LUKS - Partitionen und Datentraeger verschluesseln

LUKS ist der Standard für Festplatten-Verschlüsselung unter Linux.
Wichtig für Backupfestplatten, externe Laufwerke oder VPS-Volumes mit sensiblen Daten.

Voraussetzung

sudo apt-get install cryptsetup

Neues Volume verschlüsseln

Erst alle Daten sichern — dieser Schritt löscht alles auf dem Laufwerk.

sudo cryptsetup luksFormat /dev/sdb

Bestätigen mit YES (Großbuchstaben) und Passphrase setzen.

Volume öffnen

sudo cryptsetup luksOpen /dev/sdb mein-volume

Das entschlüsselte Gerät liegt jetzt unter /dev/mapper/mein-volume.

Dateisystem erstellen und mounten

sudo mkfs.ext4 /dev/mapper/mein-volume
sudo mkdir /mnt/sicher
sudo mount /dev/mapper/mein-volume /mnt/sicher

Volume wieder schließen

sudo umount /mnt/sicher
sudo cryptsetup luksClose mein-volume

Backup-Festplatte automatisch einbinden

Für externe Laufwerke die man manuell einsteckt reicht das manuelle Öffnen.
Wer ein verschlüsseltes Volume beim Booten automatisch einbinden will trägt es in /etc/crypttab und /etc/fstab ein.

# /etc/crypttab
mein-volume   /dev/sdb   none   luks

# /etc/fstab
/dev/mapper/mein-volume   /mnt/sicher   ext4   defaults   0   2

Ohne none kann man eine Schlüsseldatei statt einer Passphrase angeben, was für automatisches Einbinden beim Booten nötig ist.

LUKS-Header sichern

Der Header enthält alle Metadaten. Bei Beschädigung sind die Daten weg.

sudo cryptsetup luksHeaderBackup /dev/sdb --header-backup-file luks-header.bin

Diese Datei sicher aufbewahren.