Partitionierung¶

Bei einer Standard-Installation von Ubuntu werden lediglich zwei Partitionen angelegt: eine Partition für den Swap-Speicher, und eine Partition für das gesamte Root-Dateisystem. Da die Ver- und Entschlüsselung vom Kernel durchgeführt wird, kann das Kernel-Abbild selbst nicht verschlüsselt werden und muss beim Booten unverschlüsselt vorliegen. Um dies zu ermöglichen wird das Verzeichnis /boot, dass den Kernel und den Bootloader enthält, auf einen eigene Partition verschoben, die als einnzige unverschlüsselt bleibt.

Es werden seperate Partition vorausgesetzt für die Ordner /boot, das Wurzelverzeichnis / und den swap Speicher. Es ist auch generell sinnvoll /home auf eine eigene Partition auszulagern, jedoch ist das zur Verschlüsselung kein Muss. Das Verschieben von /home auf eine eigene Partition wird im Artikel Home umziehen beschrieben. Die folgende Anleitung wird von folgenden Partitionen und ihren Bezeichnungen ausgehen:

* /dev/sda1 (ext3)

• Boot-Partition

• Einhängepunkt /boot

• Größe: mindestens 100 MB

* /dev/sda2 (swap)

• Swap-Partition

• Einhängepunkt keiner

• Größe: mindestens die Größe des Arbeitsspeichers für Suspend-to-Disk-Fähigkeit, üblicherweise 2 GB

* /dev/sda3 (ext3)

• Root-Partition

• Einhängepunkt /

• Größe: der verfügbarer Rest, mindestens 10 GB

Auf dem eigenen Rechner kann die Anzahl der Partitionen, deren Größe, und deren Bezeichnung im /dev/ Ordner natürlich stark abweichen. Wichtig ist hier nur, dass für die /boot Partition eine seperate Partition besteht.

Zusätzlich muss ein Speichermedium vorhanden sein, dass genügend freien Platz bietet, um temporär eine Kopie des Wurzelverzeichnis aufzunhemen. Dies kann neben einer Partition auf der internen Festplatte auch ein USB-Stick, eine externe Festplatte, eine Netzwerk-Freigabe oder ähnliches sein. Wichtig ist, dass auf dieses Speichermedium schreibend zugegriffen werden kann. Im Folgenden wird davon ausgegangen, dass sich eine den Anforderungen entsprechende Partition unter /dev/sdb1 befindet.

Software installieren und benötigte Kernelmodule laden¶

Wir fahren das System mit der Live CD hoch. Zuerst wird im Live-System das folgende Paket installiert ^[2]:

• cryptsetup(universe, ^[3])

Zunächst wird ein Terminal geöffnet und durch die Eingabe von

sudo -s 

root-Rechte erlangt. Dann werden durch Eingabe von

modprobe aes
modprobe dm-crypt
modprobe sha256 

in die benötigten Kernelmodule geladen.

modprobe dm-mod 

Einhängepunkte erstellen und belegen¶

Es werden nun Einhängepunkte erstellt, in die die bestehenden Partitionen gemountet werden:

mkdir /media/{boot,root}
cd /media
mount /dev/sda1 boot
mount /dev/sda3 root 

/boot verschieben¶

Als nächstes wird der existierende Boot-Ordner (sofern er nicht schon auf einer separaten Partition liegt) von / auf die neue Partition verschoben. Bei den folgenden Konsolen-Befehlen wird davon ausgegangen, dass das aktuelle Arbeitsverzeichniss /media ist (lässt sich mit einem pwd überprüfen):

cp -avx root/boot/* boot/
umount boot
rm -frv root/boot/* 

/boot (im Beispiel also /dev/sda1) ist die einzige Partition, die unverschlüsselt bleibt.

Root-Partition Verschlüsseln¶

mkdir backup
mount /dev/sdb1 backup
tar -czvf backup/root.tar.gz -C root/ .
umount root 

cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sda3 

cryptsetup luksOpen /dev/sda3 root 

dd if=/dev/urandom of=/dev/mapper/root 

mkfs.ext3 /dev/mapper/root
mount /dev/mapper/root root 

tar -xzvf backup/root.tar.gz -C root . 

In das Festplattensystem wechseln und Software installieren¶

Um die nötigen Anpassungen vorzunehmen wechselt man mit chroot in das eigentliche, verschlüsselte System. Anschließend werden die benötigten Dateisysteme eingebunden. Damit die UUIDs richtig verarbeitet werden können, wird vorher das /dev-System des chroot-Systems an das Live-System gekoppelt.

mount -o bind /dev root/dev
chroot root
mount /boot
mount -t proc proc /proc
mount -t sysfs sys /sys 

Sollte auf dem Festplattensystem noch kein cryptsetup installiert sein, so ist nun der richtige Zeitpunkt, es zu tun.

