Partitionen verschlüsseln unter Linux Mint.

Ghost

Junior Member
Hey Kollegen,

ich verwende Linux Mint 17.2, die root Partition habe ich verschlüsselt.
(Das kann man bei der Installation auswählen, ob man verschlüsseln möchte.)

Jetzt würde ich gerne meine externe Festplatte mit dm-crypt bzw. LUKS verschlüsseln.

Weiß jemand wie das geht oder hat eine Anleitung dafür?


Danke
 

PP Frank

Staff member
Im Normalfall solltest du im Wiki der Distribution eine Anleitung dazu finden. HD-Encryption gibts nahezu bei jeder Distri im Wiki
 

Antares

New Member
Hallo,
Du hast mehrere möglichkeiten, deine externen Festplatten zu verschlüsseln und mit Linux ist das kinderleicht. Du kannst dir hier das Tool USBCryptFormat herunterladen und alles Andere ist so einfach, dass man kein weiteres Wort darüber verlieren braucht. :)
http://www.mandalka.name/usbcryptformat/

Es geht auch mit Boardmitteln. Falls du es noch nicht hast lade dir gnome-disk-utility herunter. Gibts sogar in der Anwendungsverwaltung von Mint. Gib dann in der Suchleiste deines Menüs Laufwerke ein und da findest du alles was du brauchst. Hier ists recht gut beschrieben: https://tails.boum.org/doc/encryption_and_privacy/encrypted_volumes/index.de.html
Aber Vorsicht: Ich hab dort versehentlich mal mein System geschrottet als ich statt der externen meine eigentliche Festplatte formatierte.


Das sind die einfachste Methoden aber es geht auch noch sicherer und es könnte ja sein dass es dir Spass macht, das ganze mit dem Terminal zu erledigen. Dann kannst du statt AES Twofish oder Serpent verwenden und SHA1 durch SHA512 ersetzen. Paranoiamodus macht immer am meisten Laune :D.

1.) Zuerst Rootrechte holen:
sudo -s

2.) Dann die zu verschlüsselte Festplatte finden:
fdisk -l
(falls man mit fdisk -l Schwierigkeiten hat einfach: blkid statt fdisk -l eingeben und die richtige Festplatte suchen...)

3.)Falls die Festplatte sicher überschrieben werden soll folgendes eingeben:
entweder:
shred -f -v -n 1 /dev/sdX
oder:
dd if=/dev/urandom of=/dev/sdX bs=4096
(X ersetzt das tatsächliche letzte Zeichen der zu verschlüsselnden Festplatte)

4.) Mountpoint erstellen, damit später darauf zugegriffen werden kann:
mkdir /mnt/krypto
Natürlich kann man statt krypto jeden beliebigen Namen vergeben...

5.) Die Festplatte kann jetzt verschlüsselt werden:
Hier gibts ausführliche Infos:
man cryptsetup
Verschlüsseln:
cryptsetup -v -c aes-xts-plain64 -s 512 -h sha512 -i 5000 --use-random luksFormat /dev/sdX

aes kann, wenn gewünscht durch twofish oder serpent ersetzt werden. Ich wählte twofish und es ging alles reibungslos.

Wenn man den Befehl für die Verschlüsselung eingegeben hat und aufgefordert wird, mit YES zu bestätigen, dann muss man das in Großbuchstaben tun: Also YES eingeben, sonst gehts nicht. Auf ein ausreichend langes Passwort mit Klein-Großbuchstaben, Zahlen und Sonderzeichen ist zu achten. 18 Zeichen sollte es schon mindestens lang sein.

6.) Dateisystem öffnen:
cryptsetup open --type luks /dev/sdX krypto

7.) Dateisystem erzeugen:
mke2fs -t ext4 -L krypto /dev/mapper/krypto

Ich hatte dann erst mal insofern Probleme, dass ich zwar alles auf der Festplate sehen konnte, aber keine Schreibrecht hatte. Die holte ich mir folgendermaßen:

sudo chown username /media/username/privat
sudo chmod u+rwx /media/username/privat/


Die Rootrechte muss man sich auf allen PCs auf denen man die Festplatten dann nutzen möchte einzeln holen.

Um sich eine verschlüsselte Festplatte im Terminal anzeigen zu lassen und zu sehen wie diese verschlüsselt ist ins terminal eingeben:
sudo cryptsetup luksDump /dev/sdX

Ich holte mir vor einiger Zeit mal diese Anleitung aber leider finde ich die nicht mehr. Ich hab mir allerdings alles aufgeschrieben und bei mir funktionierte es recht gut, so dass ich mich traute es hier zu posten. Vielleicht ist ein wenig Experimentieren angesagt z.B. um die Schreibrechte auch zu erlangen aber ich denke, dass es keine Probleme geben dürfte. Probiere es halt mal mit einem übrigen Stick, dann kann nichts passieren. Viel Spass!
 

Antares

New Member
Noch eine Anmerkung, was die Erlangung der Schreibrechte angeht:
Ich hatte mir das kopiert und es muss natürlich der Name der eben verschlüsselten Festplatte am Ende geschrieben werden. In diesem Fall also: krypto, nicht privat. Nicht dass da wer durcheinander kommt.
sudo chown username /media/username/krypto
sudo chmod u+rwx /media/username/krypto


Konnte den ersten Beitrag leider nicht mehr ändern...
 

st86xn

New Member
Und wie verschlüsselt man das System und Swappartition mittels LUKS? In der Anleitung von Wiki steht das man die Linux Partitionen mit Zufallszahlen überschreiben sollte. Wie geht man vor, wenn auf dem System bereits Linux drauf ist? Muss man von einer Live-CD booten und dann bestimmte Schritte ausführen?
 

st86xn

New Member
@Antares
Danke für die Anleitung. Ich versuche das erstmal in VirtualBox zum laufen zu bekommen. Bis jetzt ist mir das nicht gelungen.
Das lag meistens aber auch an Kleinigkeiten, wie z.B. mit "YES" bestätigen und nicht mit "yes", oder die Boot Partition mit ext3 erstellen und nicht mit ext4, da sonst Debian bei der Festplattenerkennung streikt.
 

