Crypsetup: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
HK (Diskussion | Beiträge) |
HK (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| (7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
== / | = Vollverschlüsselung mit LVM, /boot unverschlüsselt = | ||
* /boot unverschlüsselt | |||
* Verschlüsselte Partition enthält ein LVM | |||
* Tut Euch einen Gefallen: arbeitet immer mit UUIDs und niemals mit /dev/sd<x> in fstab oder crypttab! | |||
* Dadurch wird das System erheblich stabiler. | |||
=== Setup der Verschlüsselung=== | |||
* Rechner mit grml starten | |||
* Zwei Partitionen erzeugen | |||
fdisk /dev/sd<x> | |||
** /boot (ca. 125 - 500 M groß) | |||
** verschlüsselte Partition (Rest) | |||
* /boot | |||
mkfs.ext4 /dev/sd<x>1 | |||
* Verschlüsselte Partition erzeugen, viele Arumente möglich für chipher, Schlüssellänge usw. | |||
cryptsetup luksFormat /dev/sd<x>2 | |||
Es wird nach dem gewünschten Password gefragt. | |||
* Verschlüsslte Partition für weitere Bearbeitung öffnen | |||
cryptsetup luksOpen /dev/sd<x>2 <cryptname> | |||
Password eingeben | |||
* Das Verschlüsselte Device steht unter /dev/mapper/<cryptname> bereit | |||
=== LVM aufsetzen === | |||
pvcreate /dev/mapper/<name> | |||
vgcreate /dev/maper/<name> <vgname> | |||
* Volume Group starten | |||
vgchange -ay | |||
* LVM erzeugen (hier mit 5 GB) | |||
lvcreate -L+5G -n <lvname> <vgname> | |||
* Dateisystem erzeugen, hier ext4 | |||
mkfs.ext4 /dev/<vgname>/<lvname> | |||
=== System installieren === | |||
grml-debootstrap --target=/dev/<vgname>/<lvname> --grub=/dev/sd<x> | |||
=== System startbar machen === | |||
* Arbeitsverzeichnisse erzeugen | |||
mkdir /newboot | |||
mkdir /newroot | |||
mount /dev/sd<x>1 /newboot | |||
mount /dev/<vgname>/<lvname> /newroot | |||
cp -a /newroot/boot/* /newboot | |||
umount /newboot | |||
mount /dev/sd<x>1 /newroot/boot/ | |||
* chroot in das neue System | |||
mount -t sysfs sys /newroot/sys | |||
mount -t proc none /newroot/sys | |||
mount -o bind /dev /newroot/dev | |||
=== Im chroot === | |||
chroot /newroot | |||
* /etc/crypttab bearbeiten | |||
* Beim Rechnerstart muss die verschlüsselte Partition geöffnet werden | |||
* UUID der verschlüsselten Partition in die /etc/crypttab einfügen | |||
blkid |grep /dev/sd<x>2 >> /etc/crypttab | |||
* Die /etc/crypttab muss am Ende | |||
vim /etc/crypttab | |||
* Sieht leer so aus, | |||
<source lang="bash"> | <source lang="bash"> | ||
<target name> <source device> <key file> <options> | <target name> <source device> <key file> <options> | ||
</source> | </source> | ||
* Wird geändert zu | |||
<source lang="bash"> | |||
<target name> <source device> <key file> <options> | |||
Das Keyfile sollte immer nur von root lesbar sein. | <cryptname> <UUID=<UUID aus blkid ohne Anführungszeichen> none luks | ||
</source> | |||
* Die Zeile, die wir mit "blkid |grep /dev/sd<x>2 >> /etc/crypttab" eingefügt haben, löschen oder auskommentieren. | |||
*Das Keyfile sollte immer nur von root lesbar sein. Sollte das nicht der Fall, ändern. | |||
chmod 600 /etc/crpttab | |||
* Initram updaten | |||
update-initramfs -u | |||
=== Grub installieren === | |||
update-grub | |||
grub-install --no-floppy /dev/sd<x> | |||
vim /boot/grub/grub.cfg | |||
* Vor dem Pfad zum Kernel und der initram steht '''/boot''' stehen, einfach löschen. | |||
* Beim Normalbetrieb des Systems sollte das niemals wieder ein Problem sein. | |||
=== Neustart === | |||
* Aus dem chroot ausloggen und Rechner neustarten. | |||
* Das System wird einmal, zweimal verblich nach dem root-LVM suchen und dann nach dem Password für die verschlüsselte Partition fragen. | |||
= Unwichtige Fragmente = | |||
<span style="color:red">Wichtig:</span> ''/etc/cyrptab'' existiert nicht per default. Wird die Datei angelegt, muss ein verschlüsseltes root-Filesystem auch mit in die ''crypttab'' aufgenommen werden.<br> | |||
<br> | <br> | ||
Ansonsten wird es bei einer Neuerzeugung der ''initram'' ignoriert und der Neustart läuft in die ''initram'' | Ansonsten wird es bei einer Neuerzeugung der ''initram'' ignoriert und der Neustart läuft in die ''initram'' | ||
Aktuelle Version vom 30. September 2018, 07:00 Uhr
Vollverschlüsselung mit LVM, /boot unverschlüsselt
- /boot unverschlüsselt
- Verschlüsselte Partition enthält ein LVM
- Tut Euch einen Gefallen: arbeitet immer mit UUIDs und niemals mit /dev/sd<x> in fstab oder crypttab!
