Partitionen verschlüsseln unter Linux Mint.

Discussion in 'Linux' started by Ghost, Aug 12, 2015.

  1. Ghost

    Ghost Junior Member

    Hey Kollegen,

    ich verwende Linux Mint 17.2, die root Partition habe ich verschlüsselt.
    (Das kann man bei der Installation auswählen, ob man verschlüsseln möchte.)

    Jetzt würde ich gerne meine externe Festplatte mit dm-crypt bzw. LUKS verschlüsseln.

    Weiß jemand wie das geht oder hat eine Anleitung dafür?


    Danke
     
  2. PP Frank

    PP Frank Staff Member

    Im Normalfall solltest du im Wiki der Distribution eine Anleitung dazu finden. HD-Encryption gibts nahezu bei jeder Distri im Wiki
     
  3. A

    Antares New Member

    Hallo,
    Du hast mehrere möglichkeiten, deine externen Festplatten zu verschlüsseln und mit Linux ist das kinderleicht. Du kannst dir hier das Tool USBCryptFormat herunterladen und alles Andere ist so einfach, dass man kein weiteres Wort darüber verlieren braucht. :)
    http://www.mandalka.name/usbcryptformat/

    Es geht auch mit Boardmitteln. Falls du es noch nicht hast lade dir gnome-disk-utility herunter. Gibts sogar in der Anwendungsverwaltung von Mint. Gib dann in der Suchleiste deines Menüs Laufwerke ein und da findest du alles was du brauchst. Hier ists recht gut beschrieben: https://tails.boum.org/doc/encryption_and_privacy/encrypted_volumes/index.de.html
    Aber Vorsicht: Ich hab dort versehentlich mal mein System geschrottet als ich statt der externen meine eigentliche Festplatte formatierte.


    Das sind die einfachste Methoden aber es geht auch noch sicherer und es könnte ja sein dass es dir Spass macht, das ganze mit dem Terminal zu erledigen. Dann kannst du statt AES Twofish oder Serpent verwenden und SHA1 durch SHA512 ersetzen. Paranoiamodus macht immer am meisten Laune :D.

    1.) Zuerst Rootrechte holen:
    sudo -s

    2.) Dann die zu verschlüsselte Festplatte finden:
    fdisk -l
    (falls man mit fdisk -l Schwierigkeiten hat einfach: blkid statt fdisk -l eingeben und die richtige Festplatte suchen...)

    3.)Falls die Festplatte sicher überschrieben werden soll folgendes eingeben:
    entweder:
    shred -f -v -n 1 /dev/sdX
    oder:
    dd if=/dev/urandom of=/dev/sdX bs=4096
    (X ersetzt das tatsächliche letzte Zeichen der zu verschlüsselnden Festplatte)

    4.) Mountpoint erstellen, damit später darauf zugegriffen werden kann:
    mkdir /mnt/krypto
    Natürlich kann man statt krypto jeden beliebigen Namen vergeben...

    5.) Die Festplatte kann jetzt verschlüsselt werden:
    Hier gibts ausführliche Infos:
    man cryptsetup
    Verschlüsseln:
    cryptsetup -v -c aes-xts-plain64 -s 512 -h sha512 -i 5000 --use-random luksFormat /dev/sdX

    aes kann, wenn gewünscht durch twofish oder serpent ersetzt werden. Ich wählte twofish und es ging alles reibungslos.

    Wenn man den Befehl für die Verschlüsselung eingegeben hat und aufgefordert wird, mit YES zu bestätigen, dann muss man das in Großbuchstaben tun: Also YES eingeben, sonst gehts nicht. Auf ein ausreichend langes Passwort mit Klein-Großbuchstaben, Zahlen und Sonderzeichen ist zu achten. 18 Zeichen sollte es schon mindestens lang sein.

