Ich sichere meine wichtigsten Daten regelm\u00e4\u00dfig auf einer Wechselfestplatte, die ich au\u00dfer Haus bei meinen Schwiegereltern lagere. So bin ich auch im absoluten Katastrophenfall (Brand, Wasserschaden, etc.) in der Lage auf alle Dokumente zuzugreifen. Dennoch m\u00f6chte ich nicht, dass meine Daten auf der Wechselfestplatte quasi \u00f6ffentlich zug\u00e4nglich sind. Daher verschl\u00fcssele ich die Festplatte, so dass sie nur mit dem richtigen Schl\u00fcssel ihre Daten hergibt.<\/p>\n\n\n\n\n\n\n\n
Um die Verschl\u00fcsselung bei einer fabrikneuen Festplatte einzurichten, schiebe ich die Festplatte so wie sie ist in den Wechselrahmen. Nun muss ich zun\u00e4chst mal das Device der neuen Festplatte herausfinden mittels lsblk.<\/p>\n\n\n
\n$ sudo lsblk\nNAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT\nsda 8:0 0 5,5T 0 disk\n\u251c\u2500sda1 8:1 0 1M 0 part\n\u2514\u2500sda2 8:2 0 5,5T 0 part \/home\nsdb 8:16 0 3,7T 0 disk\nsdc 8:32 0 232,9G 0 disk\n\u251c\u2500sdc1 8:33 0 216,9G 0 part \/\n\u251c\u2500sdc2 8:34 0 1K 0 part\n\u2514\u2500sdc5 8:37 0 16G 0 part [SWAP]\nsr0 11:0 1 1024M 0 rom\n<\/pre><\/div>\n\n\nDie 4TB-Wechselplatte ist offensichtlich als \/dev\/sdb im System erkannt worden.<\/p>\n\n\n\n
Zun\u00e4chst lege ich eine Partition auf der Wechselfestplatte an. Da sie gr\u00f6\u00dfer als 2TB ist, kann ich nicht das gewohnte fdisk verwenden, sondern ben\u00f6tige eine GPT, diese lege ich mittels parted an.<\/p>\n\n\n
\n$ sudo parted \/dev\/sdb\nGNU Parted 3.2\nUsing \/dev\/sdb\nWelcome to GNU Parted! Type 'help' to view a list of commands.\n(parted)\n<\/pre><\/div>\n\n\nparted begr\u00fc\u00dft mich mit seiner Kommandozeile, zun\u00e4chst schaue ich der absoluten Sicherheit wegen ob ich mich wirklich auf der richtigen Festplatte bewege.<\/p>\n\n\n
\n(parted) print\nError: \/dev\/sdb: unrecognised disk label\nModel: ATA ST4000DM004-2CV1 (scsi)\nDisk \/dev\/sdb: 4001GB\nSector size (logical\/physical): 512B\/4096B\nPartition Table: unknown\nDisk Flags:\n<\/pre><\/div>\n\n\nDas Festplattenmodell und die Gr\u00f6\u00dfe stimmen, ich kann also loslegen. Zun\u00e4chst teile ich parted mit, dass ich gerne gpt als Disk-Label verwenden m\u00f6chte (bei Festplatten gr\u00f6\u00dfer 2TB wie gesagt ein Muss).<\/p>\n\n\n
\n(parted) mklabel\nNew disk label type? gpt\n<\/pre><\/div>\n\n\nIch m\u00f6chte eine gro\u00dfe Partition erstellen und als Einheit daher Prozent verwenden (ich k\u00f6nnte auch als Einheit GB, TB, etc angeben, aber Prozent ist in dem Fall das einfachste).<\/p>\n\n\n
\n(parted) unit %\n<\/pre><\/div>\n\n\nUnd nun lege ich die Partition tats\u00e4chlich an.<\/p>\n\n\n
\n(parted) mkpart primary 0% 100%\n<\/pre><\/div>\n\n\nZum Abschluss schaue ich mir an ob auch alles wie gew\u00fcnscht funktioniert hat.<\/p>\n\n\n
\n(parted) print\nModel: ATA ST4000DM004-2CV1 (scsi)\nDisk \/dev\/sdb: 100%\nSector size (logical\/physical): 512B\/4096B\nPartition Table: gpt\nDisk Flags:\n\nNumber Start End Size File system Name Flags\n 1 0,00% 100% 100% primary\n<\/pre><\/div>\n\n\nDas sieht gut aus, ich kann parted also beenden.<\/p>\n\n\n
\n(parted) quit\nInformation: You may need to update \/etc\/fstab.\n<\/pre><\/div>\n\n\nDen Anfang der zu verschl\u00fcsselnden Partition \u00fcberschreibe ich mit Zufallsbytes.<\/p>\n\n\n
