Auf einem Notebook das Homeverzeichnis verschlüsseln ist nur die halbe Miete: Auch aus Log- und Konfigurationsdateien ziehen Diebe und unehrliche Finder Rückschlüsse. Schützen Sie mit DM-Crypt und LUKS die gesamte Festplatte vor fremden Blicken - das kann aber keine Distribution out of the Box.

Wurzelbehandlung

Anders als bei »/tmp« und beim Swap ist das Root-Dateisystem permanent, wird also nicht nach jedem Reboot neu erzeugt. Sie legen es einmal an und binden es bei jedem Neustart wieder ein. Hierfür sind die zusätzlichen LUKS-Funktionen (von »cryptsetup-luks«) nötig, und die Vorgehensweise weicht ab. Mit den folgenden Parametern erzeugt »cryptsetup-luks« auf »/dev/hda3« einen LUKS-Header, wobei es als Verschlüsselungsalgorithmus AES mit Schlüssellänge 256 Bit verwendet und eine Passphrase setzt:

cryptseup-luks -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/hda3

Dann erzeugen Sie ein virtuelles Blockdevice »/dev/mapper/dm-root«, das auf die Partition »/dev/hda3« abgebildet wird. Hier fragt »cryptsetup« nach der gerade festgelegten Passphrase. Anschließend formatieren Sie das virtuelle Blockdevice (im Beispiel im Ext-3-Format) und mounten es:

cryptsetup-luks luksOpen /dev/hda3 dm-root
mkfs.ext3 /dev/mapper/dm-root
mount /dev/mapper/dm-root /mnt

Das neue, verschlüsselte Root-Dateisystem ist jetzt unter »/mnt« eingebunden und noch leer. Für die folgenden Aktionen stecken Sie den bootfähigen Memory Stick ein. Kopieren Sie die komplette Installation des aktuellen Linux-Systems von der unverschlüsselten Partition »/dev/hda4« nach »/mnt«. Bei diesem Kopiervorgang landen die Daten verschlüsselt auf der Partition »/dev/hda3«. Die Verzeichnisse »/boot«, »/lost+found«, »/proc«, »/sys«, »/tmp« und natürlich »/mnt« lassen Sie beim Kopieren aus. Der Kopierbefehl, zum Beispiel

cd /; cp -ax bin dev etc home lib media opt root sbin usr var /mnt/

nimmt einige Zeit in Anspruch, da Sie hier - je nach Installation - zwischen 2 und 3 GByte Daten durch die Verschlüsselungsschicht schleusen.

Damit ist auf der Partition »/dev/hda3« ein verschlüsseltes Abbild des Root-Dateisystems von »/dev/hda4« zu finden, das Sie mit »umount /mnt; cryptsetup-luks luksClose dm-root« manuell deaktivieren und mit »cryptsetup-luks luksOpen /dev/hda3 dm-root; mount /dev/mapper/dm-root /mnt« wieder aktivieren können.

Ab jetzt im Crypto-Root

Arbeiten Sie von nun an mit »chroot« im verschlüsselten System weiter: Dort legen Sie zunächst die fehlenden Mountpoints an und mounten den Memory Stick nach »/boot«.

chroot /mnt
mkdir -p /boot /proc /sys /tmp /mnt
mount -t proc proc /proc
mount -t sysfs sysfs /sys
mount /dev/sda1 /boot

Ein Bootversuch vom USB-Stick mit dem Root-Dateisystem »/dev/hda3« oder »/dev/mapper/dm-root« würde bisher noch scheitern, da das Programm »init« als Bestandteil der »initrd« in beiden Fällen mit dem Root-Dateisystem nichts anzufangen wüsste: Auf der Partition »/dev/hda3« liegt scheinbar nur Datenmüll und das virtuelle Device »/dev/mapper/dm-root« gibt es noch nicht.

Auf einem Notebook das Homeverzeichnis verschlüsseln ist nur die halbe Miete: Auch aus Log- und Konfigurationsdateien ziehen Diebe und unehrliche Finder Rückschlüsse. Schützen Sie mit DM-Crypt und LUKS die gesamte Festplatte vor fremden Blicken - das kann aber keine Distribution out of the Box.