    6.) Dateisystem öffnen:
    cryptsetup open --type luks /dev/sdX krypto

    7.) Dateisystem erzeugen:
    mke2fs -t ext4 -L krypto /dev/mapper/krypto

    Ich hatte dann erst mal insofern Probleme, dass ich zwar alles auf der Festplate sehen konnte, aber keine Schreibrecht hatte. Die holte ich mir folgendermaßen:

    sudo chown username /media/username/privat
    sudo chmod u+rwx /media/username/privat/


    Die Rootrechte muss man sich auf allen PCs auf denen man die Festplatten dann nutzen möchte einzeln holen.

    Um sich eine verschlüsselte Festplatte im Terminal anzeigen zu lassen und zu sehen wie diese verschlüsselt ist ins terminal eingeben:
    sudo cryptsetup luksDump /dev/sdX

    Ich holte mir vor einiger Zeit mal diese Anleitung aber leider finde ich die nicht mehr. Ich hab mir allerdings alles aufgeschrieben und bei mir funktionierte es recht gut, so dass ich mich traute es hier zu posten. Vielleicht ist ein wenig Experimentieren angesagt z.B. um die Schreibrechte auch zu erlangen aber ich denke, dass es keine Probleme geben dürfte. Probiere es halt mal mit einem übrigen Stick, dann kann nichts passieren. Viel Spass!
     
    Dr_Iwan_Kakalakow likes this.
  4. A

    Antares New Member

    Noch eine Anmerkung, was die Erlangung der Schreibrechte angeht:
    Ich hatte mir das kopiert und es muss natürlich der Name der eben verschlüsselten Festplatte am Ende geschrieben werden. In diesem Fall also: krypto, nicht privat. Nicht dass da wer durcheinander kommt.
    sudo chown username /media/username/krypto
    sudo chmod u+rwx /media/username/krypto


    Konnte den ersten Beitrag leider nicht mehr ändern...
     
    Dr_Iwan_Kakalakow likes this.
  5. Ghost

    Ghost Junior Member

    @Antares

    Super. Danke dir.

    Das war einfach :)
     
  6. s

    st86xn New Member

    Und wie verschlüsselt man das System und Swappartition mittels LUKS? In der Anleitung von Wiki steht das man die Linux Partitionen mit Zufallszahlen überschreiben sollte. Wie geht man vor, wenn auf dem System bereits Linux drauf ist? Muss man von einer Live-CD booten und dann bestimmte Schritte ausführen?
     
  7. A

    Antares New Member

    @st86xn
    Da musst du dich ein wenig gedulden, weil das ist ein wenig umfangreicher. Ich schreib dir dann mal eine Anleitung...
     
  8. A

    Antares New Member

    Jetzt habe ich hier eine erstklassige Anleitung erfunden. Hier wird es so perfekt erklärt dass man fast nichts mehr verkehrt machen kann.
     
    Dr_Iwan_Kakalakow likes this.
  9. A

    Antares New Member

    gefunden solls heißen nicht erfunden.:)
     
  10. s

    st86xn New Member

    @Antares
    Danke für die Anleitung. Ich versuche das erstmal in VirtualBox zum laufen zu bekommen. Bis jetzt ist mir das nicht gelungen.
    Das lag meistens aber auch an Kleinigkeiten, wie z.B. mit "YES" bestätigen und nicht mit "yes", oder die Boot Partition mit ext3 erstellen und nicht mit ext4, da sonst Debian bei der Festplattenerkennung streikt.
     
  11. s

    st86xn New Member

    Ich komme bei der Systemverschlüsselung einfach nicht weiter. GRUB und LILO Bootloader werden einfach nicht installiert. Ich kann bei der Installation nur ohne Bootloader fortfahren.

    Hier sind nochmal die Fehldermeldungen:

    Wie ich allgemein vorgegangen bin, habe ich in der txt Datei notiert.
     

    Attached Files:

  12. A

    Antares New Member

    Du willst Debian installieren. Die Anleitung gilt für Mint, Ubuntu bzw. Ubuntu Derivaten. Mit Debian funktioniert diese Anleitung nicht.
     
