Volledige schijfversleuteling met Debian 9.4 of Ubuntu 18.04 LTS

Deze handleiding laat je stap voor stap zien hoe je een volledige schijf kunt versleutelen met Cryptsetup op Debian 9.4 of Ubuntu 18.04 LTS (Bionic Beaver). De schijf die versleuteld wordt mag geen deel uitmaken van een LVM volume.

Veronderstellingen

1. De schijf die versleuteld moet worden is geen onderdeel van LVM.

2. cryptsetup is al geïnstalleerd

3. Je kent het apparaat dat je wilt versleutelen al (ik gebruik in dit voorbeeld /dev/sdb1)

4. Je hebt alle gegevens op de schijf die je wilt versleutelen al opgeslagen anders ben je alles kwijt

5. Je moet weten hoe je sudo of su – gebruikt.

Opmerkingen & WAARSCHUWINGEN

Je hebt alle gegevens op de schijf die je wilt versleutelen al opgeslagen anders ben je alles kwijt

Het proces dat ik voorstel, werkte voor mij -. YMMV

Zie de verwijzende links aan het eind voor een volledig overzicht van andere opties en processen, want deze zelfstudie is een compilatie uit deze links om aan mijn behoeften te voldoen.

… en tenslotte: Je hebt alle gegevens op de schijf die je wilt versleutelen al opgeslagen anders raak je alles kwijt

En nu, voor iets heel anders… Het proces:

Maak een sleutelbestand voor authenticatie – dit wil je als je van plan bent auto mount on boot te gebruiken:

dd if=/dev/urandom of=/root/drive_key bs=1024 count=4

Bescherm het sleutel-bestand om alleen door root gelezen te kunnen worden:

chmod 0400 /root/drive_key

Initialiseer het LUKS bestandssysteem en gebruik het sleutel-bestand om te authenticeren in plaats van een wachtwoord:

cryptsetup -d=/root/drive_key -v luksFormat /dev/sdb1

Maak de LUKS mapping met behulp van het sleutel-bestand:

cryptsetup -d=/root/drive_key luksOpen /dev/sdb1 data

Maak je bestandssysteem (ik gebruik ext4):

mkfs.ext4 /dev/mapper/data

Maak je koppelpunt op het systeem (sommige mensen gebruiken /media):

mkdir /mnt/data

Monteer het nieuwe bestandssysteem op het koppelpunt:

mount /dev/mapper/data /mnt/data

Maak de te gebruiken mapper voor fstab door de volgende regel toe te voegen aan /etc/crypttab:

data /dev/sdb1 /root/drive_key luks

Voeg het koppelpunt toe aan /etc/fstab:

/dev/mapper/data /mnt/data ext4 defaults 0 2

Op dit punt hoef je alleen nog maar opnieuw op te starten of mount -a te gebruiken. Zelf vind ik het veel netter om het systeem gewoon opnieuw op te starten.

Deze opzet werkt heel zal met zowel Debian als Ubuntu. Ik heb deze opzet tussen de twee verwisseld.

Wat dit betekent is, dat als je een versleutelde schijf zoals hierboven geschetst in Debian aanmaakt (zoals ik met 9.4 gedaan heb), ik diezelfde schijf ook onder Ubuntu 18.04 kan aankoppelen, zolang ik maar hetzelfde proces en sleutelbestand gebruik zoals hierboven geschetst.

De sleutel daartoe is dat je op z’n minst je root directory (of op z’n minst het sleutelbestand) getarballed hebt en naar dezelfde plaats verplaatst met dezelfde rechten als onder het vorige besturingssysteem.

Verwijzende links voor verder lezen:

  1. Linux Harde Schijf Encryptie met LUKS
  2. Ontgrendel automatisch LUKS versleutelde schijven met een sleutelbestand
  3. Hoe een met LUKS versleutelde schijf herstellen