Daten verschlüsseln. Inhaltsverzeichnis. 1 Einleitung. mit DM-Crypt für Linux 16. Juni 2009. 1 Einleitung 1

Ähnliche Dokumente
Daten verschlüsseln. mit GELI für FreeBSD 6.x 21. November Einleitung 1

Verschlüsselte Dateisysteme unter Linux

Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1

Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me

Verschlüsseln Sie Ihre Dateien lückenlos Verwenden Sie TrueCrypt, um Ihre Daten zu schützen.

Installationshinweise Linux Edubuntu 7.10 bei Verwendung des PC-Wächter

DNS 323 Datenwiederherstellung mit Knoppix (DVD) ab Firmware Version 1.04b84

Daten am USB Stick mit TrueCrypt schützen

Verschlüsselung von USB Sticks mit TrueCrypt

Mein eigener Homeserver mit Ubuntu LTS

EASYINSTALLER Ⅲ SuSE Linux Installation

How to install ubuntu by crypted file system

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Windows Vista Security

Verschlüsseln von USB-Sticks durch Installation und Einrichtung von TrueCrypt

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

Arbeiten mit MozBackup

LUSC Workshopweekend Verschlüsselung mit Truecrypt

Daten verschlüsseln mit TrueCrypt

Verschlüsselung Stefan Baireuther Verschlüsselung

GDI-Knoppix auf Festplatte installieren. Werner Siedenburg Stand:

Leitfaden zum Sichern einer Festplatte als Image mit der System Rescue CD

Verschlüsseln eines USB Sticks mit TrueCrypt Eine ausführliche Anleitung. Hochschule der Medien Stuttgart Christof Maier I Frank Schmelzle

Inkrementelles Backup

Verschlüsselung mit PGP. Teil 1: Installation

Installationshinweise Linux Kubuntu 9.04 bei Verwendung des PC-Wächter

Partitionieren in Vista und Windows 7/8

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2

GFAhnen Datensicherung und Datenaustausch

Die nachfolgende Anleitung zeigt die Vorgehensweise unter Microsoft Windows Vista.

Sicherer Datenaustausch mit EurOwiG AG

Leichte-Sprache-Bilder

BackMeUp. Benutzerhandbuch. CeQuadrat

Sicherer Stick Arbeiten mit TrueCrypt 7.1a

Kleines Handbuch zur Fotogalerie der Pixel AG

Windows 7 Winbuilder USB Stick

SFTP SCP - Synology Wiki

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

Installationsanleitungen

Alle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird.

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg

Dateisystem 1, Suchpfad, Befehlstypen

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Dateisystem 1, Suchpfad, Befehlstypen

Daten verschlüsseln: warum? wie? Das Programm herunterladen und auf dem USB-Stick installieren Dateien mit Challenger verschlüsseln - entschlüsseln

Wie halte ich Ordnung auf meiner Festplatte?

Die Windows 7 Sicherung im Detail

Dokumentation IBIS Monitor

Einrichten eines Exchange-Kontos mit Outlook 2010

KURZANLEITUNG DUPLICITY MIT CLOUD OBJECT STORAGE

Installation Linux agorum core Version 6.4.5

TeamSpeak3 Einrichten

Oracle VirtualBox. Zum Herunterladen für alle Betriebssysteme gibt s die VirtualBox auf:

Windows 8/8.1 RecImg-Manager

SSH Authentifizierung über Public Key

WORKSHOP VEEAM ENDPOINT BACKUP FREE

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

TrueCrypt Anleitung: Datenschutz durch Festplattenverschlüsselung

! " # $ " % & Nicki Wruck worldwidewruck

Datensicherung. Beschreibung der Datensicherung

Installationsanleitung Webhost Linux Flex

Anleitung zur Installation von Windows XP Professional und dem Multilanguage Interface

Installationsanleitung Webhost Windows Flex

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Hinweise zur Datensicherung für die - Prüfmittelverwaltung - Inhalt

