tach gesacht,
wer ein komplett verschlüsseltes windows-linux system haben möchte sollte der englischen
sprache kundig sein. Nach vielen suchen in diversen suchseiten fand ich leider
nichts deutsches was so richtig funktioniert hat oder mit dem ich klar gekommen bin. Aber ich denke, das auch ein
nicht englisch kundiger das recht auf datensicherheit haben sollte, deshalb habe ich diesen folgenden text geschrieben. Die hochtaste ist meinem zweifingertippsystem zum opfer gefallen, also seid gnaedig mit mir.
Nunmal zum eigentlichen. Wer einen klapprechner sein eigen nennt und des oefteren von a nach b reist dem kommt schon ab und an der gedanke was geschehen würde wenn das geraet abhanden kommt. Jemand findet es und dann kann dieserjeniger welcher die daten problemlos lesen, anschauen oder im schlimmsten fall veroeffentlichen. Bei privaten daten kann man in verlegenheit kommen, bei firmendaten kann man auch viel geld verlieren.
Oder z.B. die neu eingebaute hdd macht in der garantiezeit die hufe hoch, man schickt sie ein, aber wer hat denn in der reperaturfirma wie zugriff auf unsere daten und wie serioes ist diese firma?
Diesem szenario wollte ich mit einem verschluesseltem system entkommen. Klingt einfach, ist aber dem nicht ganz so, zumindest für den ottonormalbenutzer. Nun hier soll der ansatz sein, dem deutschsprachigen ottonormaluser so etwas zu ermöglichen.
Mein system sollte hier mal als beispeiel herhalten, jeder sollte und kann natuerlich sein system anpassen wie er moechte.
Da ich vista und opensuse 11.1 auf einem rechner nutzen muss/moechte und beides verschluesseln wollte nutze ich truecrypt fuer das windows-system und luks/dm_crypt fuer das opensuse.Eine daten-partition die mit trucrypt verschluesselt ist koennen beide systeme zum speichern von daten nutzen.Eine verschluesselte lvm linux installation fiel flach, wegen letzterer benannten daten-partition, die von windows auch "erreichbar" sein sollte, was mit einer linux-verschluesselten-lvm-installation nicht funktioniert, zumindest ist mir nix diesbezueglich bekannt.
Los gehts:
benoetigte software : neustes truecrypt fuer windows und fuer linux zu finden hier : http://www.truecrypt.org
ext3-treiber fuer windows zu finden hier : http://ext2fsd.sourceforge.net/projects/projects.htm#ext2fsd
swap-treiber fuer windows zu finden hier : http://www.acc.umu.se/~bosse/swapfs-2.1.zip
Mein system ist ein acer aspire 5920 klapprechner mit 2gb ram und einer core duo 2ghz cpu, einer intel-grafik (bin kein spieler) und ner 500gb hdd
hier ist meine HDD aufteilung zur übersicht.Dient nur als beispiel.
30 GB Vista NTFS formatiert /dev/sda1 truecrypt verschluesselt
100MB Boot ext3 formatiert /dev/sda2 unverschluesselt
4GB Swap swap formatiert /dev/sda5 dm_crypt verschluesselt
15GB / (wurzelverzeichnis fuer opensuse) ext3 formatiert /dev/sda6 dm_crypt verschluesselt
rest /home ext3 formatiert /dev/sda7 truecrypt verschluesselt
Vorgehensweise:
Als erstes installiert ihr euerer windows, bei der installation koennt ihr die partitionen mit windows schon anlegen, wem das zu schwer erscheint, der kann das spaeter auch beim installieren mit linux machen. Falls ihr windows schon installiert habt dann solltet ihr die partitionierung bei der installation von linux machen. Nach der windows installation verschluesseln wir mit truecrypt (bei mir version 6.1a ) unsere windows system partition.
Als zweites installieren wir opensuse linux. Nach der installation von linux verschlüsseln wir die eigentliche root/system partition von linux und ziehen mit dem system auf diese partition um.
Danach formatieren wir die home partition und verschluesseln diese ebenfalls mit truecrypt. Wir binden die verschluesselte /home partition in unser linux system ein und starten danach windows um die home partition in windows ebenfalls einzubinden und nutzen zu koennen.
Wir installieren einen ext3-treiber fuer windows, binden die /home partition in windows als daten partition ein. Wir installieren einen swap-partitonstreiber fuer windows und nutzen die swap-partition unter windows fuer die windows-auslagerungsdatei.
Wenn das alles funktioniert, starten wir wiederum linux und machen unsere swap-partiton beim suspendvorgang zum verschluesseln.
Alles zusammen hat bei mir ca.3 stunden gedauert. Dies variiert natuerlich je nach system und festplattengroesse und jenachdem wie paranoid jeder sein mag. Mit paranoid meine ich die zufallsdaten ueberschreibung der festplatte, die durchaus bei einer groesse von mehreren GB's auf mehrere stunden gehen kann.
Mein klapprechner ist nun komplett verschluesselt, das einzig lesbare ist die bootpartition des linux-kernels. Ohne die kein linux starten wuerde.
Eines muß ich noch sagen/schreiben, durch die verschluesselung merkt man natuerlich einen hoeheren cpu-gebrauch, vor allem unter linux, deshalb habe ich auch eine ext3 formatierung fuer die home/datenplatte gewaehlt, da der ntfs-3g treiber das linux-system bei verschieben/arbeiten mit grossen datenmengen stark fordert und eine hoehere cpu-last beim datenfluß mit dem ext3-treiber unter windows kaum spuerbar ist.