• cryptsetup (universe, ^[3])

/etc/initramfs-tools/modules editieren¶

Als nächstes wird die Datei /etc/initramfs-tools/modules mit einem Editor geöffnet und folgende Zeilen hinzugefügt:

aes
dm-crypt
sha256

Dies bewirkt, dass die für die Verschlüsselung nötigen Kernel-Module beim Booten verfügbar sind.

dm-mod

/etc/fstab editieren¶

In der Datei /etc/fstab müssen die Einträge für das Root-Dateisystem angepasst werden, da von nun an ja nicht mehr die (verschlüsselte) Gerätedatei /dev/sdx sondern das "gemappte" (entschlüsselte) Device verwendet werden soll:

# /dev/sda3
UUID=7153f497-1b66-476d-bb3b-85e3fe18b402 /               ext3    defaults,errors=remount-ro 0       1

muss (für das Root-Dateisystem) in

# /dev/sda3
# UUID=7153f497-1b66-476d-bb3b-85e3fe18b402 /               ext3    defaults,errors=remount-ro 0       1
/dev/mapper/root /               ext3    defaults,errors=remount-ro 0       1

geändert werden.

/etc/crypttab editieren¶

In der Datei /etc/crypttab wird folgender Inhalt hinzugefügt:

root UUID=7153f497-1b66-476d-bb3b-85e3fe18b402 none luks,retry=1

Das bewirkt, ähnlich wie die /etc/fstab, dass der verschlüsselten Gerätedateie /dev/sda3 beim Systemstart entschlüsselt und unter /dev/mapper/root eingehängt wird.

Falls eine seperate home-Partition existiert muss nun auch diese in die Konfigurationsdateien eingetragen werden. Die nötigen Schritte finden sich hier.

/boot/grub/menu.lst editieren¶

Zum Schluss muss noch in der Datei /boot/grub/menu.lst

# kopt=root=UUID=7153f497-1b66-476d-bb3b-85e3fe18b402 ro splash

in

# kopt=root=/dev/mapper/root ro

geändert werden. Danach werden die automatisch erzeugten Einträge mit

update-grub 

neu erstellt. Die Änderungen bewirken unter anderem, dass der Boot-Splash beim Systemstart deaktiviert wird, damit die Passwortabfrage einwandfrei funktioniert. Ab Kernel 2.6.22-14 ist es nicht mehr nötig splash zu entfernen da die Abfrage des System-Passwortes in den grafischen Bootscreen integriert wurde.

Änderungen Übernehmen und chroot-Umgebung verlassen¶

Um die Änderungen an der Datei /etc/initramfs-tools/modules zu übernehmen, muss noch

update-initramfs -u -k all 

ausgeführt werden. Dann kann man die chroot-Umgebung verlassen, das System neu starten und ohne Live-CD booten.

exit
reboot 

Beim Startvorgang wird man nach dem Passwort für die Root-Partition gefragt.

Das System ist nun bis auf den Auslagerungsspeicher und die Boot-Partition (/boot) voll verschlüsselt!

Einleitung¶

Die Ubuntu-Installation ist nun abgesichert, allerdings ist der Auslagerungsspeicher noch unverschlüsselt. So ist es bösartigen Individuen unter Umständen also möglich, Teile des ausgelagerten Arbeitsspeichers auszulesen und so an Passwörter und andere Schützenswerte Daten zu gelangen. Aus diesem Grund sollte auch der Auslagerungsspeicher wie folgt verschlüsselt werden:

Verschlüsseltes Device erstellen¶

Zunächst wird die swap-Partition vorrübergehend deaktiviert.

swapoff -a 

Nun wird auf der swap-Partition ein verschlüsselter Container für die neue Swap-Partition erstellt, eingebunden und als swap formatiert.

