Änderungen

Zur Navigation springen Zur Suche springen
full-disk encryption erster teil
Zeile 240: Zeile 240:     
  # <filesystem> <mount point> <fstype> <mount options> <dump>  <pass>
 
  # <filesystem> <mount point> <fstype> <mount options> <dump>  <pass>
  ''/dev/mapper /crypt_swap   none swap sw  0  0''
+
  ''/dev/mapper/crypt_swap   none swap sw  0  0''
    
Erklärungen siehe oben unter Punkt ''4.3''
 
Erklärungen siehe oben unter Punkt ''4.3''
Zeile 246: Zeile 246:  
Die Datei ''fstab'' sichern und die Verschlüsselung für die swap-Partition ist beendet. Nach dem System-Reboot wird diese automatisch verwendet.
 
Die Datei ''fstab'' sichern und die Verschlüsselung für die swap-Partition ist beendet. Nach dem System-Reboot wird diese automatisch verwendet.
    +
Falls der Tiefschlafmodus ('hibernation') eines Laptops verwendet werden möchte, muss im Bootloader der Bootparameter
    +
resume=/dev/mapper/crypt_swap
 +
 +
angehängt werden. Ausserdem muss sichergestell werden, dass der Kernel-Hook ''resume'' aktiviert ist.
 +
 +
==Verschlüsseln des gesamten Rechners (Full-Disk Encryption)==
 +
Um den gesamten PC komplett zu verschlüsseln, geht man wie oben beschrieben vor, um alle Partitionen zu verschlüsseln. Die einzige unverschlüsselte Ausnahme bildet eine kleine Bootpartition, die in der ''fstab'' unter /boot eingehängt wird:
 +
 +
# <filesystem> <mount point> <fstype> <mount options> <dump>  <pass>
 +
''/dev/sdaX /boot ext4 rw,relatime,data=ordered,nodev,nosuid,noexec 0 2
 +
 +
In dieser Partition landet ausschliesslich der Bootloader (GRUB oder Syslinux) und der aktuelle Kernel. Wenn alle andere Partitionen verschlüsselt wurden, ändert man folgende Linie im GRUB-Bootloader:
 +
 +
  kernel /vmlinuz-linux cryptdevice=/dev/sdaX:root root=/dev/mapper/root resume=/dev/mapper/crypt_swap rw
 +
 +
bzw in Syslinux entsprechend:
 +
 +
  APPEND cryptdevice=/dev/sdaX:rootDevice root=/dev/mapper/rootDevice resume=/dev/mapper/crypt_swap rw
 +
 +
sdaX muss auf die Root-Partition verweisen.
 +
 +
Zusätzlich wird in die Datei ''/etc/fstab'' dies eingetragen:
 +
 +
  /dev/mapper/rootDevice    /        ext4      rw,relatime,data=ordered 0 1
 +
 +
Wichtig ist, dass jetzt vor dem Reboot das Kernel-Image neu gebaut wird und dass dabei der Kernel-Hook ''encrypt'' hizugefügt wird, und zwar '''vor''' dem ''filesystems''. Ausserdem muss, falls noch nicht geschehen, das Modul ''dm_mod'' aktiviert werden. Anschliessend kann neu gestartet werden.
    
[[Category:ImmerdaDocumentationProject]]
 
[[Category:ImmerdaDocumentationProject]]
 
[[Category:LinuxSecurity]]
 
[[Category:LinuxSecurity]]
 
[[category:namespace]]
 
[[category:namespace]]
19

Bearbeitungen

Navigationsmenü