Alles in allem bin ich damit zufrieden und alles läuft fluessig und einem normalen arbeiten steht nix im wege.
1. Windows verschluesseln :
Bevor wir anfangen unser windows zu verschluesseln sollten wir, bzw. muessen wir die partition vom windowssystem schon auf die richtige groesse partitioniert haben. Falls das noch nicht der fall sein sollte installieren wir zuvor linux und partitionieren unsere system festplatte nach obigen beispiel meiner festplatte, mit dem installationstool von opensuse linux. Nach erfolgreichen installieren/partitionieren starten wir windows erneut.
Wenn ihr windows gestartet habt ladet ihr euch die neuste truecrypt-version von http://www.truecrypt.org herunter und installiert diese. Nach dem starten oeffnet sich truecrypt in englischer sprache. Unter settings -> language oeffnet sich ein fenster in dem klickt ihr auf Download language pack. Nach dem erfolgreichen download kopiert ihr die datei Language.de.xml in das verzeichnis der truecryptinstallation, in der regel sollte das C:\Program Files\TrueCrypt sein.
Nach erneuten starten von truecrypt koennt ihr nun unter settings -> language auf deutsch umstellen.
Unter system -> system partition/laufwerk verschl. koennt ihr nun euer windowssystem verschluesseln. Folgt einfach dem verschluesselungsdialog.
Nach erfolgreichen verschluesseln der windows partition machen wir uns nun an das installieren von linux.
2. Linux installieren :
Bei der installation von linux ist zu beachten, das ihr eine seperate boot-partition habt, bei mir /dev/sda2 und das der bootloader grub NICHT im mbr installiert wird sondern in der boot-partition (/dev/sda2/). Wenn grub im mbr ist funktioniert der truecryptbootloader nicht mehr. Als / (wurzelverzeichnis bzw. root partition) waehlen wir /dev/sda7 und die partition /dev/sda6 (spaeteres / )lassen wir unberuehrt. Bei der installation waehlen wir noch die pakete cryptconfig und cryptsetup aus, sowie die kernel-source. Installiert erstmal nicht alle pakete die ihr so braucht, da das umziehen dann leanger dauert und wenn etwas schiefgeht verliert ihr viel zeit. Eure software die ihr benoetigt koennt ihr problemlos nach dem abschluß der verschluesselungarie nachinstallieren.
3. Linux verschluesseln und system verschieben :
Nun starten wir unser frisch installiertes linux. Melden uns ganz normal an und oeffnen eine konsole. Mit alt+f2 oeffnen wir den befehl-ausfuehren dialog und da geben wir konsole ein, gefolgt von enter. In dieser konsole melden wir uns mit su als root an, gefolgt vom passwort.
Nun ueberschreiben wir unsere zukuenftige system-partition /dev/sda6 mit zufallszahlen (bei mir habe ich das weggelassen, da eine 15bg partition schonmal 2-3stunden oder laenger dauern kann) mit dem befehl :
Nach dem wir fertig sind folgt die verschluesselungsformatierung mit dem befehl :
dabei werdet ihr nach euerem passwort gefragt, merkt es euch gut !!! das ist dann euer systempasswort.
Nach der verschluesselung der partition oeffnen wir diese mit folgendem befehl :
Nach der passworteingabe haben wir unter /dev/mapper/root unsere offene/entschluesselte partition. Diese formatieren wir nun mit dem filesystem unserer wahl, ich habe ext3, der befehl hierfuer lautet :
und danach binden wir diese partition unter /mnt/root wie folgt ein :
erstellt den ordner /mnt/root und
bindet die partition in /mnt/root ein. Nach dem einbinden/mounten verschieben bzw, kopieren wir unser komplettes system auf die partition /dev/sda6, also nach /mnt/root/. Im internet bin ich fuendig geworden mit dem befehl :
wechseln wir nach / und mit :
kopieren wir alle systemdaten nach /mnt/root. Beim ersten mal ist bei mir da etwas schief gelaufen und ich wollte sicher gehen das alles da ist, so habe ich nochmal alles im midnightcomander ( starten mit dem befehl : mc ) "haendisch" kopiert. Die verzeichnisse /sys , /proc , /dev sowie /tmp braucht ihr nicht mit kopieren, die koennt ihr einfach mit dem befehl :
und
und
sowie
unter /mnt/root anlegen. Diese werden automatisch beim starten vom system beschrieben.
nun haben wir das komplette system von /dev/sda7 auf /dev/sda6 kopiert. Das es startet muessen wir nun die datei /mnt/root/etc/fstab unserem neuem system anpassen. Mit dem editor eurer wahl oeffnet ihr die datei. Hier ist meine fstab :
wichtig ist die zeile fuer / das diese nicht auf /dev/sda6 verweisst sondern auf /dev/mapper/root
wir speichern nun die fstab.
Der bootloader von linux muss nun auch noch gesagt bekommen welche arbeit er verrichten soll. Zuvor machen wir noch eine sicherungskopie unseres kernels und unserer initrd, falls die verschluesselte partition nicht starten sollte haben wir dann noch die alte installation und brauchen nicht neu installieren. Mit dem befehl :
kopieren wir den kernel und mit dem befehl :
kopieren wir die initrd zur sicherheit als backup. Nun oeffnen wir als root die datei /boot/grub/menu.lst um dem linux-bootloader grub mitzuteilen was er zu booten hat.
hier meine menu.lst :
der erste eintrag ist der eintrag zum starten des verschluesselten systems, der zweite eintrag ist der originale eintrag, nur der zu bootende kernel und die initrd wurden durch die zwei backup dateien ersezt. Wenn unser verschluesseltes system wider erwarten nicht startet, haben wir die option das alte system zu starten um das neue zu reparieren.
