Technologie einfach erklärt

Wie man seine Partitionen unter Linux mit dm-crypt verschlüsselt

Festplattenverschlüsselung Linux Dm Crypt Featured

Festplatten und SSDs lassen sich leicht aus Laptops oder Computern entfernen. In solch einem Fall entfallen alle Sicherheitsmaßnahmen, die Ihr Betriebssystem implementiert hat. Wenn Sie Daten haben, die Sie schützen möchten, können Sie einen verschlüsselten Container erstellen. Dort speichern Sie sensible Dateien, während Sie nicht vertrauliche Dateien auf Ihren regulären Partitionen speichern.

Es ist am einfachsten, eine verschlüsselte Partition während der Installation Ihrer Linux-Distribution einzurichten. Der Installer kann Sie dabei anleiten. Wenn Sie diese Gelegenheit jedoch verpasst haben, folgen Sie den Schritten in diesem Leitfaden, um Ihr geheimes Depot zu erstellen.

Ebenfalls lesen: So verschlüsseln Sie Dateien unter Linux mit GPG, Ccrypt, Bcrypt und 7-Zip

Anforderungen

Sie benötigen eine leere Partition für diesen Prozess. Das bedeutet eine, die unformatiert ist (kein Dateisystem darauf).

Wenn Ihre formatierten Partitionen derzeit den gesamten freien Speicherplatz auf Ihrem Speichergerät belegen, müssen Sie GParted verwenden, um eine von ihnen zu verkleinern.

Warnung: Es ist ratsam, zuerst eine Sicherungskopie Ihrer Daten zu erstellen. Wenn Sie eine Partition und ihr Dateisystem verkleinern, besteht ein kleines Risiko. Ihr Computer könnte während des Prozesses abstürzen oder den Strom verlieren. Dies könnte Ihr Dateisystem in einen inkonsistenten Zustand versetzen, von dem es schwer sein kann, sich zu erholen.

Befolgen Sie die ersten Schritte in diesem Leitfaden, um eine Partition mit GParted zu verkleinern. Oder, wenn es eine Partition gibt, die Sie nicht mehr benötigen, können Sie diese löschen. (Nachdem Sie etwas Speicherplatz freigegeben haben und diese als “nicht zugeordnet” angezeigt wird, überspringen Sie die restlichen Schritte aus dem Leitfaden.) Stellen Sie speziell sicher, dass Sie keine Partition formatieren, die als ext4 formatiert ist. Klicken Sie stattdessen mit der rechten Maustaste auf den nicht zugeordneten Speicherplatz, wie im Leitfaden gezeigt. Im Dialogfenster, das sich öffnet, sehen Sie ein Feld mit der Bezeichnung “Dateisystem.” Normalerweise sollte hier ext4 als Standard ausgewählt sein. Klicken Sie darauf und ändern Sie es in “gelöscht.”

cryptsetup-gparted-new-partition-cleared

Nachdem Sie “Hinzufügen” ausgewählt haben, klicken Sie auf das grüne Häkchen, um die Änderungen anzuwenden.

Installieren Sie cryptsetup

Wenn Sie ein Live-Betriebssystem gestartet haben, um Ihre Partitionen mit GParted zu bearbeiten, starten Sie in Ihre Haupt-Linux-Distribution neu.

Öffnen Sie einen Terminal-Emulator. Auf Debian-basierten Systemen wie Ubuntu oder Linux Mint geben Sie diesen Befehl ein:

sudo apt update &&sudo apt install cryptsetup

cryptsetup-installing-package

Auf Distributionen wie Fedora oder CentOS und anderen, die RPM-Pakete anstelle von DEB verwenden, könnte cryptsetup bereits installiert sein. Wenn nicht, können Sie es mit:

sudoyum install cryptsetup

Auf OpenSUSE, wenn cryptsetup nicht vorinstalliert ist, können Sie es mit folgendem Befehl installieren:

sudo zypper refresh &&sudo zypper install cryptsetup

Und auf Arch-basierten Distributionen verwenden Sie diesen Befehl:

sudo pacman -S cryptsetup

Finden Sie den Blockgerätenamen Ihrer Partition

Geben Sie den folgenden Befehl ein:

lsblk

cryptsetup-lsblk

Im Beispiel auf dem Bild ist das Speichergerät „vda.“ „vda1“ bis „vda3“ sind Partitionen.

Um die Partition zu finden, die Sie vorbereitet haben, merken Sie sich die Größe, die Sie dafür reserviert haben. Sie finden sie unter den Partitionen ohne Einhängepunkte. In Ihrem Fall könnte dies etwas sein wie „/dev/sda2“ anstelle von „/dev/vda3.“

Das Verschlüsseln der Partition wird Daten darauf überschreiben (wenn vorhanden), was bedeutet, dass Sie nützliche Daten zerstören könnten, wenn Sie den Gerätenamen falsch eingeben. Um sicherzustellen, dass Sie den Gerätenamen richtig haben, können Sie GParted installieren und sich Ihr Partition-Layout ansehen. Die Gerätenamen werden in der grafischen Benutzeroberfläche aufgelistet. Verwenden Sie nicht den Namen, den Sie in GParted gesehen haben, als Sie vom Live-System gebootet haben (sofern dies der Fall war). Das Layout, das im Live-System angezeigt wird, wird sich von dem Layout unterscheiden, das Sie beim Booten von Ihrer installierten Distribution sehen.

Es gibt einen anderen Weg, um sicherzustellen, dass Sie nicht auf das falsche Blockgerät schreiben. Versuchen Sie, es zu mounten. Normalerweise sollte es sich weigern, da es kein Dateisystem darauf hat.

