{"id":136,"date":"2023-08-26T21:20:50","date_gmt":"2023-08-26T19:20:50","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=136"},"modified":"2023-08-27T02:47:35","modified_gmt":"2023-08-27T00:47:35","slug":"linux-verschluesselung-beim-start-automatisch-entsperren","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2023\/08\/26\/linux-verschluesselung-beim-start-automatisch-entsperren\/","title":{"rendered":"Linux-Verschl\u00fcsselung beim Start automatisch entsperren"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Will man seine Daten auf einem Linux-Laptop sicher vor allen Blicken haben, auch wenn dieser gestohlen wird &#8211; dann verschl\u00fcsselt man seine Daten. Am besten wird nat\u00fcrlich das komplette System verschl\u00fcsselt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Die Verschl\u00fcsselung bietet folgenden Schutz<\/strong> &#8211; wenn der Rechner mit einem Live-System gestartet wird, bekommt man \u00fcber dieses keinen Zugriff, wenn man das Luks-Passwort nicht kennt. Wird die Festplatte ausgebaut und an einen anderen Rechner angeschlossen, bekommt man keinen Zugriff auf die Daten, wenn man das Luks-Passwort nicht kennt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">So gesehen absolut perfekt &#8211; nervig ist jedoch die Eingabe des Passwortes zur Entschl\u00fcsselung des Systems beim System-Start. Diese Eingabe ist auch nicht wirklich sicherer &#8211; wenn man nicht gerade ein anderes Passwort benutzt, als das Passwort f\u00fcr den eigentlichen Login. Wirklich sinnvoll ist die Eingabe des Passwortes ja auch nur dann &#8211; wenn das Betriebssystem nicht startet, also wenn die Festplatte ausgebaut wird und beim Zugriff mit einem Live-System.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In diesem Beitrag lesen Sie, wie Sie das System unter Debian, sowie unter Ubuntu und darauf basierenden Linux-Distributionen das System automatisch entschl\u00fcsseln.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Mit Clevis Linux automatisch entschl\u00fcsseln<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Zu Beginn &#8211; automatisch entschl\u00fcsselt soll die Wurzel-Partition werden, der Rest (\/home)wird ja mit dem Passwort beim Login entschl\u00fcsselt. Sie m\u00fcssen diese Partition kennen &#8211; dies zeigt etwa ein Blick in die <strong>fstab<\/strong>:<\/p>\n\n\n\n<pre class=\"wp-block-code has-tertiary-background-color has-background\"><code>cat \/etc\/fstab<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Oder als root mit dem Befehl:<\/p>\n\n\n\n<pre class=\"wp-block-code has-tertiary-background-color has-background\"><code>fdisk -l<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Erleichterung starten wir zu Beginn folgenden Befehl:<\/p>\n\n\n\n<pre class=\"wp-block-code has-tertiary-background-color has-background\"><code>export PATH=\/sbin:$PATH<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Schnell gesagt, die Partition &#8222;<strong>\/<\/strong>&#8220; muss entschl\u00fcsselt werden &#8211; in meinem Beispiel also &#8222;<strong>\/dev\/nvme0n1p3<\/strong>&#8222;. Nat\u00fcrlich muss der Computer einen TPM-Chip eingebaut haben &#8211; erhalten Sie auf folgenden Befehl eine Ausgabe, ist dies der Fall:<\/p>\n\n\n\n<pre class=\"wp-block-code has-tertiary-background-color has-background\"><code>dmesg | grep -i tpm<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"395\" src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/08\/tpm-1024x395.jpeg\" alt=\"\" class=\"wp-image-137\" srcset=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/08\/tpm-1024x395.jpeg 1024w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/08\/tpm-300x116.jpeg 300w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/08\/tpm-768x296.jpeg 768w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/08\/tpm-1536x592.jpeg 1536w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/08\/tpm.jpeg 1820w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Des weiteren werden alle folgenden Befehle als root ausgef\u00fchrt und Sie m\u00fcssen das Passwort zur Entschl\u00fcsselung kennen. Als Erstes werden die n\u00f6tigen Pakete installiert:<\/p>\n\n\n\n<pre class=\"wp-block-code has-tertiary-background-color has-background\"><code>apt install clevis clevis-tpm2 clevis-luks clevis-udisks2 clevis-systemd clevis-initramfs<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Jetzt m\u00fcssen wir herausfinden welchen Hash der TPM-Chip unterst\u00fctzt &#8211; dies