{"id":2827,"date":"2018-10-19T20:18:51","date_gmt":"2018-10-19T18:18:51","guid":{"rendered":"http:\/\/speefak.spdns.de\/oss_lifestyle\/?p=2827"},"modified":"2025-10-15T19:52:02","modified_gmt":"2025-10-15T17:52:02","slug":"lvm-installation-auf-luks-basis-und-manueller-partitionierung","status":"publish","type":"post","link":"https:\/\/speefak.spdns.de\/oss_lifestyle\/lvm-installation-auf-luks-basis-und-manueller-partitionierung\/","title":{"rendered":"LVM Installation auf LUKS Basis – Installation und manuelle Partitionierung"},"content":{"rendered":"

 <\/p>\n

SICHERHEITSL\u00dcCKE<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n
\n

\u00a0Grundlagen <\/a><\/h2>\n<\/td>\n

\n

Installation<\/h2>\n<\/td>\n

\n

Sonstiges<\/h2>\n<\/td>\n<\/tr>\n

Verwendungszweck<\/a><\/td>\nInstallationsmedium<\/a><\/td>\nBackups<\/a><\/td>\n<\/tr>\n
Voraussetzungen<\/a><\/td>\nEinrichtung der Partitionen<\/a><\/td>\nPartition manuell einh\u00e4ngen<\/a><\/td>\n<\/tr>\n
Devicemapper – DM-Crypt<\/a><\/td>\nEinrichtung des LVM<\/a><\/td>\nLVM Partitionen manuell einh\u00e4ngen<\/a><\/td>\n<\/tr>\n
LUKS-Erweiterung<\/a><\/td>\nOS Installation auf LUKS in LVM<\/a><\/td>\nGrub reparieren \/ neu installieren (LUKS)<\/a><\/td>\n<\/tr>\n
Alternativen<\/a><\/td>\n<\/td>\nLVM GUI ( Partitionmanager )<\/a><\/td>\n<\/tr>\n
Partitionen und Laufwerke<\/a><\/td>\nDM-Crypt Container \/ Partition<\/a><\/td>\nZuluCrypt ( GUI \/ CLI Manager )<\/a> Sicherheitsl\u00fccke<\/a><\/span><\/td>\n<\/tr>\n
<\/td>\n<\/td>\nLuckyLuks (GUI)<\/a><\/td>\n<\/tr>\n
<\/td>\n<\/td>\nDatenverschl\u00fcsslung im \u00dcberblick<\/a><\/td>\n<\/tr>\n
———————————————-<\/td>\n———————————————-<\/td>\n———————————————-<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
\n

Verwendungszweck<\/h2>\n

Der Zugriff auf Daten wird \u00fcber das Betriebssystem und die dadurch definierten Dateirechte geregelt. Diese Rechte greifen allerdings nur, wenn das System aktiv ist. Hat eine Person physischen Zugriff auf den Rechner, k\u00f6nnen diese Schutzmechanismen leicht umgangen werden. Sollen Daten in dem Fall gesch\u00fctzt werden, sind weitere Ma\u00dfnahmen n\u00f6tig.<\/p>\n

Eine L\u00f6sung f\u00fcr dieses Problem hei\u00dft Kryptografie. Daten werden nicht mehr direkt, sondern nur noch verschl\u00fcsselt auf der Festplatte gespeichert. Hat jemand Zugriff auf den Rechner, braucht er so trotzdem noch den Schl\u00fcssel oder das Passwort, um die Daten auf der Festplatte zu entschl\u00fcsseln. Der Aufwand, den Schl\u00fcssel oder das Passwort durch Ausprobieren herauszufinden, ist dabei so gro\u00df, dass selbst die Chance, durch jahrelanges systematisches Probieren den passenden Schl\u00fcssel zu finden, astronomisch klein bleibt.<\/p>\n

\n

Zur\u00fcck zur \u00dcbersicht<\/a><\/em><\/strong><\/p>\n

\n

Voraussetzungen<\/h2>\n

Debian wie auch die meisten anderen Linux basierenden Betriebssysteme beinhalten bereits alle Softwarepakete, um eine Verschl\u00fcsselung zu nutzen:<\/p>\n

\n
cryptsetup<\/i> und dmsetup<\/i><\/dt>\n
Damit werden verschl\u00fcsselte Partitionen eingerichtet und sp\u00e4ter entsperrt\/gesperrt. Ein Initspkript, um dieses beim Booten automatisch zu erledigen, ist ebenfalls enthalten.<\/dd>\n
ein dm-Crypt kompatibler Kernel<\/dt>\n
Die von Debian u.a. Distributionen mitgelieferten Kernel enthalten alle ben\u00f6tigten Module. Falls man einen eigenen Kernel verwenden m\u00f6chte, muss dieser \u00fcber Unterst\u00fctzung f\u00fcr den Devicemapper, dm-crypt und die verwendeten Verschl\u00fcsselungs- und Hashalgorithmen (z.B. AES, SHA-1) verf\u00fcgen.<\/dd>\n
initramfs-tools<\/i><\/dt>\n
Falls die Root-Partition selbst verschl\u00fcsselt wird, muss eine separate, unverschl\u00fcsselte \/boot-Partition mit Bootloader, Kernel und initrd anlegt werden. Die initramfs-tools<\/i> unterst\u00fctzen dm-crypt und k\u00f6nnen den gr\u00f6\u00dften Teil der erforderlichen initrd-Konfiguration automatisch erledigen.<\/dd>\n<\/dl>\n
\n

