibt es verschiedene Möglichkeiten.

6A.) Platte beim Systemstart mounten aber PW muss per Hand eingegeben werden

In der /etc/crypttab muss folgendes eingetragen werden. 

# <target name> <source device>         <key file>      <options>
md0_raid        /dev/md0                none            luks

In der /etc/fstab noch zusätzlich 

/dev/mapper/md0_raid    /mnt/raid       ext4    auto,defaults   0 0

6B.) Key-File statt Passwort beim Systemstart

Als erstes erstellen wir uns ein File mit Random-Zahlen 

dd if=/dev/urandom of=/root/key bs=8k count=1

Key in das File generieren 

cryptsetup luksAddKey /dev/md0 /root/key

Key Testen 

cryptsetup luksOpen /dev/md0 md0_raid --key-file /root/key

Natürlich kann man dies auch in die /etc/crypttab eintragen mit dem Key-File 

# <target name> <source device>         <key file>      <options>
md0_raid        /dev/md0                /mnt/usbstick/key               luks

Das Key-File spielen wir jetzt auf einen USB-Stick.
Zusätzlich muss es für den USB-Stick einen eintrag inder /etc/fstab geben

Danach müssen wir noch den Mount-Point des Sticks in der /etc/default/cryptdisk Eintragen. 

CRYPTDISKS_MOUNT="/mnt/usbstick/"

Zur sicherheit machen wir noch ein 

update-initramfs -u

Beim Systemstart wird jetzt der USB-Stick gemountet und das Key-File ausgelesen. Sind die Platten geöffnet worden wird der Stick wieder ungemountet und kann abgezogen werden.