Bei den meisten Kunden verschlüssel ich grundsätzlich die Festplatten (verschlüsseltes LVM, siehe Blogbeiträge) so, dass direkt beim Booten ein Passwort eingegeben werden muss. Wird der Rechner geklaut oder geht verloren, so kann der Dieb oder der unehrliche Finder keinen Zugriff auf die Daten erhalten.
Nutzen mehrere Personen den selben Rechner, so sollte man auch mehrere Passwörter einrichten, so dass jeder Nutzer sein eigenes Passwort für die Entschlüsselung der Daten nutzen kann. Es werden bei diesem Verfahren (LUKS) bis zu 8 sogenannte Slots unterstützt - also bis zu acht Passwörter. Die Passwörter sind gleichberechtigt - also gibt das unsicherste Passwort die Sicherheit vor.
Zum Hinzufügen eines neuen Passworts wie folgt vorgehen:
Namen des verschlüsselten Geräts ermitteln (/dev/sdaX#):
- Beim Booten schauen, was bei Eingabe des Passwortes angezeigt wird:
"Unlocking the disk [...] (sdX#_crypt)"
sowie kurz nach Eingabe des korrektes Passwortes:
"cryptsetup: sdX#_crypt setup sucessfully"
Hier den Buchstaben X und die Nummer # merken. - Klappt das nicht, so kann das korrekte Laufwerk auch mit der Laufwerksverwaltung ermittelt werden:
"System" -> "Systemverwaltung" -> "Laufwerksverwaltung"
Dort durch die Festplatte(n) klicken. Sobald eine Partition mit "Verschlüsselt" angezeigt wird, ist man richtig (siehe Screenshot). Nun auf diese Partition klicken und unter "Gerät" die Bezeichnung ablesen. - Oder als weitere Möglichkeit im Terminal:
$ sudo pvdisplay
Damit erhält man eine Übersicht über die physikalischen Laufwerke und entdeckt dort das verschlüsselte Laiufwerk inklusive Gerätenamen. - Egal wie man das Gerät ermittelt, es muss die Form: /dev/sdX# haben, also z.B. /dev/sda5.
Nun ein weiteren Passwort hinzufügen:
- Slot hinzufügen:
$ sudo cryptsetup luksAddKey /dev/sdX# - Nach Eingabe des Passwortes für "sudo" muss man ein gültiges Passwort für die Entschlüsselung des Gerätes eingeben.
- Anschließend gibt man das zusätzliche neue Passwort ein (und dann nochmals).
Danach kann man die Festplatte mit beiden Passwörtern entschlüsseln.
Möchte man einen Slot löschen, dann geht das wie folgt:
- Zum Löschen im Terminal eingeben:
$ sudo cryptsetup luksKillSlot /dev/sdX# [slot]
Zum Entsperren muss man ein Passwort eingeben, dass erhalten bleibt.
Damit wird Slot [slot] entfernt (Zählung beginnt bei 0!).
Bsp:
$ sudo cryptsetup luksKillSlot /dev/sda5 1
So sollte das klappen.
Screenshot (anklicken zum Vergrößern):
(Quelle: wiki.ubuntuusers.de)
Hat Ihnen unser Blog-Eintrag geholfen? Dann hinterlassen Sie uns doch einen netten Kommentar... Danke!