Zur\u00fcck zur \u00dcbersicht<\/a><\/em><\/strong><\/p>\n

\n

Devicemapper \u2013 DM-Crypt<\/h2>\n

Der Linux-Devicemapper ist eine Softwareschicht (seit Kernel 2.6 fest implementiert), die zwischen der Dateisystemebene und den darunterliegenden Ger\u00e4ten und Partitionen liegt. Der Devicemapper kann nicht nur zur Verschl\u00fcsselung verwendet werden, sondern bildet auch die Grundlage f\u00fcr das Software Raid und den Logical Volume Manager (LVM<\/a>).<\/p>\n

Der Devicemapper verkn\u00fcpft vorhandene Partitionen mit virtuellen Blockger\u00e4ten. Im Betrieb, zum Beispiel beim Mounten, greift man auf die virtuellen Ger\u00e4te zu, alle Zugriffe werden dann durch den Devicemapper geleitet. Bei DM-Crypt findet an dieser Stelle die Verschl\u00fcsselung und Entschl\u00fcsselung statt. Beim Erstellen der Verkn\u00fcpfung zu einer verschl\u00fcsselten Partition wird das Passwort oder der Schl\u00fcssel angegeben. Diesen beh\u00e4lt der Devicemapper im Speicher und kann so ohne weiteren Eingriff alle Zugriffe abwickeln, bis die Partition wieder gesperrt oder das System neu gestartet wird. Es k\u00f6nnen auch mehrere Funktionen des Devicemappers kombiniert werden. So ist es m\u00f6glich, RAID-Ger\u00e4te oder einzelne Logical Volumes zu verschl\u00fcsseln, ein komplettes LVM auf einem RAID oder mehrere verschl\u00fcsselte Partitionen anzulegen etc.<\/p>\n

DM-Crypt ist ein Kryptographie-Modul des Device Mappers im Linux-Kernel, das die M\u00f6glichkeit biete, die im Linux-Kernel implementierten Verschl\u00fcsselungsalgorithmen zu nutzen. Mit dm-crypt k\u00f6nnen Daten verschiedener blockorientierter Ger\u00e4te mit verschiedenen Algorithmen ver- und entschl\u00fcsselt werden. In den meisten F\u00e4llen Partitionen, Festplatten oder logische Laufwerke (LVM). Dazu wird eine zus\u00e4tzliche Ebene zwischen dem Dateisystem und dem Datentr\u00e4ger aufgebaut. Daten werden so vor dem Speichern auf dem Speichermedium erst durch dm-crypt verschl\u00fcsselt und dann in verschl\u00fcsselter Form auf das Speichermedium geschrieben. Dm-crypt eignet sich so zur Festplattenverschl\u00fcsselung (Partitionen, ganze Festplatten, aber auch alle anderen blockorientierten Ger\u00e4ten wie etwa logische Laufwerke (LVM) oder loop devices). Dm-crypt unterst\u00fctzt eine Vielzahl von Verschl\u00fcsselungsalgorithmen, da es die Crypto API des Linuxkernels nutzt.<\/p>\n

Der Verschl\u00fcsselungsalgorithmus, die Gr\u00f6\u00dfe des Schl\u00fcssels und viele weitere Dinge, die die Verschl\u00fcsselung beeinflussen, k\u00f6nnen selber festgelegt werden. N\u00e4here Informationen zu den verf\u00fcgbaren Parametern gibt es auf der Seite von dm-crypt<\/a>. Informationen \u00fcber die Geschwindigkeit der einzelnen Algorithmen sind hier<\/a> \u00fcbersichtlich dargestellt.<\/p>\n

\n

Zur\u00fcck zur \u00dcbersicht<\/a><\/em><\/strong><\/p>\n

\n

LUKS-Erweiterung<\/h2>\n

LUKS (das Linux Unified Key Setup) ist eine Erweiterung f\u00fcr verschl\u00fcsselte Partitionen. Bei LUKS kann, im Gegensatz zu anderen Verfahren wie z. B. Cryptoloop, das Passwort oder der Schl\u00fcssel der Partition ge\u00e4ndert werden, ohne die Partition neu verschl\u00fcsseln zu m\u00fcssen. Zudem kann man mehrere gleichberechtigte Passw\u00f6rter und Schl\u00fcssel f\u00fcr eine Partition verwenden.<\/p>\n