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

Information zur Durchführung von. Software-Updates

Dropbox Verschlüsselung mit TrueCrypt

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

1 Einleitung. Lernziele. Symbolleiste für den Schnellzugriff anpassen. Notizenseiten drucken. eine Präsentation abwärtskompatibel speichern

Thunderbird Portable + GPG/Enigmail

Verschlüsselung auf USB Sticks

Anwenderdokumentation PersoSim

IntelliRestore Seedload und Notfallwiederherstellung

SANDBOXIE konfigurieren

Voraussetzungen: Eine aktuelle Aros Live CD Ein PC mit bootfähigem CDROM, IDE Festplatte und möglichst VESA fähiger Grafikkarte.

Benutzung der Avid Liquid Edition Schnittplätze an der Universität Innsbruck

Bayerische Versorgungskammer

DOKUMENTATION VOGELZUCHT 2015 PLUS

Import des persönlichen Zertifikats in Outlook Express

Datensicherung. Mögliche Vorgehensweisen:

icloud nicht neu, aber doch irgendwie anders

Anleitung zum Upgrade auf SFirm Datenübernahme

Durchführung der Datenübernahme nach Reisekosten 2011

Installationsanleitung für pcvisit Server (pcvisit 15.0)

Installationsanleitung bootfähiger USB-Stick PSKmail v

Handbuch zum Verschlüsselungsverfahren

STRATO Mail Einrichtung Mozilla Thunderbird

ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck

Verschlüsselung von Daten mit TrueCrypt

Fotostammtisch-Schaumburg

ecaros2 Installer procar informatik AG 1 Stand: FS 09/2012 Eschenweg Weiterstadt

Handbuch Fischertechnik-Einzelteiltabelle V3.7.3

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

SAMMEL DEINE IDENTITÄTEN::: NINA FRANK :: :: WINTERSEMESTER 08 09

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Artikel Schnittstelle über CSV

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

Zunächst empfehlen wir Ihnen die bestehenden Daten Ihres Gerätes auf USB oder im internen Speicher des Gerätes zu sichern.

Transkript:

Daten verschlüsseln mit DM-Crypt für Linux 16. Juni 2009 Inhaltsverzeichnis 1 Einleitung 1 2 DM-Crypt für Linux 3 2.1 Gedanken zum Passwort....................... 3 2.2 Verschlüsselten Container erstellen................. 4 2.3 Passwörter verwalten......................... 5 2.4 Verschlüsselten Container önen/schlieÿen............. 6 2.5 SWAP und /tmp verschlüsseln................... 8 2.6 Debian GNU/Linux komplett verschlüsseln............ 8 2.7 System komplett verschlüsseln für Genieÿer............ 9 1 Einleitung Dass die Verschlüsselung von Daten der Erhaltung einer Privatsphäre dient, bemerkt man spätestens, wenn ein USB-Stick verloren geht. Wird ein Laptop gestohlen, möchte man die Fotosammlung sicher nicht im Internet sehen. Investigative Journalisten, Rechtsanwälte und auch Priester haben das Recht und die Picht, Informationen über ihre Informanten zu schützen. Sie sollten sich frühzeitig Gedanken über ein Konzept zur Verschlüsselung machen. Eine gelesene und gespeicherte E-Mail unterliegt z.b. nicht mehr dem Postgeheimnis. Diese Beispiele zeigen, dass unterschiedliche Anforderungen an eine Verschlüsselung bestehen können. Bevor man wild anfängt, alles irgendwie zu verschlüsseln, sollte man sich Gedanken über die Bedrohung machen, gegen die man sich schützen will: 1. Schutz sensibler Daten wie z.b. Passwortlisten, Revocation Certicates o.ä. erfordert die Speicherung in einem Container oder verschlüsselten Archiv, welches auch im normalen Betrieb geschlossen ist. 2. Schutz aller persönlichen Daten bei Verlust oder Diebstahl von Laptop oder USB-Stick erfordert eine Software, die transparent arbeitet ohne den Nutzer zu behindern und bei korrekter Anmeldung möglichst automatisch den Daten-Container önet (beispielsweise TrueCrypt für WIN- DOWS oder DM-Crypt für Linux). 1