\n$ sudo dd if=\/dev\/urandom bs=1M count=8 of=\/dev\/sdb1\n8+0 records in\n8+0 records out\n8388608 bytes (8,4 MB, 8,0 MiB) copied, 0,603032 s, 13,9 MB\/s\n<\/pre><\/div>\n\n\nDen zur Verschl\u00fcsselung verwendeten Schl\u00fcssel m\u00f6chte ich nicht jedesmal per Hand eingeben m\u00fcssen (das Backup l\u00e4uft nachts per Script), sondern hinterlege diesen in der Datei \/etc\/luks.key<\/code>. Diese sieht dann z.B. so aus (ihr solltet nat\u00fcrlich einen eigenen Schl\u00fcssel verwenden).<\/p>\n\n\n\n$ sudo cat \/etc\/luks.key\naskjd8hbbewhj26tsfgavSghsSDfgvhDedv\n<\/pre><\/div>\n\n\nDie Zugriffsrechte auf die \/etc\/luks.key sollten aus verst\u00e4ndlichen Gr\u00fcnden nat\u00fcrlich sehr restriktiv gesetzt werden.<\/p>\n\n\n
\n$ sudo chown root:root \/etc\/luks.key\n$ sudo chmod 600 \/etc\/luks.key\n<\/pre><\/div>\n\n\nNun kann ich die Partiton \/dev\/sdb1 formatieren.<\/p>\n\n\n
\n$ sudo cryptsetup luksFormat -d \/etc\/luks.key \/dev\/sdb1\nWARNING!\n========\nThis will overwrite data on \/dev\/sdb1 irrevocably.\n\nAre you sure? (Type uppercase yes): YES\n<\/pre><\/div>\n\n\nNun weise ich \/dev\/sdb1 einem virtuellen Ger\u00e4t zu, welches ich „wechselplatte“ nenne.<\/p>\n\n\n
\n$ sudo cryptsetup luksOpen -d \/etc\/luks.key \/dev\/sdb1 wechselplatte\n<\/pre><\/div>\n\n\nAls Dateisystem verwende ich ext4, welches ich nun in gewohnter Weise anlege.<\/p>\n\n\n
\n$ sudo mkfs.ext4 \/dev\/mapper\/wechselplatte\nmke2fs 1.42.13 (17-May-2015)\nEin Dateisystems mit 976753664 (4k) Bl\u00f6cken und 244195328 Inodes wird erzeugt.\nUUID des Dateisystems: 509adcf1-cd12-4dce-bc65-1d303c1c3894\nSuperblock-Sicherungskopien gespeichert in den Bl\u00f6cken:\n 32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,\n 4096000, 7962624, 11239424, 20480000, 23887872, 71663616, 78675968,\n 102400000, 214990848, 512000000, 550731776, 644972544\n\nbeim Anfordern von Speicher f\u00fcr die Gruppentabellen: erledigt\nInode-Tabellen werden geschrieben: erledigt\nDas Journal (32768 Bl\u00f6cke) wird angelegt: erledgt\nDie Superbl\u00f6cke und die Informationen \u00fcber die Dateisystemnutzung werden\ngeschrieben: erledigt\n<\/pre><\/div>\n\n\nSo, damit ist die Festplatte einsatzbereit und kann nun verwendet werden. Ich mounte sie mal probeweise. <\/p>\n\n\n
\n$ sudo mount \/dev\/mapper\/wechselplatte \/wechselplatte\/\n$ sudo lsblk\nNAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT\nsda 8:0 0 5,5T 0 disk\n\u251c\u2500sda1 8:1 0 1M 0 part\n\u2514\u2500sda2 8:2 0 5,5T 0 part \/home\nsdb 8:16 0 3,7T 0 disk\n\u2514\u2500sdb1 8:17 0 3,7T 0 part\n \u2514\u2500wechselplatte 252:0 0 3,7T 0 crypt \/wechselplatte\nsdc 8:32 0 232,9G 0 disk\n\u251c\u2500sdc1 8:33 0 216,9G 0 part \/\n\u251c\u2500sdc2 8:34 0 1K 0 part\n\u2514\u2500sdc5 8:37 0 16G 0 part [SWAP]\nsr0 11:0 1 1024M 0 rom\n<\/pre><\/div>\n\n\nAlles hat funktioniert, ich kann sie also wieder unmounten. <\/p>\n\n\n
\n$ sudo umount \/wechselplatte\n$ sudo cryptsetup luksClose wechselplatte\n<\/pre><\/div>\n\n\nWenn ich die Wechselfestplatte verwenden m\u00f6chte, muss ich sie wieder mounten, dies geht mit<\/p>\n\n\n
\n$ sudo cryptsetup luksOpen -d \/etc\/luks.key \/dev\/sdb1 wechselplatte\n$ sudo mount \/dev\/mapper\/wechselplatte \/wechselplatte\/\n<\/pre><\/div>\n\n\n<\/p>\n","protected":false},"excerpt":{"rendered":"
Ich sichere meine wichtigsten Daten regelm\u00e4\u00dfig auf einer Wechselfestplatte, die ich au\u00dfer Haus bei meinen Schwiegereltern lagere. So bin ich auch im absoluten Katastrophenfall (Brand, Wasserschaden, etc.) in der Lage auf alle Dokumente zuzugreifen. Dennoch m\u00f6chte ich nicht, dass meine Daten auf der Wechselfestplatte quasi \u00f6ffentlich zug\u00e4nglich sind. Daher verschl\u00fcssele ich die Festplatte, so dass …<\/p>\n