Eine verschlüsselte Festplatte einrichten

Alle ausklappen Alle einklappen

Vorbereitungen

Eine dafür vorgesehene Festplatte anlegen

1. Um eine Festplatte verschlüsseln und in das JiffyBox System einbinden zu können, wird eine zusätzliche Festplatte benötigt. Diese können Sie über das Control-Panel erstellen:

Loggen Sie sich im Control-Panel ein und wählen Sie in der linken Navigation "Profile und Festplatten".

Klicken Sie auf "Neue Festplatte hinzufügen".

Geben Sie einen Namen an und wählen als Dateisystem "unformatiert / anderes". Legen Sie zudem eine Größe für die Festplatte fest.

Sollte nicht mehr genügend Speicher zur Verfügung stehen, können Sie die Systemfestplatte verkleinern. Klicken Sie hierzu ebenfalls unter "Profile und Festplatten" neben der gewünschten Festplatte auf "Ändern".

2. Damit die Festplatte der JiffyBox zugeordnet ist, muss Sie nun noch dem Profil hinzugefügt werden. Klicken Sie dazu neben dem aktiven Profil auf "Ändern" und fügen die Festplatte als "/dev/xvdc" hinzu.

Benötigte Pakete installieren

Die Pakete, die für die verschlüsselte Festplatte benötigt werden, können Sie unter Ubuntu / Debian über den folgenden Befehl installieren:

 

# apt-get install cryptsetup lvm2

 

Falls Sie CentOS / Fedora einsetzen, nutzen Sie für die Installation folgenden Befehl:

 

# yum install crytpsetup lvm2

 

Unter openSUSE werden die Pakete mit dem folgenden Kommando installiert:

 

# zypper in crytpsetup lvm2

Die Festplatte einrichten

1. Richten Sie die zu verschlüsselnde Festplatte mit dem folgenden Kommando ein:

 

# cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/xvdc

 

2. Dabei erscheint folgende Meldung:

 

WARNING!
========
This will overwrite data on /dev/xvdc irrevocably.

Are you sure? (Type uppercase yes):

 

Bestätigen Sie die Meldung mit YES in Großbuchstaben.

3. Danach können Sie ein Passwort festlegen, das für die verschlüsselte Festplatte genutzt werden soll. Es empfiehlt sich, ein Passwort zu verwenden, das mindestens 16 Zeichen lang ist, damit das Volume auch wirklich sicher ist.

4. Nachdem der Vorgang abgeschlossen ist, können Sie das Volume aktivieren:

 

# cryptsetup luksOpen /dev/xvdc lvm

 

An dieser Stelle wird erneut das Passwort abgefragt.

Im Detail bedeutet der Befehl, dass das Device "xvdc" geöffnet wird und ein neues Device namens "lvm" angelegt wird. Dadurch ergibt sich dann das neue Device "/dev/mapper/lvm". Das Device wird nach Eingabe des Passworts aktiviert. Ohne das Passwort ist kein Zugriff auf die Daten möglich.

5. Legen Sie nun ein physisches Volume auf der verschlüsselten Festplatte an:

 

# pvcreate /dev/mapper/lvm

 

6. Erstellen Sie anschließend auf dem physischen LVM-Volume eine Volume-Gruppe:

 

# vgcreate volgrp /dev/mapper/lvm

 

7. Legen Sie ein logisches Volume an, das den Speicher der Festplatte zu 100% belegt:

 

# lvcreate -l 100%FREE -n home volgrp

 

In diesem Beispiel wird dieses logische Volume "home" genannt, da die verschlüsselte Festplatte zu einem späteren Zeitpunkt in "/home" eingebunden werden soll.

8. Formatieren Sie das logische Volume mit dem folgenden Befehl:

 

# mkfs.ext4 /dev/volgrp/home

 

9. Da das Volume namens "home" in das Verzeichnis "/home" eingebunden werden soll, muss sicher gestellt sein, dass das Verzeichnis "/home" leer ist. Wenn sich in diesem Verzeichnis Daten befinden, sollten Sie diese in ein temporäres Home-Verzeichnis verschieben:

 

# cd /
# mkdir tmphome
# mv home/* tmphome/

 

10. Es empfiehlt sich, anschließend mit den folgenden Befehlen zu prüfen, ob das Verzeichnis tatsächlich leer ist:

 

# cd /home
# ls -alh

 

11. Wenn das Verzeichnis leer ist, können Sie es mit dem folgenden Befehl einbinden:

 

# mount /dev/volgrp/home /home

 