3. Backups auf externen Medien enthalten in der Regel die wichtigen privaten Daten und sollten ebenfalls verschlüsselt sein. Dabei sollte die Wiederherstellung auch bei totalem Datenverlust möglich sein. Es ist nicht sinnvoll, die Daten mit einem PGP-Schlüssel zu chirieren, der nach einem Crash nicht mehr verfügbar ist. 4. Wer eine Manipulation der Sytemdaten befürchtet, kann seinen Rechner komplett verschlüsseln (mit Truecrypt für WINDOWS, DM-Crypt für Linux oder GELI für FreeBSD) und von einem sauberen USB-Stick booten. 5. Zur Herausgabe von Schlüsseln im Fall einer Beschlagnahme des Rechners oder verschlüsselten Datenträgers gibt es immer wieder Missverständnisse. In Deutschland gelten folgende gesetzlichen Reglungen: Richten sich die Ermittlungen gegen den Besitzer des Rechners oder Datenträgers muss man grundsätzlich keine Keys herausgeben. Richten sich die Ermittlungen gegen Dritte, kann man die Herausgabe von Keys verweigern, wenn man sich auf das Recht zur Zeugnisverweigerung berufen oder glaubhaft(!) versichern kann, dass man sich damit selbst belasten würde. Im Zweifel sollte man einen Anwalt konsultieren. In Groÿbritannien ist es bereits anders. Gemäÿ dem dort seit Oktober 2007 geltendem RIPA-Gesetz können Nutzer von Verschlüsselung unter Strafandrohung zur Herausgabe der Schlüssel gezwungen werden. Das diese Reglung nicht auf schwere Verbrechen beschränkt ist, kann man bei Heise nachlesen. 2

2 DM-Crypt für Linux DM-Crypt ist seit Version 2.6.4 fester Bestandteil des Linux-Kernels und somit in allen aktuellen Distributionen enthalten. Es nutzt den Device-Mapper. Folgende Software wird auÿerdem benötigt: Das Tool cryptsetup (mit LUKS-Support) kann zum Erstellen, Önen und Schlieÿen der verschlüsselten Container eingesetzt werden. Aktuelle Distributionen enthalten es: Debian GNU/Linux im Packet cryptsetup, SuSE-Linux im Packet util-linux-crypto. Für OpenSuSE 10.0 und älter bietet das Packman-Repository unter http://packman.links2linux.org/package/cryptsetup-luks ein aktuelles Packet mit LUKS Support. Einige Distributionen installieren das Tool unter dem Namen cryptsetup-luks. Die im Folgenden beschrieben Befehlen sind dann entsprechend anzupassen. Besser wäre es, einen Link zu erstellen. Dann funktionieren auch die Scripte mount.crypt und umount.crypt aus der Sammlung pam-mount. # ln -s /usr/sbin/cryptsetup-luks /sbin/cryptsetup Das Packet pmount enthält einen Wrapper für mount, welcher automatisch verschlüsselte Laufwerke erkennt und vor dem Einbinden das Passwort abfragt. Aktuelle Debian-Distributionen verwenden es standardmäÿig. Die Sammlung pam-mount enthält weitere Scripte, welche das Önen und Schlieÿen verschlüsselter Container vereinfachen. Benötigt wird mindestens die Version 0.13. Aktuelle Distributionen enthalten meist schon eine höhere Version. 2.1 Gedanken zum Passwort An Stelle von Passwort sollte man vielleicht die Bezeichnung Passphrase bevorzugen. Sie suggeriert, dass es auch ein wenig länger sein darf und dass Leerzeichen durchaus erlaubt sind. Eine gute Passphrase sollte leicht merkbar aber schwer zu erraten sein. Auÿer Buchstaben sollte sie auch Zahlen und Sonderzeichen enthalten und etwa 20 Zeichen lang sein. Soetwas schüttelt man nicht einfach aus dem Ärmel. Wie wäre es mit folgender Phrase: das geht nur %mich% _AN_ Zusätzlich zur Passphrase können auch Keyles als Schlüssel genutzt werden. Damit ist es möglich, eine Zwei-Faktor-Authentizierung aufzubauen: eine Passphrase, die man im Kopf hat, und ein Keyle, welches man in der Hand hat. Ein Angreifer müsste beides erlangen. 3