  13. t

    theoth Junior Member

    Wenn Du Debian installieren willst, warum lädst Du Dir nicht das ISO-image dafür herunter, bindest es als DVD-Laufwerk ein und bootest davon? Der Installationsprozess ist doch geführt.
    Man muß sich nur durch die Menüs hangeln (vorher natürlich eine leere VBox-Platte mit entsprechender Größe anlegen, die wird dann automatisch als /dev/sda eingebunden)
    Expertmode ==> partitionieren, sda2 als phys für crypt ==> crypt als phys für lvm ==> vgs anlegen, lvs anlegen, lvs als swap bzw. root konfigurieren, installieren, fertig...
    Das Video ist zwar gut und schön, um zu erfahren, was da genau vorgeht, aber Debian hat ja keinen Test-Mode, wie z.B. Mint. Aus dem Rescue mode geht das nicht.
     
  14. s

    st86xn New Member

    Das habe ich auch gemacht.

    Genau so habe ich das gemacht, und als ich bei der Konfiguration zum Menü GRUB/LILO kam, wurde wie oben auf den Bildern eine entsprechende Fehlermeldung angezeigt.

    Aber die Aussage von Antares:

    sagt schon alles aus. Ich sehe mich mal im Internet um, ob es eine Anleitung auch für Debian gibt.
     
  15. t

    theoth Junior Member

    hmm - sehr merkwürdig - ich hab das mal kurz nachgespielt - ging ohne Probleme in ca. 15 Minuten über die Bühne. Hast Du /dev/sda als Target angegeben? Zwei primäre partitionen angelegt? /dev/sda1 bootbar gemacht?
     
  16. s

    st86xn New Member

    Ich beneide dich deswegen. :rolleyes: Ich habe etwa 10 Versuche gebraucht, bis ich zu GRUB Bootloader Konfiguration kam.

    Wahrscheinlich liegt da das Problem.
    Wenn das im Video nicht gezeigt wurde, dann habe ich das auch nicht gemacht. Hast du diese Punkte mit der Debian-Installation oder mit gparted gemacht?
     
  17. t

    theoth Junior Member

    Mit dem Debian Menu - das führt Dich doch von oben bis unten durch - das Schwierigste sind die Menüs für cryt und lvm - man muß da einige voreingestellte Möglichkeiten wieder durch die richtige Wahl überschreiben. Z.B. nach dem Einrichten von dem crypt-volume (vorher /dev/sda2 als physical volume für crypt auswählen) schlägt er Dir vor, das crypt Volume mit ext4 zu formatieren. Das mußt Du wieder herausnehmen und stattdessen "physical volume for lvm" auswählen.
    Dann erst klappt die LVM-Installation und Du kannst ein root und ein swap lvm anlegen.
     
  18. s

    st86xn New Member

    @theoth
    Verzeih für meine fehlende Kenntnisse, aber ich kann nur mit den Bezeichnung anfangen die bei mir stehen.:D

    Das ist meine jetzige Partitionstabelle:
    Partitionierung5.png

    Der rote Balken ist /dev/sda2. Wenn ich das richtig verstanden habe, dann soll ich statt "ext4" vom unteren Bild
    "physikalisches Volume für Verschlüsselung auswählen"
    Partitionierung6.png

    Für was ist das gemeint? Für sda1 (swap) oder sda?

    Was ist target? Wie kann man sda als target angeben?
    sda wäre bestimmt der grüne Balken. Für sda habe ich folgende Möglichkeiten:
    Partitionierung7.png

    sda1 habe ich bootfähig gemacht.
     
  19. t

    theoth Junior Member

    Du mußt den Verschlüsselungsschritt erst mal abschließen. Dann erscheint eni neues Volume (luks_crypt oder so), das mit ext4 vorbelegt ist, das nimmst Du dann für phys volume für lvm. Das sieht aber schon nicht schlecht aus. Für boot hast Du ext4 genommen - würde ich vielleicht mal mit ext3 versuchen
     
  20. s

    st86xn New Member

    Dank theoth konnte ich über die grafische Installation die Systemverschlüsselung unter Debian einrichten.
    Wie ich vorgegangen bin habe ich wieder in eine txt Datei eingetragen. Ich hoffe das dort soweit alles richtig steht.
     

    Attached Files:

  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice