Hi!
Ich will meine Festplatte verschlüsseln,dazu hab ich mich mal schlau gemacht und mich für diese Methode entschieden http://de.susewiki.org/index.php?title=Verschl%C3%BCsselte_Festplatten
Das andere Tutorial zu Loop-AES war mir noch unsympatischer.
Ich hab im Prinzip alles so gemacht wie es dort gestanden ist-doch irgendwie werde ich nicht schlau wie ich auf die gemountete Festplatte zugreifen kann?
Ich war es immer gewohnt einen Eintrag im Arbeitsplatz zu finden,doch da ist keiner.
Einzig ein blockorientiertes Objekt mit dem Namen "daten" ist unter dev/mapper zu finden.
Hier der Auszug aus der Konsole


bernhard # cryptsetup-luks -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/hda7

WARNING!
========
This will overwrite data on /dev/hda7 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
bernhard # cryptsetup-luks luksOpen /dev/hda7 daten
Enter LUKS passphrase:
key slot 0 unlocked.
bernhard # mkfs.ext3 /dev/mapper/daten
mke2fs 1.38 (30-Jun-2005)
Dateisystem-Label=
OS-Typ: Linux
Blockgröße=4096 (log=2)
Fragmentgröße=4096 (log=2)
2872320 Inodes, 5740964 Blöcke
287048 Blöcke (5.00%) reserviert für den Superuser
erster Datenblock=0
176 Blockgruppen
32768 Blöcke pro Gruppe, 32768 Fragmente pro Gruppe
16320 Inodes pro Gruppe
Superblock-Sicherungskopien gespeichert in den Blöcken:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
4096000

Schreibe Inode-Tabellen: erledigt
Erstelle Journal (32768 Blöcke): erledigt
Schreibe Superblöcke und Dateisystem-Accountinginformationen: erledigt

Das Dateisystem wird automatisch alle 31 Mounts bzw. alle 180 Tage überprüft,
je nachdem, was zuerst eintritt. Veränderbar mit tune2fs -c oder -t .
bernhard # mount /dev/mapper/daten /mnt
bernhard #

Vielen Dank!

p.s: Ich hab die Daten vorher gesichert

Bernhard

Hi,

schau dir doch einfach mal das Tutorial von DaGrr hier im Forum an [1], dort wird die Installation und Konfiguration von dm-crypt sehr ausführlich und gut beschrieben.

Dort steht auch wie du auf deine Festplatte zugreifst. Alternativ - danach habe ich meine Festplatte verschlüsselt - steht dir noch das Howto aus dem Gentoo-Forum zur Verfügung [2] - dort findest du auch direkt ein Skript welches dir die Arbeit vereinfacht.

[1] http://www.linuxforen.de/forums/showthread.php?t=207968
[2] http://de.gentoo-wiki.com/DM-Crypt

-hanky-

Hi -hanky-

Vielen Dank für die Antwort!

Das Tutorial von DaGrrr schaut eigentlich ziemlich gleich dem von mir geposteten aus,dennoch versuch ich es mal.
2 Fragen hab ich aber noch bevor ich anfange:

1.Wie kann ich eine Partition formatieren(in meinem Fall hda7),ich will nochmal komplett von Null anfangen.
Auf der Gentoo Seite hab ich dazu folgenden Befehl gefunden:

/usr/bin/shred /dev/hda7
Hab ich gleich mal ausprobiert,doch da tut sich irgendwie nichts bzw ich bekomme keine Rückmeldung.(arbeite mit SUSE 10.0)
2.Laut DaGrrr's Tutorial soll ich dann um besser arbeiten zu könnnen 2 Zeilen in die Datei etc/crypttab schreiben,doch die ist bei mir nicht vorhanden.Soll ich die also selber(per Hand) anlegen?

Bernhard

Hi!


1.Wie kann ich eine Partition formatieren(in meinem Fall hda7),ich will nochmal komplett von Null anfangen.
Du brauchst nur das luksFormat neu auszuführen. Du erhältst einen neuen Master-Key für die Verschlüsselung und somit sind die alten Daten ohnehin nicht mehr zu entschlüsseln, also nur noch Zufallsbits.
Ansonsten:
dd if=/dev/urandom of=/dev/hda7 bs=1M
Das dauert wohl ne Weile. ;)


2.Laut DaGrrr's Tutorial soll ich dann um besser arbeiten zu könnnen 2 Zeilen in die Datei etc/crypttab schreiben,doch die ist bei mir nicht vorhanden.Soll ich die also selber(per Hand) anlegen?
Die Datei /etc/crypttab sollte eigentlich vorhanden sein. Sie wird beim Booten von /etc/init.d/boot.cryptmap ausgelesen.

Gruß
fuffy

Hi!

Hi!


Du brauchst nur das luksFormat neu auszuführen. Du erhältst einen neuen Master-Key für die Verschlüsselung und somit sind die alten Daten ohnehin nicht mehr zu entschlüsseln, also nur noch Zufallsbits.
Ansonsten:
dd if=/dev/urandom of=/dev/hda7 bs=1M
Das dauert wohl ne Weile. ;)

Wenn eh die alten Versuche verworfen werden ist es egal.



Die Datei /etc/crypttab sollte eigentlich vorhanden sein. Sie wird beim Booten von /etc/init.d/boot.cryptmap ausgelesen.

Gruß
fuffy

Auch nach dem erneuten installieren von cryptsetup-luks gibt es bei mir keine Datei mit dem crypttab.
Anstatt der Datei boot.cryptmap gibts bei mir nur boot.crypto

Bernhard

Auch nach dem erneuten installieren von cryptsetup-luks gibt es bei mir keine Datei mit dem crypttab.
Die crypttab gehört auch nicht zu cryptsetup-luks.


Anstatt der Datei boot.cryptmap gibts bei mir nur boot.crypto
Dann schau rein, welche Konfigurationsdatei das Skript nutzt.

Gruß
fuffy

Ich kann dich beruhigen, bei mir gibt es auch keine /etc/crypttab und die Datei wird auch bei einer Installation von cryptsetup-luks aus den Quellen nicht erstellt. Deshalb vermute ich dass es sich dabei um eine distributionsspezifische Datei handelt.

Es reicht aber eigentlich vollkommen wenn du die Partition in der /etc/fstab einträgst und mit dem Skript aus dem Gentoo-Forum einbindest.

Um mal zu raten: Ich nehme an die /etc/crypttab sorgt dafür dass man die verschlüsselte Partition ganz einfach über "mount" mounten kann und im Hintergrund dann luksOpen & Co. ausgeführt werden.

-hanky-

edit: fuffy hat ja bereits gesagt dass die Datei nicht zu cryptsetup-luks gehört :ugly: Ich brauch Kaffe :D

Ich kann dich beruhigen, bei mir gibt es auch keine /etc/crypttab und die Datei wird auch bei einer Installation von cryptsetup-luks aus den Quellen nicht erstellt. Deshalb vermute ich dass es sich dabei um eine distributionsspezifische Datei handelt.
Ja, grundsätzlich gibt es die Datei bei Debian-Derivaten sowie Archlinux. Bei SUSE gibt es ne /etc/cryptotab, die IIRC loop-aes verwendet, also für diesen Fall wohl nicht hilfreich ist.

Yeat hat hier im Forum ein Init-Script gepostet, das dm_crypt verwendet. Ich weiß jetzt allerdings nicht, ob es LUKS unterstützt.
http://www.linuxforen.de/forums/showthread.php?t=207791


Um mal zu raten: Ich nehme an die /etc/crypttab sorgt dafür dass man die verschlüsselte Partition ganz einfach über "mount" mounten kann und im Hintergrund dann luksOpen & Co. ausgeführt werden.
Die Einträge in der /etc/crypttab sorgen dafür, dass die "geöffneten" Devices automatisch unter /dev/mapper/* bereit stehen, weil ja eben der Device-Mapper genutzt wird (dm-crypt).