Nachdem wir nun unsere fstab und unsere menu.lst angepasst haben, brauchen wir nur noch eine neue initrd erstellen, das geht ganz einfach mit dem befehl :
damit sagen wir dem system, es solle die intrd mit dm_crypt und luks machen, damit uns das system beim starten auch ordnungsgemaess nach unserem passwort fragt und das system danach entschluesselt.
Nun, nachdem wir eine neue initrd haben, koennen wir das system neu starten und unser neues system was verschluesselt ist starten, bzw. testen.
Beim neustart bootet das system mit besagtem truecrypt bootloeder, um aber linux zu starten verlassen wir den bootloader von truecrypt mit der esc taste. Nach dem verlassen des truecrypt bootloaders startet unser grub bootloader fuer linux mit dem wir unser verschluesseltes system starten. Nach ein paar sekunden werden wir nach unserem passwort gefragt. Nach eingabe des richtigen passwortes sollte das system problemlos durchstarten.
4. Home partition verschluesseln
Da nun unser verschluesseltes system startet, nutzen wir die restliche festplatte fuer unsere verschluesselte /home partition, in meinem falle /dev/sda7. Mit dem befehl :
als root in einer konsole formatieren wir die partiton als ext3. Als nächstes muessen wir auf der seite http://www.truecrypt.org uns noch truecrypt fuer opensuse runterladen und installieren. Dann verschluesseln wir mit truecrypt unsere neu formatierte partition /dev/sda7 komplett. Falls jemand das in englisch (unter linux ist trucrypt leider nur in englisch) nicht gelingen sollte der wechsele in das verschluesselte windows. Dort installieren wir den ext2/ext3-file treiber fuer windows von der seite http://ext2fsd.sourceforge.net/projects/projects.htm#ext2fsd , starten danach truecrypt und verschluesseln nun damit die komplette partition. Danach wechseln wir wieder ins linux.
Nun melden wir uns als nutzer ab und wechseln mit strg+f1 in eine konsole und da melden wir uns als root an. Mit dem befehl :
wechseln wir in das runlevel 3, somit duerfte kein anderer nutzer angemeldet sein ausser root. Nachdem wir das gemacht haben loeschen wir alle inhalte in /home mit dem folgenden befehl :
ACHTUNG !!! bei diesem befehl gehen eure ganzen nutzerdaten verloren, falls ihr also nach der neuinstallation schon einstellungen und speicherungen in eurem /home/username ordner gemacht habt, so gehen diese verlohren. Also vorher sichern!!!
Mit dem befehl :
binden wir die mit truecrypt schon verschluesselte partition /dev/sda7 in den ordner /home ein. EUERPASSWORT sollte dabei auch euer vergebenes passwort sein ;-) Nun haben wir unsere verschluesselte /home-partition ins system eingebunden und legen nun einen ordner fuer unseren linux-nutzer an. Mit den folgenden befehlen :
erstellt man den ordner fuer den nutzer "nutzername" und mit :
vergeben wir die rechte des ordners an den nutzer mit dem namen nutzername.
Mit dem befehl :
wechseln wir nun in das runlevel 5 und kdm/gdm/xdm, was auch immer ihr installiert habt startet und ihr koennt euch wieder als normaler nutzer anmelden.
Um nun die partition /dev/sda7 automatisch als /home beim start zu mounten machen wir folgendes :
Dazu oeffnen wir als root die datei /etc/init.d/boot.local mit dem editor eurer wahl und schreiben unten als letztes hinzu :
alles auf eine zeile, und "EUERPASSWORT" sollte auch wieder euer passwort sein. damit bindet das program truecrypt die partition /dev/sda7 automatisch beim booten in /home ein.
Nun habt ihr ein verschluesseltes system und eine verschluesselte automatisch eingebundene /home partition.
Falls sich jemand sorgen macht, das wir in klarsicht unser passwort fuer /dev/sda7 speichern den kann ich hiermit beruhigen, wir speichern das passwort in einem verschluesseltem system, also sollte man sich da keine gedanken darueber machen......
Da wir nun ein verschluesseltes windows haben, ein verschluesseltes linux und eine verschluesselte linux /home partition, machen wir uns daran, diese verschluesselte /home-partition auch in windows als datenpartition einzubinden.
5. Home-partition in windows einbinden.
In windows erstellen wir eine verknuepfung namens datenautomount auf dem desktop mit folgendem zielinhalt :
nach /letter das g ist dann der laufwerksbuchstabe der partition und \Partition5 ist meine /dev/sda7 und das passwort ist ja klar. Diese verknuepfung verschieben wir nach C:\Program Files\TrueCrypt\datenautomount.ink
danach erstellen wir einen eintrag in der registry, damit diese partition auch automatisch eingebunden wird.
Mit einem editer wie notepad erstellen wir die datei trucryptautomount.reg mit folgendem inhalt :
diese datei wie schon geschrieben als trucryptautomount.reg speichern und nach dem speichern mit doppelklick in die registry einfuegen lassen.
Nach einem neustart sollte nun unter dem laufwerksbuchstaben g: die partition /dev/sda7 in windoes eingebunden sein.