Antares

New Member
Du willst Debian installieren. Die Anleitung gilt für Mint, Ubuntu bzw. Ubuntu Derivaten. Mit Debian funktioniert diese Anleitung nicht.
 

theoth

Junior Member
Wenn Du Debian installieren willst, warum lädst Du Dir nicht das ISO-image dafür herunter, bindest es als DVD-Laufwerk ein und bootest davon? Der Installationsprozess ist doch geführt.
Man muß sich nur durch die Menüs hangeln (vorher natürlich eine leere VBox-Platte mit entsprechender Größe anlegen, die wird dann automatisch als /dev/sda eingebunden)
Expertmode ==> partitionieren, sda2 als phys für crypt ==> crypt als phys für lvm ==> vgs anlegen, lvs anlegen, lvs als swap bzw. root konfigurieren, installieren, fertig...
Das Video ist zwar gut und schön, um zu erfahren, was da genau vorgeht, aber Debian hat ja keinen Test-Mode, wie z.B. Mint. Aus dem Rescue mode geht das nicht.
 

st86xn

New Member
Wenn Du Debian installieren willst, warum lädst Du Dir nicht das ISO-image dafür herunter, bindest es als DVD-Laufwerk ein und bootest davon?
Das habe ich auch gemacht.

Man muß sich nur durch die Menüs hangeln (vorher natürlich eine leere VBox-Platte mit entsprechender Größe anlegen, die wird dann automatisch als /dev/sda eingebunden)
Genau so habe ich das gemacht, und als ich bei der Konfiguration zum Menü GRUB/LILO kam, wurde wie oben auf den Bildern eine entsprechende Fehlermeldung angezeigt.

Aber die Aussage von Antares:

Du willst Debian installieren. Die Anleitung gilt für Mint, Ubuntu bzw. Ubuntu Derivaten. Mit Debian funktioniert diese Anleitung nicht.
sagt schon alles aus. Ich sehe mich mal im Internet um, ob es eine Anleitung auch für Debian gibt.
 

theoth

Junior Member
hmm - sehr merkwürdig - ich hab das mal kurz nachgespielt - ging ohne Probleme in ca. 15 Minuten über die Bühne. Hast Du /dev/sda als Target angegeben? Zwei primäre partitionen angelegt? /dev/sda1 bootbar gemacht?
 

st86xn

New Member
hmm - sehr merkwürdig - ich hab das mal kurz nachgespielt - ging ohne Probleme in ca. 15 Minuten über die Bühne.
Ich beneide dich deswegen. :rolleyes: Ich habe etwa 10 Versuche gebraucht, bis ich zu GRUB Bootloader Konfiguration kam.

Hast Du /dev/sda als Target angegeben? Zwei primäre partitionen angelegt? /dev/sda1 bootbar gemacht?
Wahrscheinlich liegt da das Problem.
Wenn das im Video nicht gezeigt wurde, dann habe ich das auch nicht gemacht. Hast du diese Punkte mit der Debian-Installation oder mit gparted gemacht?
 

theoth

Junior Member
Mit dem Debian Menu - das führt Dich doch von oben bis unten durch - das Schwierigste sind die Menüs für cryt und lvm - man muß da einige voreingestellte Möglichkeiten wieder durch die richtige Wahl überschreiben. Z.B. nach dem Einrichten von dem crypt-volume (vorher /dev/sda2 als physical volume für crypt auswählen) schlägt er Dir vor, das crypt Volume mit ext4 zu formatieren. Das mußt Du wieder herausnehmen und stattdessen "physical volume for lvm" auswählen.
Dann erst klappt die LVM-Installation und Du kannst ein root und ein swap lvm anlegen.
 

st86xn

New Member
@theoth
Verzeih für meine fehlende Kenntnisse, aber ich kann nur mit den Bezeichnung anfangen die bei mir stehen.:D

Das ist meine jetzige Partitionstabelle:
Partitionierung5.png

Der rote Balken ist /dev/sda2. Wenn ich das richtig verstanden habe, dann soll ich statt "ext4" vom unteren Bild
"physikalisches Volume für Verschlüsselung auswählen"
Partitionierung6.png

Das mußt Du wieder herausnehmen und stattdessen "physical volume for lvm" auswählen.
Für was ist das gemeint? Für sda1 (swap) oder sda?

Was ist target? Wie kann man sda als target angeben?
sda wäre bestimmt der grüne Balken. Für sda habe ich folgende Möglichkeiten:
Partitionierung7.png

sda1 habe ich bootfähig gemacht.
 

theoth

Junior Member
Du mußt den Verschlüsselungsschritt erst mal abschließen. Dann erscheint eni neues Volume (luks_crypt oder so), das mit ext4 vorbelegt ist, das nimmst Du dann für phys volume für lvm. Das sieht aber schon nicht schlecht aus. Für boot hast Du ext4 genommen - würde ich vielleicht mal mit ext3 versuchen
 

st86xn

New Member
Dank theoth konnte ich über die grafische Installation die Systemverschlüsselung unter Debian einrichten.
Wie ich vorgegangen bin habe ich wieder in eine txt Datei eingetragen. Ich hoffe das dort soweit alles richtig steht.
 

Attachments

Top