Wichtig: Denken Sie daran, immer „vda3“ durch den Namen Ihres Geräts zu ersetzen:

sudomount/dev/vda3 /mnt

In Ihrem Fall könnte der Befehl sudo mount /dev/sda2 /mnt oder etwas anderes sein.

Dies ist die Nachricht, die Sie erhalten sollten.

cryptsetup-test-mount

LUKS-Header einrichten

Sobald Sie sich sicher sind, dass Sie den richtigen Gerätenamen haben, fügen Sie einen LUKS-Header zur Partition hinzu.

sudo cryptsetup luksFormat /dev/vda3

Geben Sie „JA“ ein und wählen Sie dann ein starkes Passwort für Ihre verschlüsselte Partition. Geben Sie dasselbe Passwort bei der Aufforderung zur Bestätigung der Passphrase ein.

Erstellen Sie ein Dateisystem auf der Partition

Sie müssen dieses physische Gerät einem virtuellen Gerät zuordnen. Was auf das virtuelle Gerät geschrieben wird, wird vor der Speicherung auf dem physischen Gerät verschlüsselt.

sudo cryptsetup luksOpen /dev/vda3 encrypted-partition

Die Partition benötigt ein Dateisystem, um verwendbar zu sein. Erstellen Sie ein ext4-Dateisystem mit folgendem Befehl:

sudo mkfs.ext4 /dev/mapper/encrypted-partition

cryptsetup-make-ext4-filesystem

Verschlüsselte Partition einhängen

Erstellen Sie das Verzeichnis, in dem Sie das Dateisystem der Partition einhängen werden.

mkdir ~/encrypted-storage

Hängen Sie das Dateisystem ein:

sudomount/dev/mapper/encrypted-partition ~/encrypted-storage

Wechseln Sie in dieses Verzeichnis:

cd ~/encrypted-storage

Im Moment kann nur der Root-Benutzer hier schreiben. Geben Sie Ihrem Benutzer die Erlaubnis, in dieses Dateisystem zu schreiben, indem Sie ihn zum Besitzer des übergeordneten Verzeichnisses machen. Kopieren Sie den gesamten Befehl, einschließlich des „.“ am Ende.

sudochown$USER:$USER .

Schränken Sie andere Benutzer ein, dieses Verzeichnis zu lesen oder zu schreiben.

chmodo= .

In diesem Moment sollten die meisten Dateimanager Ihnen das neue verschlüsselte Gerät in der Benutzeroberfläche anzeigen. So sieht es im Thunar-Dateimanager aus, der standardmäßig in der XFCE-Desktop-Umgebung verwendet wird.

cryptsetup-encrypted-partition-in-thunar

Wenn das Volume nicht eingehängt ist, werden Sie beim Klicken darauf nach dem Passwort für das Volume und Ihrem sudo-Passwort gefragt. Das Volume wird automatisch eingehängt, und Sie können es durchsuchen. Der Einhängepunkt wird sich von „~/encrypted-storage“ unterscheiden. Es könnte etwas sein wie „/media/user/f42f3025-755d-4a71-95e0-37eaeb761730/.“

Das ist unwichtig; die vorher festgelegten Berechtigungen gelten weiterhin. Wichtig ist, dass Sie daran denken, mit einem Rechtsklick darauf und dem Abmelden zu beenden, wenn Sie mit dem Volume fertig sind. Das Abmelden und Schließen des virtuellen Geräts garantiert, dass niemand die Daten von der verschlüsselten Partition lesen kann, nicht einmal Ihr Betriebssystem.

Wenn Ihr Dateimanager aus irgendeinem Grund diese Funktion nicht unterstützt, können Sie von der Konsole aus mounten.

sudo cryptsetup luksOpen /dev/vda3 encrypted-partition  
sudomount/dev/mapper/encrypted-partition ~/encrypted-storage

Sie können jetzt auf das Volume zugreifen, indem Sie im Dateimanager zu „/home/benutzername/encrypted-storage“ gehen. Wenn Sie fertig sind, trennen Sie das Dateisystem und schließen das virtuelle Gerät:

cd&&sudoumount/dev/mapper/encrypted-partition  
sudo cryptsetup luksClose /dev/mapper/encrypted-partition

Fazit

Sie haben jetzt einen sicheren Speicher für Ihre wichtigen Dateien. Die Gewissheit, dass niemand sehen kann, was Sie dort speichern, sollte Ihnen ein gewisses Maß an beruhigender Sicherheit geben.

Inhalt

  1. Anforderungen
  2. Installieren Sie cryptsetup
  3. Finden Sie den Blockgerätenamen Ihrer Partition
  4. LUKS-Header einrichten
  5. Erstellen Sie ein Dateisystem auf der Partition
  6. Verschlüsselte Partition einhängen
  7. Fazit
Ello-dashboardprofile

Ello: Das Private Soziale Netzwerk Erforschen

Bitdefender installiert nicht: 3 einfache Lösungen, die Sie verwenden können

Mehr über Bitdefender Fixes

Google stellt Inbox ein und gibt ihm sechs Monate zu leben

seitenverhaeltnisse-16x9

Verstehen von Video-Seitenverhältnissen

Dateimanager mit Tags zur Organisation Ihrer Dateien: Top 5

Wake-on-LAN funktioniert nicht

Wake On LAN funktioniert nicht unter Windows [Gelöst]

easycap-mac-mspacman-console

Verwendung von EasyCAP zum Erfassen von VHS und Konsolen auf dem Mac

Google testet neue Chrome-Funktion zur Upgrade-Berechtigung für Windows 11