- Dadurch wird das System erheblich stabiler.
Setup der Verschlüsselung
- Rechner mit grml starten
- Zwei Partitionen erzeugen
fdisk /dev/sd<x>
- /boot (ca. 125 - 500 M groß)
- verschlüsselte Partition (Rest)
- /boot
mkfs.ext4 /dev/sd<x>1
- Verschlüsselte Partition erzeugen, viele Arumente möglich für chipher, Schlüssellänge usw.
cryptsetup luksFormat /dev/sd<x>2
Es wird nach dem gewünschten Password gefragt.
- Verschlüsslte Partition für weitere Bearbeitung öffnen
cryptsetup luksOpen /dev/sd<x>2 <cryptname>
Password eingeben
- Das Verschlüsselte Device steht unter /dev/mapper/<cryptname> bereit
LVM aufsetzen
pvcreate /dev/mapper/<name> vgcreate /dev/maper/<name> <vgname>
- Volume Group starten
vgchange -ay
- LVM erzeugen (hier mit 5 GB)
lvcreate -L+5G -n <lvname> <vgname>
- Dateisystem erzeugen, hier ext4
mkfs.ext4 /dev/<vgname>/<lvname>
System installieren
grml-debootstrap --target=/dev/<vgname>/<lvname> --grub=/dev/sd<x>
System startbar machen
- Arbeitsverzeichnisse erzeugen
mkdir /newboot mkdir /newroot
mount /dev/sd<x>1 /newboot mount /dev/<vgname>/<lvname> /newroot
cp -a /newroot/boot/* /newboot
umount /newboot mount /dev/sd<x>1 /newroot/boot/
- chroot in das neue System
mount -t sysfs sys /newroot/sys mount -t proc none /newroot/sys mount -o bind /dev /newroot/dev
Im chroot
chroot /newroot
- /etc/crypttab bearbeiten
- Beim Rechnerstart muss die verschlüsselte Partition geöffnet werden
- UUID der verschlüsselten Partition in die /etc/crypttab einfügen
blkid |grep /dev/sd<x>2 >> /etc/crypttab
- Die /etc/crypttab muss am Ende
vim /etc/crypttab
- Sieht leer so aus,
<target name> <source device> <key file> <options>
- Wird geändert zu
<target name> <source device> <key file> <options>
<cryptname> <UUID=<UUID aus blkid ohne Anführungszeichen> none luks
- Die Zeile, die wir mit "blkid |grep /dev/sd<x>2 >> /etc/crypttab" eingefügt haben, löschen oder auskommentieren.
- Das Keyfile sollte immer nur von root lesbar sein. Sollte das nicht der Fall, ändern.
chmod 600 /etc/crpttab
- Initram updaten
update-initramfs -u
Grub installieren
update-grub
grub-install --no-floppy /dev/sd<x>
vim /boot/grub/grub.cfg
- Vor dem Pfad zum Kernel und der initram steht /boot stehen, einfach löschen.
- Beim Normalbetrieb des Systems sollte das niemals wieder ein Problem sein.
Neustart
- Aus dem chroot ausloggen und Rechner neustarten.
- Das System wird einmal, zweimal verblich nach dem root-LVM suchen und dann nach dem Password für die verschlüsselte Partition fragen.
Unwichtige Fragmente
Wichtig: /etc/cyrptab existiert nicht per default. Wird die Datei angelegt, muss ein verschlüsseltes root-Filesystem auch mit in die crypttab aufgenommen werden.
Ansonsten wird es bei einer Neuerzeugung der initram ignoriert und der Neustart läuft in die initram