computer:ubuntu:luks_entschluesseln_mit_schluesseldatei

Verschlüsseln einer zweiten Festplatte unter Ubuntu (nach der Installation)

(von https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive-on-ubuntu-14-10-post-install/ )

Wenn es Ihnen mit der Sicherheit Ihrer Daten ernst ist, ist es keine schlechte Idee, Ihre Festplatte zu verschlüsseln. Für die Kosten einer zusätzlichen Passworteingabe beim Start können Sie sicher sein, dass niemand an Ihre Daten herankommt, selbst wenn er Ihr Gerät stiehlt. Sowohl unter Windows als auch unter Linux gibt es Möglichkeiten zur vollständigen Festplattenverschlüsselung.

Seit einigen Jahren bietet der Ubuntu-Installationsassistent die Möglichkeit, Ihre Installation durch Ankreuzen eines Kästchens zu verschlüsseln. Einfach und mühelos.

Nun ja, fast mühelos.

Mit dem Aufkommen von Solid-State-Laufwerken enthalten die meisten modernen Computer mindestens zwei Festplatten - eine SSD für die Installation des Betriebssystems, damit Sie eine schnelle Startzeit haben, und eine HDD für die Speicherung der meisten Dateien, da große (>256 GB) SSDs für die meisten Leute immer noch unpraktisch teuer sind.

Sie sehen also wahrscheinlich, wo das Problem liegt. Sicher, das Ubuntu-Installationsprogramm erlaubt es Ihnen, Ihre Installation zu verschlüsseln, aber wenn sich diese auf Ihrer SSD befindet, bleibt Ihre Festplatte (mit dem Großteil Ihres Speicherplatzes) unverschlüsselt. Nicht gerade ideal.2

Zum Glück gibt es eine Möglichkeit, Ihr zusätzliches Laufwerk nach der Installation zu verschlüsseln, und ein paar Tricks, die dafür sorgen, dass es genauso reibungslos funktioniert, als hätten Sie es von Anfang an getan.3 So geht's:

Wenn Sie es noch nicht getan haben, installieren Sie gparted (ein beliebtes Linux-Programm zur grafischen Formatierung von Festplatten und zur Bearbeitung von Partitionen). Öffnen Sie GParted und löschen Sie alle Partitionen auf der Festplatte, die Sie verschlüsseln möchten (stellen Sie sicher, dass sie vorher leer ist!). Erstellen Sie dann eine unformatierte Partition anstelle der soeben zerstörten.

Aufgrund der potenziell gefährlichen Natur der GParted-Operationen müssen Sie auf “Übernehmen” klicken, nachdem Sie das Programm angewiesen haben, das zu tun, was Sie wollen, um die Zerstörung und Erstellung der Partition physisch durchzuführen. Hier gibt es (zum Glück) keine Ein-Klick-Formatierung.

Sobald das erledigt ist, ist es an der Zeit, die Partition zu verschlüsseln. Öffnen Sie dazu ein Terminal und führen Sie LUKS cryptsetup aus (ersetzen Sie sd?X durch den Namen der verschlüsselten Alle notwendigen Programme sollten bereits installiert sein, wenn Sie ein Standard-Ubuntu verwenden. 

sudo cryptsetup -y -v luksFormat /dev/sd?X

Dann müssen Sie die neue Partition entschlüsseln, damit Sie sie mit ext4 formatieren können, dem von Ubuntu bevorzugten modernen Linux-Dateisystem. 

sudo cryptsetup luksOpen /dev/sd?X sd?X_crypt
sudo mkfs.ext4 /dev/mapper/sd?X_crypt

Nun können Sie Ihre neue verschlüsselte Partition einhängen. Der Einhängepunkt kann überall sein, wo Sie wollen, aber Sie werden ihn wahrscheinlich entweder in /media/<irgendein-Ordner> oder /home/<Ihr-Name>/<irgendein-Ordner> setzen wollen. Vor dem Einhängen müssen Sie den Ordner some-folder erstellen (stellen Sie sicher, dass er leer ist!). 

sudo mount /dev/mapper/sd?X_crypt /<mount-point>

Technisch gesehen ist dies alles, was Sie für die Verschlüsselung Ihrer zweiten Festplatte benötigen. Das bedeutet nur, dass Sie sie jedes Mal manuell einhängen und entschlüsseln müssen, wenn Sie sie benutzen wollen. Wenn Sie sie zum Speichern sensibler, selten genutzter Daten verwenden, mag das perfekt sein.

Wenn Sie es jedoch als reguläre Festplatte verwenden möchten, auf die häufig zugegriffen wird, gibt es eine Möglichkeit, Ihr zweites Laufwerk beim Start automatisch einzubinden und zu entschlüsseln, wenn Ihre primäre Festplatte entschlüsselt ist.

Zunächst müssen Sie eine Schlüsseldatei erstellen, die als Passwort dient, das Sie nicht bei jedem Start eingeben müssen (wie das Passwort für die Verschlüsselung der primären Festplatte). 

sudo dd if=/dev/urandom of=/root/.keyfile bs=1024 count=4
sudo chmod 0400 /root/.keyfile
sudo cryptsetup luksAddKey /dev/sd?X /root/.keyfile

Nachdem die Schlüsseldatei erstellt wurde, müssen Sie die folgende Zeile in /etc/crypttab einfügen, um die Partition beim Starten automatisch zu entsperren. 

sd?X_crypt UUID=<device UUID> /root/.keyfile luks,discard	# (New encrypted partition with keyfile that was generated)

Um die UUID Ihrer Partition zu erhalten, verwenden Sie diesen Befehl (Sie müssen ihn mit sudo ausführen, damit alle Ihre Partitionen angezeigt werden): 

sudo blkid

Der Wert, den Sie benötigen, ist die UUID von /dev/sd?X, nicht dev/mapper/sd?X_crypt. Stellen Sie außerdem sicher, dass Sie die UUID kopieren, nicht die PARTUUID.

Dann müssen Sie diese Zeile in /etc/fstab einfügen, damit die Partition beim Start tatsächlich gemountet wird. 

/dev/mapper/sd?X_crypt  /<mount-point>   ext4    defaults        0       2

Starten Sie dann neu und alles sollte funktionieren. Wenn Sie keine Dateien auf der neuen Partition erstellen können, ist sie wahrscheinlich noch im Besitz von root und muss auf Ihren Benutzer umgeschrieben werden. Führen Sie diesen Befehl aus: 

sudo chown <user>:<user> /<mount-point> -R

Und da haben Sie es, die vollständige Festplattenverschlüsselung, die einfach funktioniert.

  • computer/ubuntu/luks_entschluesseln_mit_schluesseldatei.txt
  • Last modified: 2023/06/06 19:44
  • by spring