| Autor |
Nachricht |
|
|
Titel: Verschlüsselte Partition mit LUKS und pam-mount
 Verfasst am: 18.05.2006, 20:51 Uhr
|
|
Anmeldung: 20. Apr 2005
Beiträge: 21
|
|
In der aktuellen c't ist ein guter Artikel zu LUKS (Linux Unified Key Setup) und pam-mount.
LUKS setzt auf dm_crypt auf und ermöglicht z.B. das Ändern des Verschlüsselungs-Passworts ohne die ganze Partition neu verschlüsseln zu müssen.
Es können genaugenommen bis zu 8 verschiedene Passwörter festgelegt werden, mit denen die gleiche Partition entschlüsselt werden kann.
pam-mount ermöglicht, das Passwort des Users bei der Anmeldung durchzureichen und damit z.B. eine verschlüsselter Home-Partition zu entschlüsseln.
Ich hatte selbst zuerst cryptoloop für verschlüsselte Container-Dateien benutzt und dazu einen Artikel verfasst.
Ich hatte mir auch ein kleines Script dafür geschrieben, das ich benutzt habe bis ich Andreas Loibl's DirectCrypt entdeckt hatte.
DirectCrypt verwendet das fortgeschrittenere dm_crypt, auf dem auch LUKS aufsetzt, um verschlüsselte Container-Dateien zu erstellen.
Später habe ich dann meine home-Partition komplett mit dm_crypt verschlüsselt.
Den c't-Artikel habe ich nun zum Anlass genommen, um einen Beitrag zu Verschlüsselte Partitionen mit LUKS und pam-mount zu verfassen.
Auf diese Weise habe ich meine home-Partition neu eingerichtet.
Das praktische dabei ist, das ich mich nun ganz normal anmelde, und automatisch über pm-mount und LUKS meine home-Partition entschlüsselt wird.
Falls jemand den Beitrag interessant findet, stelle ich ihn auch gerne ins Wiki, sobald ich Zeit dazu finde. |
_________________
... I seek the Answer to Life, the Universe and Everything ...
|
| |
|
|
|
 |
|
|
|
Titel: Re: Verschlüsselte Partition mit LUKS und pam-mount
Verfasst am: 19.05.2006, 12:45 Uhr
|
|
Anmeldung: 24. Aug 2005
Beiträge: 144
|
|
|
Zitat:
Falls jemand den Beitrag interessant findet, stelle ich ihn auch gerne ins Wiki, sobald ich Zeit dazu finde.
Klar ist das interessant, und kann ja nix schaden wenns auch im Wiki steht! 
Also wenn du die Zeit findest mach das ruhig! 
Hab dazu auch noch ne Frage:
Funktioniert das ganze nur mit echten physikalischen Partitionen ala /dev/hdxn, oder auch mit irgendwelchen files?
Gruß hum |
|
|
| |
|
|
|
|
|
|
|
Titel:
Verfasst am: 19.05.2006, 14:35 Uhr
|
|
Anmeldung: 20. Apr 2005
Beiträge: 21
|
|
LUKS funktioniert auch mit Container-Dateien
(in der c't war es sogar mit einer Container-Datei beschrieben):
Zum Erstellen der Container-Datei:
Code:
# dd if=/dev/zero of=container.img bs=1M count=100
Einbinden der Container-Datei per losetup:
Code:
# losetup /dev/loop0 container.img
Jetzt geht es weiter wie im Artikel beschrieben, nur eben mit /dev/loop0 statt einer echten Partition.
Und am Ende muss die Container-Datei wieder ausgehängt werden:
Code:
losetup -d /dev/loop0
Das praktische mount.crypt Skript funktioniert mit einem zusätzlichen Parameter auch mit Container-Dateien:
Code:
mount.crypt -o loop container.img /mnt/data
Den Eintrag in /etc/security/pam_mount.conf müsste man auch anpassen:
Code:
volume madblueimp crypt - /pfad/zum/container.img /mnt/data -o loop - -
Bei letzterem bin ich mir allerdings nicht ganz sicher, da ich es selbst nicht getestet habe. |
_________________
... I seek the Answer to Life, the Universe and Everything ...
|
| |
|
|
|
|
|
|
|
Titel:
Verfasst am: 19.05.2006, 16:46 Uhr
|
|
Anmeldung: 17. Mai 2006
Beiträge: 8
Wohnort: Ruhrgebiet
|
|
Vielen Dank für deinen interessanten Artikel und die Zusatztipps! Deine Infos zu LUKS kamen für mich genau zur richtigen Zeit. Jetzt habe ich einen 4GB-USB-Stick mit zwei Partitionen. Die erste ist FAT32, und ich boote KANOTIX daraus aus einem ISO-Image (siehe Tipp "KANOTIX vom USB-Stick booten"), die zweite ist ein LUKS-verschlüsseltes ext3-FS mit meinen persönlichen Daten. 
Toll, wie einfach das alles mit Linux ist. KANOTIX und LUKS sind wirklich klasse. |
|
|
| |
|
|
|
|
|
|
|
Titel:
Verfasst am: 22.05.2006, 11:27 Uhr
|
|
Anmeldung: 24. Aug 2005
Beiträge: 144
|
|
Super Sache! Besten Dank auch von mir!
Habs mal ein Volume erstellt und gemountet. Geht bestens auch mit dem script.
Ich musste allerdings cryptsetup aktualisieren:
Code:
apt-get update
apt-get install cryptsetup
Und das mountscript:
madblueimp hat folgendes geschrieben::
Code:
mount.crypt -o loop container.img /mnt/data
funktionierte bei mir so:
Code:
mount.crypt container.img /mnt/data -o loop
Ansonsten alles wunderbar!
Das Einbinden der Partition mit dem Benutzerpasswort beim Login und damit
madblueimp hat folgendes geschrieben::
Den Eintrag in /etc/security/pam_mount.conf müsste man auch anpassen:
Code:
volume madblueimp crypt - /pfad/zum/container.img /mnt/data -o loop - -
hab ich auch noch nicht getestet, werd aber berichten wenns Probleme geben sollte!
Auf jeden Fall nochmal besten Dank für die super Anleitung!
Gruß hum |
|
|
| |
|
|
|
|
|
|