Gruß
fuffy

Ok,Danke das erklärt einiges.


Es reicht aber eigentlich vollkommen wenn du die Partition in der /etc/fstab einträgst und mit dem Skript aus dem Gentoo-Forum einbindest.
Ok

Gibt es eigentlich eine Möglichkeit das Modul sha256 in den Kernel zu laden,ohne ihn zu compilieren?
Bis jetzt konnte ich ihn nur mit dem Befehl modprobe sha256 laden.
Bernhard

Gibt es eigentlich eine Möglichkeit das Modul sha256 in den Kernel zu laden,ohne ihn zu compilieren?
Bis jetzt konnte ich ihn nur mit dem Befehl modprobe sha256 laden.
Bei mir wurde es beim Aufruf von cryptsetup automatisch geladen. Falls nicht, was spricht gegen modprobe sha256 in der boot.local?
Willst du dein rootfs verschlüsseln? Da brauchst du sowieso eine initrd, über die das Modul dann per insmod geladen wird.

Gruß
fuffy

Danke,hab ich gemacht :)

So nun hab ich mir die Anleitung von DaGrrr mal zu Gemüte geführt,er hat eigentlich alles soweit akzeptiert.
Nur wenn ich die Platte mounten möchte (mit dem Befehl
mount /dev/mapper/daten /mnt/crypt )

Schreibt er folgendes:

mount: Einhängepunkt /mnt/crypt existiert nicht
Google kennt die Fehlermeldung komischerweise nicht.

@Fuffy: Was meinst du mit rootfs?Die Platte dient nur als Datenpartition also nicht die Swap oder die Boot Partition.

Bernhard

Da steht doch genau, was der Fehler ist. /mnt/crypt existiert nicht, also

mkdir /mnt/crypt ausführen.

Gruß
fuffy

Also irgendwie hab ich stark das Gefühl das ich etwas beim Verschlüsseln nicht checke.
Ich kann nun die Platte mounten,aber was nun?
Bzw was hat es mit dem Ordner /mnt/crypt aufsich?
Dort gibt es einen Ordner der lost+found heißt und nur per root Rechten zugänglich ist.
Falls irgendjemand ein gutes Buch kennt wäre ich sehr dankbar.

Ich war es immer gewohnt die Festplatten über den bei Suse integrierten Arbeitsplatz aufzurufen,doch da ist auch nach einem Reboot keine.Sollte dort eigentlich eine sein,oder muss ich meine Arbeitsweise nun ändern?

Bernhard,der nun komplett verwirrt ist :confused:

Hi!


Also irgendwie hab ich stark das Gefühl das ich etwas beim Verschlüsseln nicht checke.
Ich kann nun die Platte mounten,aber was nun?
Bzw was hat es mit dem Ordner /mnt/crypt aufsich?
Alles, was du in das Verzeichnis /mnt/crypt oder in ein Verzeichnis unterhalb davon kopierst, wird on-the-fly verschlüsselt und auf der Festplatte abgelegt. Umgekehrt wird bei jedem Lesezugriff transparent entschlüsselt.
Ich würde allerdings die Rechte von /mnt/crypt nach dem mount z.B. mit chmod 1777 /mnt/crypt anpassen, dass du als normaler Benutzer Schreibrechte hast.


Dort gibt es einen Ordner der lost+found heißt und nur per root Rechten zugänglich ist.
Das Verzeichnis lost+found hat mit der Verschlüsselung nichts zu tun. Das Verzeichnis lost+found gibt es in jedem ext2- und ext3-Dateisystem. Es dient dazu, verlorene Blöcke, also solche ohne Inode-Verweis, bei einem filesystem check (fsck) wieder zugänglich zu machen. Windows legt solche Dateien bei nem chkdsk einfach direkt in der Wurzel ab.