zeigt folgender Befehl:<\/p>\n\n\n\n<pre class=\"wp-block-code has-tertiary-background-color has-background\"><code>tpm2_pcrread<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"657\" src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/08\/tpm-1-1024x657.jpeg\" alt=\"\" class=\"wp-image-138\" srcset=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/08\/tpm-1-1024x657.jpeg 1024w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/08\/tpm-1-300x192.jpeg 300w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/08\/tpm-1-768x493.jpeg 768w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/08\/tpm-1-1536x985.jpeg 1536w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/08\/tpm-1.jpeg 1818w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Der Hash, hinter dem Zahlenfolgen zu finden sind, wird unterst\u00fctzt &#8211; in diesem Fall &#8222;<strong>sha256<\/strong>&#8220; &#8211; diesen nutzen wir anschlie\u00dfend.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Jetzt speichern wir den Hash des Passwortes zur Entschl\u00fcsselung auf dem TPM-Chip, hier wird die root-Partition und der Hash angegeben &#8211; in meinem Beispiel also:<\/p>\n\n\n\n<pre class=\"wp-block-code has-tertiary-background-color has-background\"><code>clevis luks bind -d \/dev\/nvme0n1p3 tpm2 '{\"pcr_bank\":\"sha256\",\"pcr_ids\":\"0,1,7\"}'<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Nach der Best\u00e4tigung mit <kbd>Eingabe<\/kbd>, m\u00fcssen Sie das Luks-Passwort zur Entschl\u00fcsselung des Systems eingeben. Zuletzt wird die neue Einstellung in das Initramfs gespeichert:<\/p>\n\n\n\n<pre class=\"wp-block-code has-tertiary-background-color has-background\"><code>update-initramfs -u -k 'all'<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Jetzt k\u00f6nnen Sie das System neu starten &#8211; haben Sie die root-Partition richtig angegeben, wird die Eingabe des Passwortes zwar ein bis zwei Sekunden aufleuchten (<em>TPM-Chips sind nicht die schnellsten<\/em>), aber automatisch eingegeben und das System gestartet.<\/p>\n<div class=\"pld-like-dislike-wrap pld-custom\">\r\n    <div class=\"pld-like-wrap  pld-common-wrap\">\r\n    <a href=\"javascript:void(0)\" class=\"pld-like-trigger pld-like-dislike-trigger  \" title=\"Gef\u00e4llt mir\" data-post-id=\"136\" data-trigger-type=\"like\" data-restriction=\"cookie\" data-already-liked=\"0\">\r\n                            <img src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/12\/Daumen-Hoch.png\" alt=\"Gef\u00e4llt mir\" \/>\r\n            <\/a>\r\n    <span class=\"pld-like-count-wrap pld-count-wrap\">1    <\/span>\r\n<\/div><div class=\"pld-dislike-wrap  pld-common-wrap\">\r\n    <a href=\"javascript:void(0)\" class=\"pld-dislike-trigger pld-like-dislike-trigger  \" title=\"Gef\u00e4llt mir nicht\" data-post-id=\"136\" data-trigger-type=\"dislike\" data-restriction=\"cookie\" data-already-liked=\"0\">\r\n                            <img src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/12\/Daumen-Runter.png\" alt=\"Gef\u00e4llt mir nicht\" \/>\r\n            <\/a>\r\n    <span class=\"pld-dislike-count-wrap pld-count-wrap\">1<\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"<p>Will man seine Daten auf einem Linux-Laptop sicher vor allen Blicken haben, auch wenn dieser gestohlen wird &#8211; dann verschl\u00fcsselt man seine Daten. Am besten wird nat\u00fcrlich das komplette System verschl\u00fcsselt. Die Verschl\u00fcsselung bietet folgenden Schutz &#8211; wenn der Rechner mit einem Live-System gestartet wird, bekommt man \u00fcber dieses keinen Zugriff, wenn man das Luks-Passwort [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":137,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[17],"tags":[5,15],"class_list":["post-136","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-system","tag-linux","tag-system"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/136","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=136"}],"version-history":[{"count":2,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/136\/revisions"}],"predecessor-version":[{"id":141,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/136\/revisions\/141"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media\/137"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=136"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=136"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=136"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}