6. Swap-partition unter windows nutzen.
Da ich schon lange meine swappartitionen unter windows nutze binden wir diese hier natuerlich auch wieder mit ein, sonst verschenken wir unter windows ungenutzen speicherplatz..... ;-)
Dazu starten wir unser windows und laden von http://www.acc.umu.se/~bosse/swapfs-2.1.zip den swapfs treiber herunter. In diesem zip-file finden wir eine datei namens swapfs.sys, diese kopieren wir nach c:\windows\system32\drivers. Danach editieren wir die datei swapfs.reg fuer unser system :
diese speichern wir ab und doppelklicken sie um sie in die registry zu befoerdern. \Partition3 waere hier /dev/sda5 und "Z:" ist der laufwerksbuchstabe fuer windows unter dem man dann die partition findet.
Nach einem neustart von windows haben wir den buchstaben z: unterm arbeitsplatz mit 4gb speicherplatz, in diese partition verschieben wir die auslagerungsdatei von windows.
Unter start -> rechtsklick computer -> eigenschaften -> erweitete Systemeinstellungen und da unter erweitert visuelle effekte, prozes...... einstellungen -> erweitert aendern wir die auslagerungsdatei von c: auf Z: nach einem neustart nutzt unser windows die swap-partition.
7. Unter linux die swap-partition bei suspend to disk verschluesseln.
Linux hat eine gute suspend-variante, suspend to disk, diese variante des "ausschaltens" schaltet das komplette system ab, speichert jedoch die noch nicht beendete arbeit sowie alle offenen programme auf die festplatte, die sogenannte swap-partition. Da ein eventueller "angreifer" diese partition auslesen koennte, koennen wir diese problemlos verschluesseln lassen, beim suspendieren.
Dazu oeffnen wir die datei /etc/suspend.conf als root mit dem editor eurer wahl und suchen die zeilen :
die zeilen "encrypt = y" und "RSA key file = /etc/suspend.key" komentieren wir aus indem wir die raute ( # ) davor entfernen.Nach dem speichern suspendieren wir unserem rechner und werden nun beim suspendvorgang nach einem passwort gefragt, welches wir eingeben und beim aufwachen wieder danach gefragt werden.
Letzteres habe ich bei mir wieder ausgeschalten, weil bei mir die warscheinlichkeit sehr sehr gering ist, das jemand meinen swap auslesen koennte/wuerde und mir die passwortfragerei dann schon etwas nervt ;-) , aber das bleibt jedem natuerlich selbst ueberlassen.
So liebe leser, wer hier angekommen ist ist entweder voellig frustriert, weil ich totale scheisse geschrieben habe, oder er hat ein verschluesseltes system wie ich es auch habe und ist rundum zufrieden.
Noch zu sagen gibt es, wer sein linuxsystem schon installiert hat und alles schoen eingerichtet hat der kann mit einer live-cd das ganze verschieben, verschluesseln und zurückschreiben,mit dieser live-cd nach dieser anleitung machen, mit der ausnahme, das man ins /mnt/root/ chrooten muß,um die initrd zu erstellen aber da sollte man sich etwas auskennen und mal in einschlaegigen suchmaschinen suchen, ich habe jedenfalls momentan keine lust mehr diesen weg hier noch aufzuschreiben, sorry, eine neuinstallation ist vieleicht einfacher.
Alsdann, falls ich grobe fehler geschrieben habe teilt es mir bitte mit oder schreibt halt selber einen kommentar rein. Aber ich denke im grossen und ganzen sollte das so funktionieren, da ich es genau so erst kuerzlich gemacht habe, nach dem neuerwerb meiner 500gb-platte.
Der meinereiner hofft das ich mit diesem kleinen text vieleicht ein/zwei leuten helfen kann.
Alsdann, viel spass dabei, viele gruesse, toter
wer ein komplett verschlüsseltes windows-linux system haben möchte sollte der englischen
sprache kundig sein. Nach vielen suchen in diversen suchseiten fand ich leider
nichts deutsches was so richtig funktioniert hat oder mit dem ich klar gekommen bin. Aber ich denke, das auch ein
nicht englisch kundiger das recht auf datensicherheit haben sollte, deshalb habe ich diesen folgenden text geschrieben. Die hochtaste ist meinem zweifingertippsystem zum opfer gefallen, also seid gnaedig mit mir.
Nunmal zum eigentlichen. Wer einen klapprechner sein eigen nennt und des oefteren von a nach b reist dem kommt schon ab und an der gedanke was geschehen würde wenn das geraet abhanden kommt. Jemand findet es und dann kann dieserjeniger welcher die daten problemlos lesen, anschauen oder im schlimmsten fall veroeffentlichen. Bei privaten daten kann man in verlegenheit kommen, bei firmendaten kann man auch viel geld verlieren.
Oder z.B. die neu eingebaute hdd macht in der garantiezeit die hufe hoch, man schickt sie ein, aber wer hat denn in der reperaturfirma wie zugriff auf unsere daten und wie serioes ist diese firma?
Diesem szenario wollte ich mit einem verschluesseltem system entkommen. Klingt einfach, ist aber dem nicht ganz so, zumindest für den ottonormalbenutzer. Nun hier soll der ansatz sein, dem deutschsprachigen ottonormaluser so etwas zu ermöglichen.
Mein system sollte hier mal als beispeiel herhalten, jeder sollte und kann natuerlich sein system anpassen wie er moechte.
Da ich vista und opensuse 11.1 auf einem rechner nutzen muss/moechte und beides verschluesseln wollte nutze ich truecrypt fuer das windows-system und luks/dm_crypt fuer das opensuse.Eine daten-partition die mit trucrypt verschluesselt ist koennen beide systeme zum speichern von daten nutzen.Eine verschluesselte lvm linux installation fiel flach, wegen letzterer benannten daten-partition, die von windows auch "erreichbar" sein sollte, was mit einer linux-verschluesselten-lvm-installation nicht funktioniert, zumindest ist mir nix diesbezueglich bekannt.
