Beitragsdatum | 19.01.2012 |
---|---|
Letzte Aktualisierung | 02.01.2017 |
Betrifft | crypt, luks, verschiedene Versionen |
Bei den meisten Kunden verschlüssel ich grundsätzlich die Festplatten (verschlüsseltes LVM) so, dass direkt beim Booten ein Passwort eingegeben werden muss. Wird der Rechner geklaut oder geht verloren, so kann der Dieb oder der unehrliche Finder keinen Zugriff auf die Daten erhalten.
Nutzen mehrere Personen den selben Rechner, so sollte man auch mehrere Passwörter einrichten, so dass jeder Nutzer sein eigenes Passwort für die Entschlüsselung der Daten nutzen kann. Es werden bei diesem Verfahren (LUKS) bis zu 8 sogenannte Slots unterstützt - also bis zu acht Passwörter. Die Passwörter sind gleichberechtigt - also gibt das unsicherste Passwort die Sicherheit vor.
Zum Hinzufügen eines neuen Passworts wie folgt vorgehen:
Namen des verschlüsselten Geräts ermitteln (/dev/sdaX#
):
$ lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sda 8:0 0 119,2G 0 disk ├─sda1 8:1 0 4,8G 0 part /boot ├─sda2 8:2 0 1K 0 part └─sda5 8:5 0 95,4G 0 part └─sda5_crypt 252:0 0 95,4G 0 crypt /
/dev/sda5
- das /dev/sda5_crypt
ist das gemappte, entschlüsselte Gerät - dort wird nicht das neue Passwort hinzugefügt. Das muss auf die echte Partition, in diesem Fall also /dev/sda5
./dev/sdX#
haben, also z.B. /dev/sda5
.Nun ein weiteren Passwort hinzufügen:
$ sudo cryptsetup luksAddKey /dev/sdX#
Danach kann man die Festplatte mit beiden Passwörtern entschlüsseln.
Screenshot (anklicken zum Vergrößern):
Möchte man einen Slot löschen, dann geht das wie folgt:
$ sudo cryptsetup luksKillSlot /dev/sdX# [slot]
$ sudo cryptsetup luksKillSlot /dev/sda5 1
So sollte das klappen.
(Quelle: wiki.ubuntuusers.de)