Die LUKS-Erweiterung von cryptsetup erlaubt es, bis zu 8 Passphrasen und Keyles zum Önen eines Containers zu nutzen. Damit ist es möglich, mehreren Nutzern den Zugri mit einem eigenen Passwort zu erlauben. Soll ein verschlüsselter Container mit dem Login eines Nutzers automatisch geönet werden, muss eines der 8 möglichen Passwörter mit dem Login-Passwort des Nutzers identisch sein. Login-Manager wie KDM oder GDM können das eingegebene Passwort an das pam-mount Modul weiterreichen. Dieses Feature kann beispielsweise für ein verschlüsseltes /home Verzeichnis genutzt werden. WICHTIG: bei Änderung des Login-Passwortes muss auch das Paswort für den Container geändert werden. Sie werden nicht automatisch synchronisiert. 2.2 Verschlüsselten Container erstellen Alle folgenden Schritte sind mit der UID root auszuführen. Zum Aufwärmen soll zuerst die Partition /dev/hda4 verschlüsselt werden: # luksformat -t ext3 /dev/hda4 Das ist alles. Der Vorgang dauert ein wenig und es wird 3x die Passphrase abgefragt. Ein Keyle kann dieses Script nicht nutzen! Am Beispiel einer verschlüsselten Containerdatei werden die einzelnen Schritte beschrieben, welche das Script luksformat aufruft: 1. Zuerst ist ein leeres Image zu erstellen. Im Beispiel wird es unter dem Dateinamen geheim.luks im aktuellen Verzeichnis erstellt. Der Parameter count legt die Gröÿe in MByte fest. Anschlieÿend ist das Image als Loop- Device einzubinden. Das Kommando losetup -f ermittelt das nächste freie Loop-Device: # dd if=/dev/zero of=geheim.luks bs=1m count=100 # losetup -f /dev/loop5 # losetup /dev/loop5 geheim.luks 2. Die ersten 2 MByte sind mit Zufallswerten zu füllen. Das Füllen der gesamten Datei würde sehr lange dauern und ist nicht nötig: # dd if=/dev/urandom of=/dev/loop5 bs=1m count=2 3. Anschlieÿend erfolgt die LUKS-Formatierung mit der Festlegung der Verschlüsselung. Die Option -y veranlaÿt eine doppelte Abfrage des Passwortes, das keyle ist optional # cryptsetup luksformat -c aes-cbc-essiv:sha256 -s 256 -y /dev/loop5 [ keyfile ] 4

