können wir die vollständige Festplattenverschlüsselung einer bereits installierten Linux-Maschine durchführen?

1866
Govind Karmakar

Ich benötige einige Informationen bezüglich der Möglichkeit, eine vollständige Festplattenverschlüsselung für ein bereits installiertes Linux-System (z. B. centOS oder Ubuntu) durchzuführen.

Gibt es einen Standardmechanismus für FDE in Linux wie "FileVault 2 in MAC OS X"?

Ich habe einige Nachforschungen angestellt und stieß auf "dm-crypt", die standardmäßige Device-Mapper-Verschlüsselungsfunktion des Linux-Kernels.

Ich brauche ein Shell / Bash-Skript, das auf der Linux-Maschine aufgerufen werden muss, um die vollständige Festplattenverschlüsselung durchzuführen.

Jede Hilfe / Einsicht oder jeder Vorschlag wird von großer Hilfe sein.

1
Da Sie nicht angegeben haben, auf welcher Distribution Sie es installieren möchten. Ich würde wahrscheinlich nur mit LUKS gehen. http://www.cyberciti.biz/hardware/howto-linux-hard-disk-encryption-with-luks-cryptsetup-command/ RoraΖ vor 9 Jahren 0

2 Antworten auf die Frage

0
SYANiDE

Kurz gesagt, FDE wäre ein Problem, das Sie während der Installation beheben möchten. Wenn Ihr Partitionierungsschema LVS verwendet, können Sie ein verschlüsseltes Volume mit LUKS einrichten und Systemdateien darauf kopieren und Einhängepunkte in Ihrer /etc/fstabDatei neu zuweisen. Dies ist jedoch nicht ratsam und sehr wahrscheinlich fehleranfällig.

Nun, da Ihre Installation bereits "ausgereift" ist (in dem Sinne, dass sie bereits installiert und eingebrochen ist), sollten Sie sich lieber auf die Verschlüsselung Ihres Home-Ordners konzentrieren. Für solche Operationen können Sie in cryptsetupoder suchen encryptfs. Bei der vollständigen Festplattenverschlüsselung befindet sich eine laufende Maschine bereits in der Auth-Umgebung, wohingegen die Verschlüsselung der Home-Ordner zumindest den Vorteil hat, dass das betreffende Volume verschlüsselt bleibt, solange der Benutzer nicht angemeldet ist.

Zusammenfassend ist jedoch die beste Option, um zu prüfen, ob noch eine vollständige Festplattenverschlüsselung (oder zumindest die Partitionsverschlüsselung zu diesem Zeitpunkt in der Reife Ihrer Installation) gewünscht wird LUKS.

Sicher kein Problem. Ich bin froh, dass ich helfen konnte. SYANiDE vor 9 Jahren 0
Hallo, ich habe noch einmal eine Frage, für "cryptsetup" & "encryptfs" müssen wir das Setup installieren, um über die Befehlszeilenschnittstelle zu arbeiten. Gibt es eine solche Anwendung, die standardmäßig in Linux installiert ist und mich auf "dm-crypt" zugreifen kann? Govind Karmakar vor 9 Jahren 0
Grundsätzlich muss ein Shellskript erstellt werden, damit dieser Job ausgeführt werden kann, vorzugsweise ohne die Installation eines anderen Setups im Endpunkt. Vielen Dank!! Govind Karmakar vor 9 Jahren 0
Scripting für die Erstellung und automatisierte Bereitstellung einer von dm-crypt verwalteten Partition. Sehen Sie sich die folgende Dokumentation an: http://bash.cyberciti.biz/security/linux-opens-luks-partition-mount-dm-crypt-partition/ SYANiDE vor 9 Jahren 0
Vielen Dank für die Hilfe, ich kann das Laufwerk mit dm-crypt & cryptsetup verschlüsseln, formatiert jedoch die Partition vor der Verschlüsselung. Gibt es eine andere Möglichkeit, die Festplatte zu verschlüsseln, ohne sie zu formatieren, da die Maschinen bereits installiert sind oder formatieren ist nicht möglich. Govind Karmakar vor 9 Jahren 0
Soweit ich weiß, nein. Die vollständige Festplattenverschlüsselung ist ein Aspekt, den Sie bei der Installation oder beim Erstellen von Partitionen / Volumes berücksichtigen sollten. Es kann nicht nachträglich angewendet werden. SYANiDE vor 9 Jahren 0
0
linuxdev2013

Installieren Sie cryptsetup-rencrypt (nicht standardmäßig installiert), und raten Sie von einer Chroot-Umgebung, die tho verwendet

Dies könnte die Voraussetzung sein, * die * endgültige Antwort zu sein, aber weitere Details wären nett. Was ist das paket Wie benutze ich es? Verwende ich dies von dem System, das ich verschlüsseln möchte, oder von einem separaten Live-Boot aus? Journeyman Geek vor 9 Jahren 0
Das Paket wird als "cryptsetup-reencrypt" bezeichnet und auf einem laufenden System (vorausgesetzt, es ist nicht das Root-Laufwerk oder darunter) oder von einem zweiten System oder Live-Medium (alias Installer auf USB / DVD) wird das Paket auf einem USB-Gerät installiert Beispiel, wenn es sein muss, und führen Sie es auf Laufwerk / Partition / lvm wie gewünscht aus - in meinem Fall 1) es wird eine usb-Instanz gestartet 2) Installieren Sie cryptsetup-reencrypt 3) führen Sie sudo cryptsetup-reencrypt / dev / sdXY aus linuxdev2013 vor 9 Jahren 0
Das muss in deiner Antwort sein;) Journeyman Geek vor 9 Jahren 0
@JourneymanGeek ist technisch gesehen NICHT für alle Benutzer geeignet linuxdev2013 vor 9 Jahren 0

Verwandte Probleme