Erstellt: 2021-09-21
Änderungsstand: 2021-09-21
Jetzt eine automatische Entschlüsselung der Luks-Platte, mittels USB-Stick. Ich werde diesen Stick nicht in Openmediavault einbinden, weil es nicht nötig ist. Hat man den Stick nicht zur Hand, kann man immer noch mit dem üblichen Befehl entsperren. In diesem Szenario wird man keinerlei Hinweise eines Schlüssels auf dem Stick finden. Und selbst wenn, ist es sehr unwahrscheinlich, dass irgendwelche Rückschlüsse auf das Passwort zu finden sind.
Mein Luks-Laufwerk ist sda. Ich stecke nun einen USB-Stick an.
lsblk
Mein USB-Stick hat die Laufwerksbezeichnung sdb. Nun formatiere ich den Stick:
Label neu schreiben:
sudo parted /dev/sdb "mklabel gpt"
Partitionierung vornehmen:
sudo cfdisk /dev/sdb
- New – Enter
- Enter
- Type – Enter
- Linux Filesystem – Enter
- Write – Enter
- yes – Enter
- Quit – Enter
Formatierung:
sudo mkfs.ext4 /dev/sdb
y
Der Stick wurde vorbereitet. Nun richte ich den Stick als Schlüsselstick ein. In diesem Szenario wird man am Ende keine Daten, die auf einem Schlüssel zurückzuführen sind, finden.
sudo dd if=/dev/urandom of=/dev/sdb bs=512 seek=1 count=2046
Der Schlüssel wurde erstellt. Doch meine Luks-Platte weiß noch nichts davon. Ich muss den Schlüssel meiner Luks-Platte nun hinzufügen:
sudo dd if=/dev/sdb bs=512 skip=1 count=16 > tempKeyFile.bin
sudo cryptsetup luksAddKey /dev/sda tempKeyFile.bin
Jetzt eine vorhandene Passphrase, welche in Luks schon verwendet wird, eingeben. Anschließend das Temp-File wieder löschen:
sudo rm -f tempKeyFile.bin
Die Vorbereitungen sind nun beendet. Der Schlüssel passt in das Schloss und es muss nur noch die Automatisierung vorbereitet werden.
sudo ls -l /dev/disk/by-id
lrwxrwxrwx 1 root root 9 Sep 21 01:18 usb-USB_Flash_Disk_CCYYMMDDHHW9XS1QP4JS-0:0 -> ../../sdb
Die rote Markierung benötige ich später. Nun noch:
blkid
Folgende Zeile, speziell die rote Markierung, benötige nun:
/dev/sda: UUID=“6c8bbc0c-d137-44ae-9e5a-f55dca9ed663“ LABEL=“data“ TYPE=“crypto_LUKS“
Jetzt erstelle ich einen Eintrag, am Ende der crypttab:
sudo nano /etc/crypttab
sda-crypt UUID=6c8bbc0c-d137-44ae-9e5a-f55dca9ed663 /dev/disk/by-id/usb-USB_Flash_Disk_CCYYMMDDHHW9XS1QP4JS-0:0 luks,tries=3,keyfile-size=8192,keyfile-offset=512
Strg-x, y, Enter
Erklärung:
- sda-crypt: mapper
- UUID: Die UUID der verschlüsselten Platte, gefolgt von der Kennung des USB-Sticks und am Ende die Informationen, wo der Schlüssel zu finden ist.
Mehr benötigt man unter Openmediavault nicht. Der Eintrag in der fstab ist nicht notwendig, da Openmediavault die Luks-Platte automatisch einbindet, vorausgesetzt, der Stick steckt am System. Wichtig ist nur, dass man den richtigen „mapper“ (sda-crypt) verwendet.
Hat man den Stick nicht zur Hand, kann man die Luks-Platte immer noch mit folgendem Terminalbefehl entsperren:
sudo cryptsetup luksOpen /dev/sda sda-crypt
Natürlich ist hier sehr viel Disziplin erforderlich. Lässt man den Stick permanent am Gerät stecken, ist das ganze Szenario natürlich Sinnfrei 🙂 .
.
Quelle:
OPENMEDIAVAULT 6 