4. Das formatierte Device wird dem Device-Mapper unterstellt. Dabei wird das zuvor eingegebene Passwort abgefragt. Das Keyle ist nur anzugeben, wenn es auch im vorherigen Schritt verwendet wurde. Der <name> kann frei gewählt werden. Unter /dev/mapper/<name> wird später auf den verschlüsselten Container zugegrien: # cryptsetup luksopen /dev/loop5 <name> [ keyfile ] 5. Wer paranoid ist, kann das verschlüsselte Volume mit Zufallszahlen füllen. Der Vorgang dauert sehr lange: # dd if=/dev/urandom of=/dev/mapper/<name> 6. Ein Dateisystem wird auf dem Volume angelegt: # mkfs.ext3 /dev/mapper/<name> 7. Das Volume ist nun vorbereitet und wird wieder geschlossen: # cryptsetup luksclose <name> 8. Die Containerdatei wird ausgehängt: # losetup -d /dev/loop5 Soll eine gesamte Partition verschlüsselt werden (Festplatte oder USB-Stick), entfallen die Schritte 1 und 8. Das in den Schritten 2-7 als Beispiel genutzte Device /dev/loop5 ist durch die Partition zu ersetzen, beispielsweise /dev/hda5 oder /dev/sdb1. Auÿerdem sollte ein Backup der Daten zuvor erfolgen. 2.3 Passwörter verwalten Mit root-rechten ist es möglich, bis zu 7 zusätzliche Passwörter für das Önen eines Containers festzulegen oder einzelne Passwörter wieder zu löschen. Für das Hinzufügen eines Passwortes zu der verschlüsselten Imagedatei geheim.img im aktuellen Verzeichnis ist diese zuerst einzuhängen, beispielsweise als /dev/loop5. Dieser Schritt entfällt für Partitionen: # losetup /dev/loop5 geheim.luks Das Hinzufügen eines Passwortes und damit eines neuen Keyslots erfolgt mit folgendem Kommando, wobei als <device> beispielsweise /dev/loop5 für die eingebundene Imagedatei oder /dev/hda5 für eine Festplattenpartition anzugeben ist. Das Keyle ist optional. # cryptsetup luksaddkey <device> [ keyfile ] Ein Keyslot und das zugehörige Passwort können mit folgendem Kommando wieder entfernt werden: # cryptsetup lukskillslot <device> <slot> Als <slot> ist die Nummer des Keyslots anzugeben, eine Zahl von 0 is7. Es ist also nötig, sich zu merken, welches Passort auf welchen Keyslot gelegt wurde. 5

2.4 Verschlüsselten Container önen/schlieÿen Aktuelle Distributionen wie Debian oder Ubuntu (GNOME-Desktop!) erkennen verschlüsselte Partitionen auf Festplatten und USB-Sticks automatisch und fragen die Passphrase ab, sobald das Gerät erkannt wird. Einfach Anschlieÿen, auf den Passwort-Dialog warten - fertig. Mit Containerdateien ist es etwas schwieriger. Auf der Kommandozeile Die Sammlung pam-mount enthält zwei Scripte, welche die Arbeit mit verschlüsselten Containern vereinfachen. Wurde auÿerdem sudo entsprechend konguriert, stehen die folgenden Kommandos jedem Nutzer zur Verfügung. Alternativ kann auch pmount bzw. pumount genutzt werden. Diese beiden Scripte arbeiten mit User-Privilegien und binden die Partition unter /media ein. Eine verschlüsselte Partition (beispielsweise der USB-Stick unter /dev/sda1) kann mit folgendem Kommandos geönet werden: > pmount /dev/sda1 Enter LUKS passphrase: oder: > sudo /sbin/mount.crypt /dev/hda5 /mnt Enter LUKS passphrase: Das folgende Kommando önet die verschlüsselte Imagedatei geheim.img im aktuellen Verzeichnis und hängt sie unter /mnt in das Dateisystem ein: > sudo /sbin/mount.crypt geheim.luks /mnt -o loop Enter LUKS passphrase: Geschlossen wird der Container mit folgendem Komando: > pumount /dev/sda1 oder: > sudo /sbin/umount.crypt /mnt Für häug genutzte Container könnte man einen Menüeintrag oder ein Desktop-Icon anlegen. Dabei ist zu beachten, dass die Option Im Terminal ausführen aktiviert wird! Anderenfalls kann man keine Passphrase eingeben. Für jene, die es genau wissen wollen Das Önen einer Containerdatei auf der Komadozeile erfordert drei Schritte als root. Als erstes ist die verschlüsselte Imagedatei einzuhängen. Dieser Schritt entfällt für Partitionen. Im zweiten Schritt ist das verschlüsselte Device dem Device-Mapper zu unterstellen. Der Name kann dabei frei gewählt werden. Im dritten Schritt kann es mit mount in das Dateisystem eingehängt werden, beispielsweise nach /mnt. 6