Los gehts:
benoetigte software : neustes truecrypt fuer windows und fuer linux zu finden hier : http://www.truecrypt.org
ext3-treiber fuer windows zu finden hier : http://ext2fsd.sourceforge.net/projects/projects.htm#ext2fsd
swap-treiber fuer windows zu finden hier : http://www.acc.umu.se/~bosse/swapfs-2.1.zip
Mein system ist ein acer aspire 5920 klapprechner mit 2gb ram und einer core duo 2ghz cpu, einer intel-grafik (bin kein spieler) und ner 500gb hdd
hier ist meine HDD aufteilung zur übersicht.Dient nur als beispiel.
30 GB Vista NTFS formatiert /dev/sda1 truecrypt verschluesselt
100MB Boot ext3 formatiert /dev/sda2 unverschluesselt
4GB Swap swap formatiert /dev/sda5 dm_crypt verschluesselt
15GB / (wurzelverzeichnis fuer opensuse) ext3 formatiert /dev/sda6 dm_crypt verschluesselt
rest /home ext3 formatiert /dev/sda7 truecrypt verschluesselt
Vorgehensweise:
Als erstes installiert ihr euerer windows, bei der installation koennt ihr die partitionen mit windows schon anlegen, wem das zu schwer erscheint, der kann das spaeter auch beim installieren mit linux machen. Falls ihr windows schon installiert habt dann solltet ihr die partitionierung bei der installation von linux machen. Nach der windows installation verschluesseln wir mit truecrypt (bei mir version 6.1a ) unsere windows system partition.
Als zweites installieren wir opensuse linux. Nach der installation von linux verschlüsseln wir die eigentliche root/system partition von linux und ziehen mit dem system auf diese partition um.
Danach formatieren wir die home partition und verschluesseln diese ebenfalls mit truecrypt. Wir binden die verschluesselte /home partition in unser linux system ein und starten danach windows um die home partition in windows ebenfalls einzubinden und nutzen zu koennen.
Wir installieren einen ext3-treiber fuer windows, binden die /home partition in windows als daten partition ein. Wir installieren einen swap-partitonstreiber fuer windows und nutzen die swap-partition unter windows fuer die windows-auslagerungsdatei.
Wenn das alles funktioniert, starten wir wiederum linux und machen unsere swap-partiton beim suspendvorgang zum verschluesseln.
Alles zusammen hat bei mir ca.3 stunden gedauert. Dies variiert natuerlich je nach system und festplattengroesse und jenachdem wie paranoid jeder sein mag. Mit paranoid meine ich die zufallsdaten ueberschreibung der festplatte, die durchaus bei einer groesse von mehreren GB's auf mehrere stunden gehen kann.
Mein klapprechner ist nun komplett verschluesselt, das einzig lesbare ist die bootpartition des linux-kernels. Ohne die kein linux starten wuerde.
Eines muß ich noch sagen/schreiben, durch die verschluesselung merkt man natuerlich einen hoeheren cpu-gebrauch, vor allem unter linux, deshalb habe ich auch eine ext3 formatierung fuer die home/datenplatte gewaehlt, da der ntfs-3g treiber das linux-system bei verschieben/arbeiten mit grossen datenmengen stark fordert und eine hoehere cpu-last beim datenfluß mit dem ext3-treiber unter windows kaum spuerbar ist.
Alles in allem bin ich damit zufrieden und alles läuft fluessig und einem normalen arbeiten steht nix im wege.
1. Windows verschluesseln :
Bevor wir anfangen unser windows zu verschluesseln sollten wir, bzw. muessen wir die partition vom windowssystem schon auf die richtige groesse partitioniert haben. Falls das noch nicht der fall sein sollte installieren wir zuvor linux und partitionieren unsere system festplatte nach obigen beispiel meiner festplatte, mit dem installationstool von opensuse linux. Nach erfolgreichen installieren/partitionieren starten wir windows erneut.
Wenn ihr windows gestartet habt ladet ihr euch die neuste truecrypt-version von http://www.truecrypt.org herunter und installiert diese. Nach dem starten oeffnet sich truecrypt in englischer sprache. Unter settings -> language oeffnet sich ein fenster in dem klickt ihr auf Download language pack. Nach dem erfolgreichen download kopiert ihr die datei Language.de.xml in das verzeichnis der truecryptinstallation, in der regel sollte das C:\Program Files\TrueCrypt sein.
Nach erneuten starten von truecrypt koennt ihr nun unter settings -> language auf deutsch umstellen.
Unter system -> system partition/laufwerk verschl. koennt ihr nun euer windowssystem verschluesseln. Folgt einfach dem verschluesselungsdialog.
Nach erfolgreichen verschluesseln der windows partition machen wir uns nun an das installieren von linux.
2. Linux installieren :
Bei der installation von linux ist zu beachten, das ihr eine seperate boot-partition habt, bei mir /dev/sda2 und das der bootloader grub NICHT im mbr installiert wird sondern in der boot-partition (/dev/sda2/). Wenn grub im mbr ist funktioniert der truecryptbootloader nicht mehr. Als / (wurzelverzeichnis bzw. root partition) waehlen wir /dev/sda7 und die partition /dev/sda6 (spaeteres / )lassen wir unberuehrt. Bei der installation waehlen wir noch die pakete cryptconfig und cryptsetup aus, sowie die kernel-source. Installiert erstmal nicht alle pakete die ihr so braucht, da das umziehen dann leanger dauert und wenn etwas schiefgeht verliert ihr viel zeit. Eure software die ihr benoetigt koennt ihr problemlos nach dem abschluß der verschluesselungarie nachinstallieren.