Um das zu erm\u00f6glichen besitzt eine LUKS-Partition einen speziellen Anfangsbereich. W\u00e4hrend bei cryptoloop der Datenschl\u00fcssel f\u00fcr die Partition direkt aus dem Passwort abgeleitet wurde, ist er bei LUKS unabh\u00e4ngig davon. Eine LUKS-Partition verf\u00fcgt \u00fcber 8 Speicherpl\u00e4tze, in denen der Schl\u00fcssel gesichert wird – jeweils chiffriert durch ein Passwort oder einen Benutzerschl\u00fcssel. Auf diese Weise kann man zum Beispiel das Passwort \u00e4ndern, ohne den Datenschl\u00fcssel ver\u00e4ndern zu m\u00fcssen – es muss nur der Datenschl\u00fcssel, chiffriert durch das neue Passwort, im Anfangsbereich der Partition gespeichert werden (ausf\u00fchrliche Infos<\/a>).<\/p>\n

\n

Zur\u00fcck zur \u00dcbersicht<\/a><\/em><\/strong><\/p>\n

\n
\n
\n

Alternativen (GUI)<\/h2>\n<\/dt>\n<\/dl>\n
\n
Zulucrypt ( Linux )<\/strong><\/a><\/dt>\n
ZuluCrypt ist ein grafisches Frontend f\u00fcr die Nutzung der Verschl\u00fcsselungtechniken PLAIN dm-crypt, LUKS-, TrueCrypt- und VeraCrypt-Volumes. Dabei k\u00f6nnen sowohl einzelne Dateien als auch ganze Laufwerke und Partitionen ver- und entschl\u00fcsselt werden. Zus\u00e4tzlich k\u00f6nnen \u00c4nderungen der jeweiligen Sicherheits-Schl\u00fcssel und Backups der Header durchgef\u00fchrt werden. Mit zuluMount k\u00f6nnen verschl\u00fcsselte Volumes eingebunden werden<\/dd>\n<\/dl>\n
\n
VeryCrypt<\/a> (Linux \/ Windows OSX)<\/dt>\n
Die Besonderheit dieser Verschl\u00fcsselungssoftware besteht darin, dass die Software auf den 3 bekanntesten Betriebssystemen (Linux, Mac, Windows) l\u00e4uft. Damit kann man verschl\u00fcsselte Partitionen oder Container unter allen Systemen verwenden.
\nGlaubhafte Abstreitbarkeit<\/a> bietet Veracrypt mit der M\u00f6glichkeit der sogenannten “Hidden Volumes” (versteckte Container). Die versteckten Container, die in dem freien und normalerweise nicht genutzten Speicherplatz innerhalb des Hauptcontainers erstellt werden, sind f\u00fcr einen au\u00dfen stehenden Betrachter nicht erkennbar. Der \u00e4u\u00dfere und der darin versteckte Container sind jeweils mit einem separaten Passwort zug\u00e4nglich. Je nachdem, welches der beiden Passw\u00f6rter eingegeben wird, wird der jeweilige Container entsperrt.<\/dd>\n<\/dl>\n

Alternativen ( CLI )<\/h2>\n
\n
cryptoloop<\/dt>\n
Dieser Mechanismus existiert schon seit mehreren Jahren. Er verwendet den loopback-Treiber des Kernels, mit dem man auch Abbilddateien von Partitionen oder CDs (zum Beispiel ISO-Images) mounten kann. Cryptsetup kann auch heute noch mit diesem Format umgehen, es ist aber inkompatibel zu LUKS.<\/dd>\n
loop-aes<\/dt>\n
Die loop-aes-Software existiert ebenfalls schon lange und gilt als ausgereift. Sie wird zwar nicht vom Standardkernel unterst\u00fctzt, Debian liefert aber vorgefertigte Pakete mit den Kernelmodulen sowie das loop-aes-source<\/i>-Paket zum selberbauen. Zus\u00e4tzlich muss man noch das Paket loop-aes-utils<\/i> installieren. Auch wenn der Name anderes vermuten l\u00e4sst, unterst\u00fctzt loop-aes nicht nur den AES-Algorithmus, sondern als weitere Verfahren Blowfish, Twofish und Serpent. loop-aes wird als Alternative f\u00fcr dm-crypt\/LUKS vom Debian-Installer angeboten.<\/dd>\n<\/dl>\n
\n

Zur\u00fcck zur \u00dcbersicht<\/a><\/em><\/strong><\/p>\n

\n

Einrichtung der Partitionen und Laufwerke<\/h2>\n

Der Debian Installer \/ Ubuntu Minimal\/Netzwerk Installer erlaubt es, bei Neuinstallationen das komplette System oder wahlweise einzelne Partitionen zu verschl\u00fcsseln. In der Standardeinstellung wird dabei LUKS mit dm-crypt verwendet, als Algorithmus kommt AES zum Einsatz. Der Pfad \/boot darf nicht innerhalb der verschl\u00fcsselten Laufwerke liegen und muss auf einer unverschl\u00fcsselten Partition vorliegen damit der Bootloader (z.B. Grub) den Kernel und die f\u00fcr LUKS\/dmcrypt ben\u00f6tigten Dateien laden kann. Es gibt unter anderem folgende Methoden f\u00fcr die Partitionierung:<\/p>\n

normale Partitionen:<\/p>\n