# losetup /dev/loop5 geheim.luks # cryptsetup luksopen /dev/loop5 <name> [ keyfile ] # mount /dev/mapper/<name> /mnt Das Schlieÿen des Containers erfolgt in umgekehrter Reihenfolge: # umount /mnt # cryptsetup luksclose <name> # losetup -d /dev/loop5 Komfortabel beim Login Mit Hilfe des Modules pam-mount ist es möglich, das Anmeldepasswort eines Nutzers zu nutzen, um standardmäÿig beim Login einen oder mehrere Container zu önen. Insbesondere für verschlüsselte /home Partitionen ist dies sinnvoll und komfortabel. Folgende Kongurationen sind für einen Crypto-Login anzupassen: 1. PAM-Konguration: Dem PAM-Dämon ist mitzuteilen, dass er das Modul mount zu verwenden hat und das Login-Passwort zu übergeben ist. Gut vorbereitete Distributionen wie Debian und aktuelle Ubuntu(s) benötigen nur einen Eintrag in den Dateien /etc/pam.d/login, /etc/pam.d/kdm und /etc/pam.d/gdm: @include common-pammount Die Datei ccommon-pammount ist vor dem Modul auth! zu laden und enthält in der Regel folgende Zeilen: auth required pam_mount.so try_first_pass session optional pam_mount.so 2. pam-mount Modul: Das Modul wird in der Datei /etc/security/pam_mount.conf konguriert. Am Ende der Datei ist einzufügen, welche Volumes bei Anmeldung geönet werden sollen. Im Beispiel wird für alle Mitglieder der Gruppe users die Partition /dev/hda5 als /home eingebunden: volume users crypt - /dev/hda5 /home - - - 3. login.defs: Um zu gewährleisten, dass die eingehängten Volumes nach dem Abmelden auch wieder geschlossen werden, ist in der Datei /etc/login.defs folgende Option zu setzen (in der Regel bereits vorhanden): CLOSE_SESSIONS yes 4. fstab: Da beim Booten beispielweise das Verzeichnis /home nicht mehr eingebunden werden soll, ist der entsprechende Eintrag in der Datei /etc/fstab zu löschen. 7

2.5 SWAP und /tmp verschlüsseln Das /tmp-verzeichnis und der SWAP Bereich können unter Umständen persönliche Informationen enthalten, die im Verlauf der Arbeit mit dem Laptop dorthin ausgelagert wurden. Beide Bereiche können im Bootprozess als neue verschlüsselte Partitionen mit einem zufälligen Passwort initialisiert und eingebunden werden. Mit dem Ausschalten des Rechners ist das Passwort verloren und ein Zugri auf diese Daten nicht mehr möglich. Achtung: Suspend-to-RAM und Suspend-to-Disk funtionieren mit einer verschlüsselten SWAP-Partition noch nicht. Die Community arbeitet jedoch an diesem Problem. Debian GNU/Linux Debian und Ubuntu enthalten ein Init-Script, welches eine einfache Verschlüsselung der swap und /tmp Bereiche ermöglicht, wenn diese auf einer eigenen Partition liegen. In der Datei /etc/crypttab sind die folgenden Zeilen hinzuzufügen, wobei /dev/hda5 und /dev/hda8 durch die jeweils genutzten Partitionen zu ersetzen sind: cryptswp /dev/hda5 /dev/urandom swap crypttmp /dev/hda8 /dev/urandom tmp In der Datei /etc/fstab, welche die beim Bootprozess zu mountenden Partitionen enthält, sind die Einträge für swap und /tmp anzupassen: /dev/mapper/cryptswp none swap sw 0 0 /dev/mapper/crypttmp /tmp ext2 defaults 0 0 Anschlieÿend ist der Rechner neu zu booten und beide Partitionen sind verschlüsselt. Achtung: Die Partition für TMP darf kein Dateisystem enthalten! Soll eine bereits verwendete TMP-Partionion verschlüsselt werden, ist diese erst einmal nach dem Beenden des X-Servers(!) zu dismounten und zu überschreiben: # umount /tmp # dd if=/dev/zero of=/dev/hda8 2.6 Debian GNU/Linux komplett verschlüsseln In einem komplett verschlüsselten Sytem sind sowohl die Daten als auch die Systemkonguration und Software verschlüsselt. Debian ab Version 4.0r1 (etch) bietet bereits beim Installieren die Option, ein komplett verschlüssltes System unter Ausnutzung der gesamten Festplatte zu installieren. Lediglich für /boot bleibt ein kleiner unverschlüsslter Bereich. 8