3. Linux verschluesseln und system verschieben :
Nun starten wir unser frisch installiertes linux. Melden uns ganz normal an und oeffnen eine konsole. Mit alt+f2 oeffnen wir den befehl-ausfuehren dialog und da geben wir konsole ein, gefolgt von enter. In dieser konsole melden wir uns mit su als root an, gefolgt vom passwort.
Nun ueberschreiben wir unsere zukuenftige system-partition /dev/sda6 mit zufallszahlen (bei mir habe ich das weggelassen, da eine 15bg partition schonmal 2-3stunden oder laenger dauern kann) mit dem befehl :
Code:
dd if=/dev/urandom of=/dev/sda6 bs=4096Nach dem wir fertig sind folgt die verschluesselungsformatierung mit dem befehl :
Code:
cryptsetup -v --key-size 256 luksFormat /dev/sda6dabei werdet ihr nach euerem passwort gefragt, merkt es euch gut !!! das ist dann euer systempasswort.
Nach der verschluesselung der partition oeffnen wir diese mit folgendem befehl :
Code:
cryptsetup luksOpen /dev/sda6 rootNach der passworteingabe haben wir unter /dev/mapper/root unsere offene/entschluesselte partition. Diese formatieren wir nun mit dem filesystem unserer wahl, ich habe ext3, der befehl hierfuer lautet :
Code:
mkfs.ext3 -O dir_index,resize_inode /dev/mapper/rootund danach binden wir diese partition unter /mnt/root wie folgt ein :
Code:
mkdir /mnt/rooterstellt den ordner /mnt/root und
Code:
mount /dev/mapper/root /mnt/rootbindet die partition in /mnt/root ein. Nach dem einbinden/mounten verschieben bzw, kopieren wir unser komplettes system auf die partition /dev/sda6, also nach /mnt/root/. Im internet bin ich fuendig geworden mit dem befehl :
Code:
cd /wechseln wir nach / und mit :
Code:
find bin etc home lib* opt root sbin \ >srv usr var -depth -print0 | cpio -pmd --null /mnt/rootkopieren wir alle systemdaten nach /mnt/root. Beim ersten mal ist bei mir da etwas schief gelaufen und ich wollte sicher gehen das alles da ist, so habe ich nochmal alles im midnightcomander ( starten mit dem befehl : mc ) "haendisch" kopiert. Die verzeichnisse /sys , /proc , /dev sowie /tmp braucht ihr nicht mit kopieren, die koennt ihr einfach mit dem befehl :
Code:
mkdir /mnt/root/proc
Code:
mkdir /mnt/root/sys
Code:
mkdir /mnt/root/dev
Code:
mkdir /mnt/root/tmpunter /mnt/root anlegen. Diese werden automatisch beim starten vom system beschrieben.
nun haben wir das komplette system von /dev/sda7 auf /dev/sda6 kopiert. Das es startet muessen wir nun die datei /mnt/root/etc/fstab unserem neuem system anpassen. Mit dem editor eurer wahl oeffnet ihr die datei. Hier ist meine fstab :
Code:
/dev/disk/by-id/ata-SAMSUNG_HM500LI_S1PTJD0Q611061-part5 swap swap defaults 0 0
/dev/mapper/root / ext3 acl,user_xattr 1 1
/dev/disk/by-id/ata-SAMSUNG_HM500LI_S1PTJD0Q611061-part2 /boot ext3 acl,user_xattr 1 2
proc /proc proc defaults 0 0
sysfs /sys sysfs noauto 0 0
debugfs /sys/kernel/debug debugfs noauto 0 0
usbfs /proc/bus/usb usbfs noauto 0 0
devpts /dev/pts devpts mode=0620,gid=5 0 0wichtig ist die zeile fuer / das diese nicht auf /dev/sda6 verweisst sondern auf /dev/mapper/root
wir speichern nun die fstab.
Der bootloader von linux muss nun auch noch gesagt bekommen welche arbeit er verrichten soll. Zuvor machen wir noch eine sicherungskopie unseres kernels und unserer initrd, falls die verschluesselte partition nicht starten sollte haben wir dann noch die alte installation und brauchen nicht neu installieren. Mit dem befehl :
Code:
cp /boot/vmlinuz-2* /boot/kernel-backupkopieren wir den kernel und mit dem befehl :
Code:
cp /boot/initrd-2* /boot/initrd-backupkopieren wir die initrd zur sicherheit als backup. Nun oeffnen wir als root die datei /boot/grub/menu.lst um dem linux-bootloader grub mitzuteilen was er zu booten hat.
hier meine menu.lst :
Code:
default 0
timeout 8
color red/black blink-green/black
title Opensuse verschluesselt
root (hd0,1)
kernel /vmlinuz-2.6.27.19-3.2-default root=/dev/mapper/root luks_root=/dev/sda6 luks="root" vga=0x317 resume=/dev/sda5 splash=verbose showopts
initrd /initrd-2.6.27.19-3.2-default
title Initrd Backup openSUSE 11.1
root (hd0,1)
kernel /kernel-backup root=/dev/disk/by-id/ata-SAMSUNG_HM500LI_S1PTJD0Q611061-part7 resume=/dev/disk/by-id/ata-SAMSUNG_HM500LI_S1PTJD0Q611061-part5 splash=silent showopts vga=0x317
initrd /initrd-backupder erste eintrag ist der eintrag zum starten des verschluesselten systems, der zweite eintrag ist der originale eintrag, nur der zu bootende kernel und die initrd wurden durch die zwei backup dateien ersezt. Wenn unser verschluesseltes system wider erwarten nicht startet, haben wir die option das alte system zu starten um das neue zu reparieren.
