Inhaltsverzeichnis

cryptsetup-luks

TODO: http://www.heise.de/security/artikel/Erfolgreicher-Angriff-auf-Linux-Verschluesselung-2072199.html beachten

Vorbereitung

Pakete

cryptsetup-luks

Debian (ab 10): cryptsetup

Kernel-Modul

modinfo dm_crypt

muss vorhanden sein

Verschlüsseltes Dateisystem anlegen

Partition oder logical volume anlegen

fdisk /dev/<platte>

oder

lvcreate --size 1G --name lv_cryptsetup vg_centos6

alte (Meta)daten von Partition entfernen

wipefs -af /dev/<partition>

1)

Partition verschlüsseln

cryptsetup --verbose luksFormat --type luks2 /dev/<partition>

2)

testen

cryptsetup luksDump /dev/<partition> 

Partition öffnen

cryptsetup open --type luks2 /dev/<partition> crypt

Testen

Neues Device anzeigen
dmsetup ls
ls -l /dev/mapper/crypt
Verschlüsselungsverfahren anzeigen
cryptsetup status crypt

Dateisystem anlegen

mkfs.ext4 /dev/mapper/crypt

mounten und rebootfest machen

mounten

mkdir /mnt/crypt
mount /dev/mapper/crypt /mnt/crypt

Rebootfest machen

umount /mnt/crypt
cryptsetup close crypt none
/etc/crypttab
crypt /dev/<partition> none

testen

TODO: ist das debian-spezifisch?

cryptdisks_start crypt

Neues Passwort hinzufügen

cryptsetup luksAddKey /dev/<partition>

Vergebene Passwortslots anzeigen:

cryptsetup luksDump /dev/<partition>

Links

1)
oder
dd if=/dev/zero of=/dev/<partition> status=progress bs=1M
oder
cryptsetup open --type plain -d /dev/urandom /dev/<partition> wipe_me
dd if=/dev/zero of=/dev/mapper/wipe_me status=progress bs=1M
cryptsetup close /dev/mapper/wipe_me
2)
Ausgabe genau lesen: da steht "UPPERCASE" ;-)