Jetzt können Sie das Volume über das Verzeichnis "/home" nutzen. Die Daten, die sich in dem temporären Home-Verzeichnis befinden, können Sie mit folgendem Befehl wieder zurück in das Home-Verzeichnis verschieben:

 

# mv /tmphome/* /home/

Das Volume aktivieren

Um die Sicherheit zu erhöhen und die Passwort-Abfrage beim Booten zu vermeiden, wird das Volume nicht automatisch eingebunden. Sie können das Volume aber mit einem Skript einbinden. Ein solches Skript kann folgendermaßen aussehen:

 

#/bin/bash
 
cryptsetup luksOpen /dev/xvdb lvm
vgchange -a y volgrp
mount /dev/volgrp/home /home

Das Volume deaktivieren

Bevor das System herunter gefahren wird, muss das verschlüsselte Volume immer ausgehangen werden. Das ist mit den folgenden Befehlen möglich:

 

# umount /home
# vgchange -a n volgrp
# cryptsetup luksClose lvm

 

Ein Bash-Skript dafür kann zum Beispiel folgendermaßen aussehen:

 

#/bin/bash
 
umount /home
vgchange -a n volgrp
cryptsetup luksClose lvm

Optionale Schritte

De-/Aktivieren beim Login/Logout automatisieren

Um das Volume bei einem Login automatisch einzubinden und beim Logout automatisch zu deaktivieren, können Sie die Dateien .bashrc und .bash_logout im Verzeichnis /root entsprechend anpassen.

Die ".bashrc" können Sie zum Beispiel mit folgendem Code ergänzen:

 

MOUNT=`mount | grep home`
 
if [ -z $MOUNT ]
then
  cryptsetup luksOpen /dev/xvdb lvm
  vgchange -a y volgrp
  mount /dev/volgrp/home /home
fi

 

Die Bedingung am Anfang prüft, ob die verschlüsselte Festplatte bereits eingebunden wurde und bindet sie nur dann ein, wenn sie nicht eingebunden ist. Das stellt sicher, dass keine Fehler auftreten, wenn Sie mehrere SSH-Sessions parallel öffnen.

Um beim Logout die Festplatte automatisch zu deaktivieren, können Sie die Datei .bash_logout im Verzeichnis /root erweitern bzw. neu anlegen. Ergänzen Sie die Datei mit folgendem Code:

 

umount /home
vgchange -a n volgrp
cryptsetup luksClose lvm

FTP-Server für die verschlüsselte Festplatte installieren

Sie können die verschlüsselte Festplatte auch mit einem FTP-Server erreichbar machen, um Daten darauf zu lagern.

1. Den FTP-Server installieren Sie mit dem folgenden Befehl:

 

# apt-get install proftpd

 

2. Geben Sie bei der Installation von ProFTPd an, dass dieser "Standalone" installiert wird.

3. Setzen Sie nach der Installation die folgenden Einstellungen:

 

DefaultRoot                     ~
RequireValidShell               off

 

4. Starten Sie den FTP-Server anschließend neu:

 

# /etc/init.d/proftpd restart

 

5. Legen Sie nun einen Benutzer für den FTP Server an. Ersetzen Sie USERNAME dabei durch den gewünschen Benutzernamen:

 

# useradd -m -s /bin/false USERNAME

 

Die Option -s legt die Login-Shell fest. Sie wird auf /bin/false gesetzt, damit sich der Benutzer nicht lokal oder per SSH einloggen kann. Dadurch wird die Sicherheit erhöht.

6. Legen Sie das Passwort mit folgendem Befehl fest – ersetzen Sie USERNAME dabei durch den von Ihnen gewählten Benutzernamen:

 

# passwd USERNAME

 

Danach ist der FTP-Server über die IP-Adresse Ihrer JiffyBox erreichbar. Der Login erfolgt über den gerade angelegten Benutzer.

Geben sie uns Ihr Feedback

Das freut uns und wir haben Ihre positive Rückmeldung vermerkt. Wenn Sie möchten, teilen Sie uns gerne noch Details mit: Was hat Ihnen besonders gefallen? Welche Informationen waren besonders hilfreich?

Leider können wir Ihr Feedback nicht direkt beantworten, wir verwenden es jedoch, um die FAQ weiterzuentwickeln und zu verbessern. Wir freuen uns auf Ihre Antwort!

Geben sie uns Ihr Feedback

Es tut uns leid, dass Sie mit den FAQ nicht zufrieden sind. Welche Information vermissen Sie? Was können wir besser machen?

Leider können wir Ihr Feedback nicht direkt beantworten, wir verwenden es jedoch, um die FAQ weiterzuentwickeln und zu verbessern. Wir freuen uns auf Ihre Antwort!