Ich war es immer gewohnt die Festplatten über den bei Suse integrierten Arbeitsplatz aufzurufen,doch da ist auch nach einem Reboot keine.Sollte dort eigentlich eine sein,oder muss ich meine Arbeitsweise nun ändern?
/mnt/crypt muss nach jedem Bootvorgang neu gemountet werden, inkl. Kennworteingabe. Es gibt zahlreiche Scripts, die dich direkt beim Booten nach dem Kennwort fragen. Das Script von Gentoo sollte das eigentlich auch können.

Wenn /mnt/crypt gemountet ist, sollte das Dateisystem eigentlich auch vom Konqueror gefunden werden und unter der Adresse system:/media bzw. media:/ angezeigt werden.

Gruß
fuffy

Alles was du jetzt in /mnt/crypt speicherst, landet verschlüsselt auf deiner Festplatte.

Ich denke, du bist auch ohne den Eintrag im "Arbeitsplatz" in der Lage, mit dem Dateimanager deines Vertrauens nach /mnt/crypt zu gehen. Oder bei beliebigen Programmen den Speicherpfad /mnt/crypt anzugeben. Mehr ist nicht zu tun :)


EDIT: Nicht zu fassen... wird man einfach überholt.

Jetzt kapier ich's,der große Aha Moment :D

Die Festplatte wird zwar immer noch nicht im Arbeitsplatz angeziegt,aber wie Pixelbrei bereits sagte ist es auch kein Problem dort hin zu manövrieren :)

Vielen Vielen Dank fuffy, -hanky- & Pixelbrei

Bernhard

edit: Eins macht mich noch stuzig:


Platte /dev/hda: 160.0 GByte, 160041885696 Byte
255 Köpfe, 63 Sektoren/Spuren, 19457 Zylinder
Einheiten = Zylinder von 16065 × 512 = 8225280 Bytes

Gerät boot. Anfang Ende Blöcke Id System
/dev/hda1 * 1 6918 55568803+ 7 HPFS/NTFS
/dev/hda2 6919 19457 100719517+ f W95 Erw. (LBA)
/dev/hda5 6919 9467 20474811 b W95 FAT32
/dev/hda6 9468 11498 16313976 b W95 FAT32
/dev/hda7 11499 14357 22964886 b W95 FAT32
/dev/hda8 14358 14485 1028128+ 82 Linux Swap / Solaris
/dev/hda9 14486 19456 39929526 83 Linux

Und zwar warum bei dem fett markierten als System FAT32 steht.Die Platte hatte ich nämlich als ext2 formatiert...

Hi,

man kann unter fdisk angeben als was die Partition markiert werden soll ( ein Aufruf von 'fdisk' und anschließend 'l' ( kleines L ) zeigt die Möglichkeiten an ). Vermutlich wurde die Partition als FAT32 markiert, kann dann aber trotzdem z.B. mit ext2 formatiert werden. Wenn du es ändern willst kannst du das mit 'c' tun und anschließend als Typ die '82' ( Linux ) angeben.

-hanky-

P.S.: fdisk sagt dazu übrigens:



c toggle the dos compatibility flag


Ich muss jedoch dazusagen dass ich mich damit nie intensiv auseinandergesetzt habe ;)

Nimm lieber die 83 (Linux native). 82 ist Linux swap.

Gruß
fuffy

Nimm lieber die 83 (Linux native). 82 ist Linux swap.

Gruß
fuffy

Ist ein Argument :D

Meinte natürlich die 83 ;)

-hanky-

Danke euch zweien!

Ich bin aber draufgekommen das ich irgendetwas nicht berücksichtigt habe-und zwar Windows.
Tja,Dummheit/Voreiligkeit gehört bestraft :( :ugly:

Bernhard