/lib/cryptsetup/scripts/decrypt_derived root | cryptsetup luksFormat /dev/sda2 --key-file -
/lib/cryptsetup/scripts/decrypt_derived root | cryptsetup luksOpen /dev/sda2 swap --key-file -
mkswap /dev/mapper/swap 

Der Schlüssel wird aus der root-Partition generiert, daher ist später beim Booten keine Eingabe eines zusätzlichen Schlüssels für die swap-Partition nötig. Der Swap-Speicher kann nun mit

swapon /dev/mapper/swap 

wieder aktiviert werden.

dd if=/dev/zero of=/dev/sda2 bs=1024 seek=1 count=3 

Konfigurationsdateien anpassen¶

In der Datei /etc/crypttab wird folgende Zeile hinzugefügt

swap UUID=ca8152bb-c6f6-4f91-a56d-39d48d03ef9d root luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived

Die UUID erhält man durch

blkid /dev/sda2 

Damit der verschlüsselte Auslagerungsspeicher auch benutzt wird, muss dies noch in der Datei /etc/fstab eingetragen werden. Der Abschnitt:

# /dev/sda2
UUID=ca8152bb-c6f6-4f91-a56d-39d48d03ef9d  none            swap    sw              0       0

wird in

# /dev/sda2
/dev/mapper/swap  none            swap    sw              0       0

abgeändert.

Damit der Ruhezustand (Suspend-to-disk) weiterhin funktioniert muss noch dessen Konfiguration angepasst werden. In der Datei /etc/initramfs-tools/conf.d/resume wird die erste Zeile abgeändert in

RESUME=/dev/mapper/swap

Abschließend wird die Änderung übernommen:

update-initramfs -u -k all 

Partition verschlüsseln¶

Die folgenden drei Abschnitte müssen direkt nach dem Kapitel Root Partition verschlüsseln abgearbeitet werden.

mkdir home
mount /dev/sda4 home
tar -czvf backup/home.tar.gz -C home .
umount home 

cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sda4 

cryptsetup luksOpen /dev/sda3 root
/lib/cryptsetup/scripts/decryt_derived root >> /tmp/key.tmp
cryptsetup luksAddkey /dev/sda4 /tmp/key.tmp 

/lib/crypsetup/scripts/decrypt_derivied root | cryptsetup luksOpen /dev/sda4 home 

dd if=/dev/urandom of=/dev/mapper/home 

cd /media
mkfs.ext3 /dev/mapper/home
mount /dev/mapper/home home 

tar -xzvf backup/home.tar.gz -C home . 

System vorbereiten¶

Zusätzlich zu den Änderungen im Abschnitt System zum Booten vorbereiten muss auch die home-Partition in /etc/fstab und /etc/crypttab eingetragen werden bevor die Änderungen übernommen und die chroot-Umgebung verlassen wird.

# /dev/sda4
UUID=ab5f1dca-45c1-4c66-8cfb-e6ca84ec6650 /home           ext3    defaults        0       2

# /dev/sda4
# UUID=ab5f1dca-45c1-4c66-8cfb-e6ca84ec6650 /home           ext3    defaults        0       2
/dev/mapper/home /home           ext3    defaults        0       2

home UUID=ab5f1dca-45c1-4c66-8cfb-e6ca84ec6650 root luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived

Live-System vorbereiten¶

Wie gehabt muss das folgende Paket im Live-System installiert werden und ^[2]:

• cryptsetup (universe ^[3])

Auch die benötigten Kernelmodule müssen wieder geladen werden:

sudo -s
modprobe aes
modprobe dm-crypt
exit 

modprobe dm-mod 

Einhängepunkte erstellen und belegen¶

Es werden nun Einhängepunkte erstellt, in die die verschlüsselten Partitionen gemountet werden:

sudo -s
mkdir /media/root
cd /media
cryptsetup luksOpen /dev/sda3 root
mount /dev/mapper/root root
exit 

Falls eine eigene home-Partition existiert wird auch diese gemountet:

sudo -s
mkdir /media/home
cd /media
cryptsetup luksOpen /dev/sda4 home
mount /dev/mapper/home home
exit 

Daten kopieren¶

Die entschlüsselten Daten liegen nun in den Ordnern /media/root und /media/home. Von hier aus können sie nun beispielsweise auf eine externe Festplatte kopiert werden. Dann wird das System neu partitioniert (wie zum Beispiel weiter oben beschrieben) und die Daten aus /media/root auf die neu angelegte Root-Partition bzw. aus /media/home auf die neue Home-Partition verschoben.

Konfigurationsdateien anpassen¶

Im neuen System sollten nun noch die Konfigurationsdateien /etc/fstab, /etc/crypttab und /boot/grub/menu.lst auf den neuen Partitionen angepasst werden:

• Aus der Datei /etc/fstab werden jene Einträge, die mit /dev/mapper/ beginnen durch der neuen Partitionierung entsprechende Einträge wie hier ersetzt.

• In der Datei /etc/crypttab werden alle Einträge gelöscht

• In der Datei /boot/grub/menu.lst werden die oben beschriebenen Änderungen wieder rückgängig gemacht.

System neustarten¶

Nach einem Neustart des Systems sollte man nun wieder mit einem unverschlüsseltem Ubuntu arbeiten können.