Um diese einfache Variante zu nutzen, wählt man im Installations-Dialog Festplatte partitionieren die Option Geführt - gesamte Platte mit verschlüsseltem LVM. Im folgenden Schritt ist die Passphrase einzugeben, welche das System sichert. Diese Passphrase wird später bei jedem Bootvorgang abgefragt. Ubuntu-Nutzer können die alternate desktop CD nutzen, welche ebenfalls dieses Feature bietet. Die Standard-Edition von Ubuntu bietet dieses Feature nicht! 2.7 System komplett verschlüsseln für Genieÿer Wer mehrere Betriebssysteme auf seinem Rechner hat oder /boot für die ultimative Sicherheit gern auf dem USB-Stick mit sich trägt, kann schrittweise vorgehen. Die folgende Anleitung wurde mit Debian 4.0 (etch) getestet, sie sollte auch mit den Ubuntus funktionieren. Für SuSE und Red Hat sind Anpasungen nötig. Da kein Rechner von einem verschlüsselten Dateisystem booten kann, liegen der Bootloader und die initrd auf einem unverschlüsselten USB-Stick, der sicher aufzubewahren ist. Eine komlette Verschlüsselung ist ein tiefer Eingri, man verbindet es am besten mit einer Neuinstallation. Platte partitionieren Für die Umsetzung dieses HowTo benötigt man 4 Partitionen, zwei Vorschläge für die Partitionierung einer 80GB Festplatte: ohne WINDOWS mit WINDOWS /dev/hda1 WINDOWS /dev/hda2 erweiterte Partition /dev/hda1 /dev/hda5 Root-Partition (10-13GB) /dev/hda2 /dev/hda6 swap (1-2GB) /dev/hda3 /dev/hda7 /tmp (4 GB) /dev/hda4 /dev/hda8 /home (Rest) Ich benötige WINDOWS nicht und verwende im folgenden die erste Partitionierung. Der USB-Stick ist bei mir unter /dev/sda1 zu nden. Debian installieren Die Installation von Debian oder Ubuntu erfolgt zuerst einmal auf die später für /home genutzte Partition /dev/hda4 und wird später in die verschlüsselte Root-Partition verschoben. Bei der Installation sind keine(!!!) User anzulegen. Auch die Pakete yaird, cryptsetup und pammount sind zu installieren. Verschlüsseln der Root-Partition Wie unter Container erstellen beschrieben, wird die zukünftige Root-Partition verschlüsselt. Anschlieÿend wird das System in die neue Root-Partition kopiert: # mkdir /cryptroot # mount.crypt /dev/hda1 /cryptroot 9

