Startseite

Externe Festplatte unter Ubuntu verschlüsseln

21. September 2009 - 10:36 in

Nachdem ich ja schon einmal beschrieben habe wie man Ubuntu mit Festplattenkomplettverschlüsselung installiert, hatte ich neulich das Problem, eine externe sowie eine zusätzlich eingebaute Festplatte zu verschlüsseln.

Dies ist jedoch relativ einfach nachzuholen. Hier mal eine Kurzanleitung:

  1. Falls noch nicht geschehen, sollte cryptsetup installiert werden (sudo apt-get install cryptsetup).
  2. Den Eintrag für die gewünschte Platte bzw. Partition ermitteln (ls -la /dev/disk/by-uuid).
  3. Prüfen ob die Platte eingehängt ist (mount). Wenn das der Fall ist, dann aushängen (umount)!
  4. Wer paranoid ist, der kann die Platte mit zufälligen Daten überschreiben. Sowas kann bei heutzutage gängigen Festplatten jedoch etliche Stunden bis einige Tage dauern! Ein möglicher Befehl wäre:
    sudo dd if=/dev/urandom of=/dev/XXX
    Der Wert XXX muß hier durch den ermittelten Geräteeintrag ersetzt werden (z.B. hdb1).
  5. Jetzt muß die Festplatte als verschlüsselter Datenträger formatiert werden:
    sudo cryptsetup luksFormat /dev/XXX
  6. Nun kann das verschlüsselte Gerät geöffnet werden:
    sudo cryptsetup luksOpen /dev/XXX extCrypt
  7. Jetzt muß ein Dateisystem erzeugt werden, im Beispiel ist dies XFS:
    sudo mkfs.xfs /dev/mapper/extCrypt
  8. Wenn man das verschlüsselte Dateisystem ausschließlich für einen Benutzer nutzt, dann ist es sinnvoll es einzuhängen und die entsprechenden Rechte zu setzen:

    sudo mkdir /tmp/mnt
    sudo mount /dev/mapper/extCrypt /tmp/mnt
    sudo chown 1000:1000 /tmp/mnt
    sudo umount /tmp/mnt
    sudo rm -rf /tmp/mnt
  9. Jetzt muß das Gerät wieder deaktiviert werden (sudo cryptsetup luksClose extCrypt).

Wenn das verschlüsselte System beim Systemstart automatisch eingebunden werden soll (z.B. zweite eingebaute Festplatte), dann sind noch die folgenden Schritte notwendig.

  1. Die UUID für das Gerät ermitteln (ls -la /dev/disk/by-uuid).
  2. Es ist die Datei /etc/crypttab zu bearbeiten und darin eine Zeile für das verschlüsselte System einzutragen:

    extCrypt /dev/disk/by-uuid/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX none luks
  3. Jetzt öffnet man das verschlüsselte Gerät (sudo cryptsetup luksOpen /dev/XXX extCrypt).
  4. Nun prüft man auf eine neu verfügbare Partition und deren UUID (ls -la /dev/disk/by-uuid).
  5. Zu guter Letzt kann in der Datei /etc/fstab eine Zeile für den Einhängepunkt erstellt werden:

    UUID=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX /mnt/extCrypt xfs relatime 0 2

Beim nächsten Systemstart wird automatisch nach dem Paßwort für die Platte gefragt und sie ist danach transparent verschlüsselt verfügbar.