Nachdem wir nun unsere fstab und unsere menu.lst angepasst haben, brauchen wir nur noch eine neue initrd erstellen, das geht ganz einfach mit dem befehl :
Code:
mkinitrd -d /dev/mapper/root -f "dm luks"damit sagen wir dem system, es solle die intrd mit dm_crypt und luks machen, damit uns das system beim starten auch ordnungsgemaess nach unserem passwort fragt und das system danach entschluesselt.
Nun, nachdem wir eine neue initrd haben, koennen wir das system neu starten und unser neues system was verschluesselt ist starten, bzw. testen.
Beim neustart bootet das system mit besagtem truecrypt bootloeder, um aber linux zu starten verlassen wir den bootloader von truecrypt mit der esc taste. Nach dem verlassen des truecrypt bootloaders startet unser grub bootloader fuer linux mit dem wir unser verschluesseltes system starten. Nach ein paar sekunden werden wir nach unserem passwort gefragt. Nach eingabe des richtigen passwortes sollte das system problemlos durchstarten.
4. Home partition verschluesseln
Da nun unser verschluesseltes system startet, nutzen wir die restliche festplatte fuer unsere verschluesselte /home partition, in meinem falle /dev/sda7. Mit dem befehl :
Code:
mkfs.ext3 /dev/sda7als root in einer konsole formatieren wir die partiton als ext3. Als nächstes muessen wir auf der seite http://www.truecrypt.org uns noch truecrypt fuer opensuse runterladen und installieren. Dann verschluesseln wir mit truecrypt unsere neu formatierte partition /dev/sda7 komplett. Falls jemand das in englisch (unter linux ist trucrypt leider nur in englisch) nicht gelingen sollte der wechsele in das verschluesselte windows. Dort installieren wir den ext2/ext3-file treiber fuer windows von der seite http://ext2fsd.sourceforge.net/projects/projects.htm#ext2fsd , starten danach truecrypt und verschluesseln nun damit die komplette partition. Danach wechseln wir wieder ins linux.
Nun melden wir uns als nutzer ab und wechseln mit strg+f1 in eine konsole und da melden wir uns als root an. Mit dem befehl :
Code:
init 3wechseln wir in das runlevel 3, somit duerfte kein anderer nutzer angemeldet sein ausser root. Nachdem wir das gemacht haben loeschen wir alle inhalte in /home mit dem folgenden befehl :
Code:
rm -r /home/*ACHTUNG !!! bei diesem befehl gehen eure ganzen nutzerdaten verloren, falls ihr also nach der neuinstallation schon einstellungen und speicherungen in eurem /home/username ordner gemacht habt, so gehen diese verlohren. Also vorher sichern!!!
Mit dem befehl :
Code:
truecrypt -t --non-interactive --filesystem=ext3 --fs-options=acl,user_xattr /dev/sda7 /home -p EUERPASSWORTbinden wir die mit truecrypt schon verschluesselte partition /dev/sda7 in den ordner /home ein. EUERPASSWORT sollte dabei auch euer vergebenes passwort sein ;-) Nun haben wir unsere verschluesselte /home-partition ins system eingebunden und legen nun einen ordner fuer unseren linux-nutzer an. Mit den folgenden befehlen :
Code:
mkdir /home/nutzernameerstellt man den ordner fuer den nutzer "nutzername" und mit :
Code:
chown nutzername:users /home/nutzernamevergeben wir die rechte des ordners an den nutzer mit dem namen nutzername.
Mit dem befehl :
Code:
init 5wechseln wir nun in das runlevel 5 und kdm/gdm/xdm, was auch immer ihr installiert habt startet und ihr koennt euch wieder als normaler nutzer anmelden.
Um nun die partition /dev/sda7 automatisch als /home beim start zu mounten machen wir folgendes :
Dazu oeffnen wir als root die datei /etc/init.d/boot.local mit dem editor eurer wahl und schreiben unten als letztes hinzu :
Code:
truecrypt -t --non-interactive --filesystem=ext3 --fs-options=acl,user_xattr /dev/sda7 /home -p EUERPASSWORTalles auf eine zeile, und "EUERPASSWORT" sollte auch wieder euer passwort sein. damit bindet das program truecrypt die partition /dev/sda7 automatisch beim booten in /home ein.
Nun habt ihr ein verschluesseltes system und eine verschluesselte automatisch eingebundene /home partition.
Falls sich jemand sorgen macht, das wir in klarsicht unser passwort fuer /dev/sda7 speichern den kann ich hiermit beruhigen, wir speichern das passwort in einem verschluesseltem system, also sollte man sich da keine gedanken darueber machen......
Da wir nun ein verschluesseltes windows haben, ein verschluesseltes linux und eine verschluesselte linux /home partition, machen wir uns daran, diese verschluesselte /home-partition auch in windows als datenpartition einzubinden.
5. Home-partition in windows einbinden.
In windows erstellen wir eine verknuepfung namens datenautomount auf dem desktop mit folgendem zielinhalt :
Code:
“C:\Program Files\TrueCrypt\TrueCrypt.exe” /q /auto /m /letter g /v \Device\Harddisk0\Partition5 /p EUERPASSWORTnach /letter das g ist dann der laufwerksbuchstabe der partition und \Partition5 ist meine /dev/sda7 und das passwort ist ja klar. Diese verknuepfung verschieben wir nach C:\Program Files\TrueCrypt\datenautomount.ink
danach erstellen wir einen eintrag in der registry, damit diese partition auch automatisch eingebunden wird.
Mit einem editer wie notepad erstellen wir die datei trucryptautomount.reg mit folgendem inhalt :
Code:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Daten"="\"C:\\Program Files\\TrueCrypt\\datenautomount.ink\""diese datei wie schon geschrieben als trucryptautomount.reg speichern und nach dem speichern mit doppelklick in die registry einfuegen lassen.
Nach einem neustart sollte nun unter dem laufwerksbuchstaben g: die partition /dev/sda7 in windoes eingebunden sein.
6. Swap-partition unter windows nutzen.
Da ich schon lange meine swappartitionen unter windows nutze binden wir diese hier natuerlich auch wieder mit ein, sonst verschenken wir unter windows ungenutzen speicherplatz..... ;-)
Dazu starten wir unser windows und laden von http://www.acc.umu.se/~bosse/swapfs-2.1.zip den swapfs treiber herunter. In diesem zip-file finden wir eine datei namens swapfs.sys, diese kopieren wir nach c:\windows\system32\drivers. Danach editieren wir die datei swapfs.reg fuer unser system :
Code:
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SwapFs]
"ErrorControl"=dword:00000001
"Group"="Filter"
#
# When to start the driver:
# At boot: Start=1
# Manually: Start=3
#
"Start"=dword:00000001
"Type"=dword:00000001
#
# (/dev/hda1 in Linux = \\Device\\Harddisk0\\Partition1 in NT, an extended
# partition is skipped in the enumeration)
#
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SwapFs\Parameters]
"SwapDevice"="\\Device\\Harddisk0\\Partition3"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices]
"Z:"="\\Device\\Harddisk0\\Partition3"diese speichern wir ab und doppelklicken sie um sie in die registry zu befoerdern. \Partition3 waere hier /dev/sda5 und "Z:" ist der laufwerksbuchstabe fuer windows unter dem man dann die partition findet.
Nach einem neustart von windows haben wir den buchstaben z: unterm arbeitsplatz mit 4gb speicherplatz, in diese partition verschieben wir die auslagerungsdatei von windows.
Unter start -> rechtsklick computer -> eigenschaften -> erweitete Systemeinstellungen und da unter erweitert visuelle effekte, prozes...... einstellungen -> erweitert aendern wir die auslagerungsdatei von c: auf Z: nach einem neustart nutzt unser windows die swap-partition.
7. Unter linux die swap-partition bei suspend to disk verschluesseln.
Linux hat eine gute suspend-variante, suspend to disk, diese variante des "ausschaltens" schaltet das komplette system ab, speichert jedoch die noch nicht beendete arbeit sowie alle offenen programme auf die festplatte, die sogenannte swap-partition. Da ein eventueller "angreifer" diese partition auslesen koennte, koennen wir diese problemlos verschluesseln lassen, beim suspendieren.
Dazu oeffnen wir die datei /etc/suspend.conf als root mit dem editor eurer wahl und suchen die zeilen :
Code:
---snip---
## encryption support is rather basic right now - e.g. USB keyboards will not
## work to enter the key in the standard initrd, also beware of
## non-US keyboard layouts. Only use this if you know what you are doing.
encrypt = y
#
## RSA key file that is used for encryption
RSA key file = /etc/suspend.key
---snap---die zeilen "encrypt = y" und "RSA key file = /etc/suspend.key" komentieren wir aus indem wir die raute ( # ) davor entfernen.Nach dem speichern suspendieren wir unserem rechner und werden nun beim suspendvorgang nach einem passwort gefragt, welches wir eingeben und beim aufwachen wieder danach gefragt werden.
Letzteres habe ich bei mir wieder ausgeschalten, weil bei mir die warscheinlichkeit sehr sehr gering ist, das jemand meinen swap auslesen koennte/wuerde und mir die passwortfragerei dann schon etwas nervt ;-) , aber das bleibt jedem natuerlich selbst ueberlassen.
So liebe leser, wer hier angekommen ist ist entweder voellig frustriert, weil ich totale scheisse geschrieben habe, oder er hat ein verschluesseltes system wie ich es auch habe und ist rundum zufrieden.
Noch zu sagen gibt es, wer sein linuxsystem schon installiert hat und alles schoen eingerichtet hat der kann mit einer live-cd das ganze verschieben, verschluesseln und zurückschreiben,mit dieser live-cd nach dieser anleitung machen, mit der ausnahme, das man ins /mnt/root/ chrooten muß,um die initrd zu erstellen aber da sollte man sich etwas auskennen und mal in einschlaegigen suchmaschinen suchen, ich habe jedenfalls momentan keine lust mehr diesen weg hier noch aufzuschreiben, sorry, eine neuinstallation ist vieleicht einfacher.
Alsdann, falls ich grobe fehler geschrieben habe teilt es mir bitte mit oder schreibt halt selber einen kommentar rein. Aber ich denke im grossen und ganzen sollte das so funktionieren, da ich es genau so erst kuerzlich gemacht habe, nach dem neuerwerb meiner 500gb-platte.
Der meinereiner hofft das ich mit diesem kleinen text vieleicht ein/zwei leuten helfen kann.
Alsdann, viel spass dabei, viele gruesse, toter