Möchte man nachträglich ein Verzeichnis verschlüsseln und dieses automatisch beim Hochfahren des Rechners – nach Eingabe des Paßwortes – einhängen lassen, so bietet sich diese Kurzanleitung an. In dieser wird beispielhaft das /home
-Verzeichnis verschlüsselt. Da die verschlüsselten Daten nicht in einer separaten Partition, sondern in einer mitwachsenden Sparse-Datei landen, entfällt auch eine nachträgliche Neupartitionierung. Die folgenden Schritte werden als root ohne angemeldete Benutzer, die ihre Heimatverzeichnisse unter /home
haben, durchgeführt.
Zum Verwenden von LUKS wird das Kommandozeilenprogramm cryptsetup
benötigt:
apt-get update
apt-get install cryptsetup
Hier wird ein LUKS-Container, der auf maximal 8GB anwächst, erstellt, formatiert und eingehängt:
dd if=/dev/zero of=/home.img seek=8192 count=1 bs=1M
cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 -y /home.img
cryptsetup luksOpen /home.img home
mkfs.ext4 /dev/mapper/home
/home-old
in das neue nach /home
kopiert werden:
mv /home /home-old
mkdir /home
mount /dev/mapper/home /home
chmod 777 /home
cd /home-old
cp -rav . /home
/etc/crypttab
konfiguriert werden. Nach erfolgreicher Abfrage wird das Gerät /dev/mapper/home
angelegt, welches die entschlüsselten Daten repräsentiert:
echo "home /home.img none luks" >> /etc/crypttab
Das automatische Einhängen geschieht durch den Eintrag in /etc/fstab
:
echo "/dev/mapper/home /home ext4 defaults 0 2" >> /etc/fstab
Anschließend den Rechner neu starten und überprüfen, ob das Mounten funktioniert:
reboot
Nach ausgiebigem Testen kann /home-old
gelöscht werden.