Dm-crypt: Unterschied zwischen den Versionen

Aus wiki.archlinux.de
Zeile 11: Zeile 11:


Hier soll es darum gehen, die Festplatte komplett zu verschlüsseln. Das heißt die komplette root- und die komplette home-Partition werden verschlüsselt und beim starten des Systems automatisch eingebunden.
Hier soll es darum gehen, die Festplatte komplett zu verschlüsseln. Das heißt die komplette root- und die komplette home-Partition werden verschlüsselt und beim starten des Systems automatisch eingebunden.
Vorher sollte alle Daten auf der Festplatte gesichert werden. Es wird keine Haftung für den Verlust oder die Beschädigung der eigenen Daten übernommen.


Zu allererst sollte von der ArchLinux-Installations-CD gebootet werden und evtl. das Tastaturlayout auf deutsch umgestellt werden.
Zu allererst sollte von der ArchLinux-Installations-CD gebootet werden und evtl. das Tastaturlayout auf deutsch umgestellt werden.

Version vom 21. April 2007, 09:56 Uhr

An diesem Artikel arbeitet gerade jemand. Um Bearbeitungskonflikte zu vermeiden, warte bitte mit Änderungen, bis diese Markierung entfernt ist, oder kontaktiere den Bearbeiter ({{{1}}}).


Festplatte verschlüsseln

Hier soll es darum gehen, die Festplatte komplett zu verschlüsseln. Das heißt die komplette root- und die komplette home-Partition werden verschlüsselt und beim starten des Systems automatisch eingebunden. Vorher sollte alle Daten auf der Festplatte gesichert werden. Es wird keine Haftung für den Verlust oder die Beschädigung der eigenen Daten übernommen.

Zu allererst sollte von der ArchLinux-Installations-CD gebootet werden und evtl. das Tastaturlayout auf deutsch umgestellt werden.

1. Partitionslayout festlegen

Die Festplatte sollte für alle folgenden Schritte folgendermaßen partitioniert sein:

  /dev/hda1 -> /boot (ca. 100 MB)
  /dev/hda2 -> swap (je nach Größe des Arbeitsspeichers, bei mir 512 MB)
  /dev/hda3 -> /
  /dev/hda4 -> /home

Die Größe der einzelnen Partitionen kann variieren.

2. Crypto-Devices anlegen

Als nächstes legen wir unsere Crypto-Devices an.

Für die root-Partition:

  # cryptsetup luksFormat /dev/hda3 --cipher aes-cbc-essiv:sha256 --verify-passphase --key-size 256
  Passwort zweimal eingeben. 
  ACHTUNG: Das Passwort sollte ausreichend lang sein, also mindestens 16 stellig. 
  # mkdir /mnt/root
  # cryptsetup luksOpen /dev/hda3 root
  Passwort eingeben
  Formatieren der Partition mit ext3: mke2fs -j /dev/mapper/root
  # mount /dev/mapper/root /mnt/root

Für die home-Partition wollen wir kein extra Passwort verwenden, sondern ein Keyfile. Dieses erzeugen wir uns mittels /dev/urandom

  # mkdir /mnt/root/crypto
  # dd if=/dev/urandom of=/mnt/root/crypto/home.key bs=1k count=2
  # cryptsetup luksFormat /dev/hda4 --cipher aes-cbc-essiv:sha256 --key-size 256 --key-file /mnt/root/crypto/home.key
  # cryptsetup luksOpen /dev/hda4 home
  Passwort eingeben
  Formatieren der Partition mit ext3: mke2fs -j /dev/mapper/home
  # mount /dev/mapper/home /mnt/root/home

3. ArchLinux installieren

Zu allererst kopieren wir alle wichtigen Dateien für das System auf unsere neue verschlüsselte root-Partition.

  # /arch/quickinst ftp /mnt/root ftp://ftp.archlinux.org/current/os/i586

Jetzt muss noch ein Kernel für das neue System installiert werden.

  # /tmp/usr/bin/pacman.static -r /mnt --config /tmp/pacman.conf -S kernel26

Und damit wir das System nachher auch bequem starten können ein Bootloader, in diesem Fall Grub.

  # mount -o bind /dev /mnt/root/dev
  # mount -o bind /proc /mnt/root/proc
  # mount -o bind /sys /mnt/root/sys
  # chroot /mnt/root /bin/bash
   ... editieren der menu.lst ...
  # install-grub /dev/hda

4. Konfigurations anpassen

  ...

5. Aufräumen & Neustarten

  # umount /mnt/root/boot /mnt/root/home /mnt/root
  # cryptsetup luksClose root
  # cryptsetup luksClose home
  # rm -r /mnt/root
  # shutdown -r now