# cd / # cp -ax bin etc dev home lib media opt root sbin usr var /cryptroot USB-Stick vorbereiten Der USB-Stick soll alles nötige für das Booten des Rechners enthalten. Nachdem er am Rechner angeschlossen wurde, kann man mit folgendem Kommando feststellen, unter welcher Device-Kennung er zu nden ist: # ls /dev/sd?1 Das letzte Device in der Liste ist der USB-Stick, wenn die Festplatte eine IDE-Platte ist, ndet man den Stick als /dev/sda1, hat man eine SCSI- oder SATA-Platte, ist der Stick meist unter /dev/sdb1 zu nden. Ich verwende im folgenden /dev/sda1. Dieser Stick wird erst einmal neu formatiert, anschlieÿend eingebunden, der Inhalt von /boot wird auf den Stick kopiert und ein symbolischer Link ist anzulegen, damit grub-install nicht durcheinander kommt. # mkfs.ext2 /dev/sda1 # mount /dev/sda1 /mnt # cp -ax /boot/* /mnt # cd /mnt # ln -s. boot Einige kleine Anpassungen sind in der Grub-Konguration nötig. In der Datei /mnt/grub/device.map ist folgender Eintrag erforderlich: (hd0,0) /dev/sda In der Datei /mnt/grub/menu.lst sind alle Einträge für den Kernel auf kernel (hd0,0) zu ändern. Abschlieÿend ist der Bootloader Grub im Master Boot Record des USB-Sticks zu installieren: # grub-install --root-directory=/mnt /dev/sda Danach kann der USB-Stick wieder entfernt werden. Das neue System vorbereiten Jetzt ist es Zeit, in das verschlüsselte zu System wechseln und dort die fehlenden Mountpoints anzulegen: # chroot /cryptroot # mkdir -p /boot /proc /sys /tmp /mnt # mount -t proc proc /proc # mount -t sysfs sysfs /sys # mount /dev/sda1 /boot Da beim Booten des Systems die verschlüsselten Partitionen für ROOT, SWAP und TMP geönet werden sollen, sind die beiden Dateien /etc/crypttab: 10

cryptroot /dev/hda1 none luks,cipher=aes-cbc-essiv:sha256 cryptswp /dev/hda2 /dev/urandom swap crypttmp /dev/hda3 /dev/urandom tmp und /etc/fstab anzupassen: /dev/mapper/cryptroot / ext3 defaults,errors=remount-ro 0 1 /dev/mapper/cryptswp none swap sw 0 0 /dev/mapper/crypttmp /tmp ext2 defaults 0 0 Um von einem verschlüsselten Root-dateisystem booten zu können, müssen die nötigen Module in der initrd enthalten sein und das virtuelle Device /dev/mapper/cryptroot muss als Root eingebunden werden. Es ist also eine neue initrd zu generieren. Als Vorbereitung sind in der Datei /etc/mkinitrd/modules folgende Zeilen hinzuzufügen: aes-i586 sha256 Folgendes Kommando erzeugt eine neue initrd: # yaird -o /boot/initrd Anschlieÿend kann der Rchner neu gebootet werden. Dabei ist im BIOS des Rechners die Bootreihenfolge anzupassen. Als erstes ist vom USB-Stick zu booten. An zweiter Stelle steht die Festplatte, wenn auch WINDOWS genutzt werdn soll. Alle weiteren Geräte können deaktiviert werden. Die Kennzeichnung des USB-Sticks ist in fast jedem BIOS unterschiedlich. Übliche Bezeichnungen sind Generic Storage Device oder Removable Drivers. User anlegen Nachdem das System erfolgreich wieder hochgekommen ist, kann die letzte Partition /dev/hda4 verschlüsselt werden (siehe Container erstellen) und als /home eingebunden werden. Es können die User angelegt werden usw. Die Partition /dev/hda4 wird nicht beim Booten geönet, sondern wenn sich ein User am System anmeldet (siehe Komfortabel beim Login). Die Login- Passwörter der User sind auch als Schlüssel zum Önen der Partition /dev/hda4 hinzuzufügen (siehe Passwörter verwalten). Damit ist die Zahl der möglichen User auf 8 begrenzt, das sollte in der Regel kein Problem sein. 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback