LUKS

LUKS (Linux Unified Key Setup) wird zur Festplattenverschlüsselung zum Schutz sensibler Daten gegen physischen Diebstahl eingesetzt, ermöglicht aber auch den Schutz gegen Datenwiederherstellung nach Verkauf oder Entsorgung von Datenträgern, ohne sie vorher unbedingt überschreiben oder zerstören zu müssen.

Da die Verschlüsselung zwischen der höheren Ebene des Dateisystems und über den RAID-, LVM u.a. Layern stattfindet, ist sichergestellt, dass der gesamte Storage-Layer mit den üblichen Daten arbeiten kann und nach wie vor alle Festplatten-Befehle wie gewohnt funktionieren. Ausserdem verhalten sich so alle Festplatten im RAID- oder LVM-Verbund gleich.

In RHEL 8+ sind folgende Verschlüsselungsalgorithmen als Standard hinterlegt:

yum -y install cryptsetup
cryptsetup --help
Default compiled-in key and passphrase parameters:
    Maximum keyfile size: 8192kB, Maximum interactive passphrase length 512 (characters)
Default PBKDF for LUKS1: pbkdf2, iteration time: 2000 (ms)
Default PBKDF for LUKS2: argon2i
    Iteration time: 2000, Memory required: 1048576kB, Parallel threads: 4

Default compiled-in device cipher parameters:
    loop-AES: aes, Key 256 bits
    plain: aes-cbc-essiv:sha256, Key: 256 bits, Password hashing: ripemd160
    LUKS: aes-xts-plain64, Key: 256 bits, LUKS header hashing: sha256, RNG: /dev/urandom
    LUKS: Default keysize with XTS mode (two internal keys) will be doubled.

Datenträger verschlüsseln

Um im Beispiel die Disk /dev/vdb zu verschlüsseln, ruft man cryptsetup auf. Die Einrichtung der Verschlüsselung löscht die vorhandenen Daten.

lsblk
LUKSDEV=/dev/vdb

# prompting for a password
cryptsetup luksFormat $LUKSDEV

# without prompting for a password; password from STDIN
echo -n "mypassword" | cryptsetup luksFormat $LUKSDEV -

# without prompting for a password; password from keyfile
cryptsetup luksFormat $LUKSDEV /root/keyfile

Jetzt YES eingeben (man beachte die Grossschreibung) und ein Passwort für die Verschlüsselung vergeben. Der Parameter --batch-mode unterdrückt die Sicherheitsabfrage.

Mit LUKS verschlüsselte Disks und Partitionen tauchen unter /dev/mapper/ auf, benötigen dafür aber einen Klartext-Namen, den man folgendermassen vergibt:

cryptsetup luksOpen $LUKSDEV myluksdrive

Das LUKS-Device verlangt nach dem Passwort. Per

ls /dev/mapper

wird das LUKS-Device als /dev/mapper/myluksdrive aufgeführt.

Datenträger verwenden

Um mit dem LUKS-Device zu arbeiten, benötigt diese noch ein Dateisystem. Soll das LUKS-Device nach dem Booten automatisch zur Verfügung stehen, muss es neben der /etc/fstab auch in die Datei /etc/crypttab eingetragen werden:

cryptsetup luksOpen $LUKSDEV myluksdrive
mkfs --type xfs /dev/mapper/myluksdrive
mkdir /mnt/myluksdrive
mount /dev/mapper/myluksdrive /mnt/myluksdrive
/etc/fstab
/dev/mapper/myluksdrive /mnt/myluksdrive xfs defaults 0 0
/etc/crypttab
myluksdrive $LUKSDEV

Wichtig: Sobald die Maschine neu gestartet wird, verlangt GRUB während des Bootvorgangs die Eingabe des Passworts, um das LUKS-Device beim Boot zu aktivieren. Ist gefordert, dass RHEL das Passwort automatisch aus einer Datei ausliest - im Server-Umfeld die Regel - muss die /etc/crypttab umformuliert werden:

/etc/crypttab
myluksdrive $LUKSDEV /path/to/passwd/file

Das Passwort kann im Klartext in einer Text-Datei abgelegt werden (chmod 0400 /path/to/passwd/file). Diese muss noch importiert werden:

cryptsetup luksAddKey $LUKSDEV /path/to/passwd/file

Um später weitere Passwörter hinzuzufügen, verwendet man:

cryptsetup luksAddKey $LUKSDEV

Wer nur Key-Files verwendet, kann so weitere Secrets hinzufügen:

echo -n "mypassword" | cryptsetup luksAddKey /dev/mapper/myluksdrive --key-file=/root/keyfile

Falls das LUKS-Device nicht per fstab, sondern manuell eingebunden werden soll:

cryptsetup luksOpen $LUKSDEV myluksdrive
mount /dev/mapper/myluksdrive /mnt/myluksdrive

Datenträger auswerfen:

umount /mnt/myluksdrive
cryptsetup luksClose myluksdrive

Built on 2023-01-27