Datei verschlüsseln mit LUKS/dmcrypt

vorhergehende Artikel in: Linux Security
10.10.2021

Ich habe hier bereits öfter über die Einrichtung und Konfiguration von PKI bzw. CS gesprochen. Beides benötigt für die sensiblen Daten nicht wirklich viel Platz - allerdings wäre es schön, wenn diese Daten besonders geschützt wären...

Aus diesem Grund wollte ich nicht gleich eine ganze Festplatte / USB-stick dafür benutzen - ich suchte daher nach Lösungen, diese Verschlüsselung auch auf Loopback-Dateien anwenden zu können. Die diversen Links, die ich mir dazu durchgelesen habe habe ich unten angehängt. Nichts davon hat mich so richtig befriedigt - ich wusste nach diesem Studium nur, dass es funktionieren kann und andere vor mir es bereits geschafft hatten.

Dann fand ich aber diesen Gist hier. Der machte fast alles, was ich wollte - ich musste nur folgende Kleinigkeiten ausbürsten:

  • Im Original ist ein Loopback-Device fest eingegeben - ich arbeite aber mit Ubuntu und mit snapd ist nicht im Voraus klar, welches Loop-Device frei ist
  • Im Original konnte ich nur als Root in das gemountete File schreiben - die Ursache war, dass der Mountpoint immer in roots Homeverzeichnis angelegt wurde weil in Ubuntu die Variable`%USER in einem per sudo ausgeführten Skript immer auf root auflöst

Diese beiden (aus meiner Sicht) Unschönheiten konnte ich durch einige kleinere Änderungen am Skript ausmerzen und stelle es hiermit zur Verfügung (man kann die Variablen am Start des Skripts eigenen Wünschen und Bedürfnissen anpassen):

#!/bin/bash
#https://gist.githubusercontent.com/dbehnke/ad19ca8f1ccf80aebca5/raw/716672ae3a9ccf9c3181a898e3014880d19d68b2/luksloopback.sh
loopdevice=$(losetup -f)
#https://stackoverflow.com/questions/7358611/get-users-home-directory-when-they-run-a-script-as-root
loopfile=$(getent passwd "$SUDO_USER" | cut -d: -f6)/work/expect-dialog-ca.git.loop

#megabytes loopsize=256

#/dev/mapper/xxxxx when open cryptmapper=expect-dialog-ca.git

makefilesystem=ext4

#mountpoint of uncrypted device #https://stackoverflow.com/questions/7358611/get-users-home-directory-when-they-run-a-script-as-root mountpoint=$(getent passwd "$SUDO_USER" | cut -d: -f6)/work/expect-dialog-ca.git.mount

#creates a new file create() { echo creating a file with size ${loopsize}M with random bits.. this could take a while.. dd if=/dev/urandom of="$loopfile" bs=1M count="$loopsize" losetup "$loopdevice" "$loopfile" cryptsetup luksFormat -y "$loopdevice" cryptsetup open "$loopdevice" "$cryptmapper" sudo mkfs."$makefilesystem" "/dev/mapper/$cryptmapper" cryptsetup close "$cryptmapper" losetup -d "$loopdevice" losetup -a }

#mounts crypted loopback file open() { losetup "$loopdevice" "$loopfile" cryptsetup open "$loopdevice" "$cryptmapper" mount "/dev/mapper/$cryptmapper" "$mountpoint" }

#unmounts previously mounted loopback file close() { umount "$mountpoint" cryptsetup close "$cryptmapper" losetup -d $(losetup -a |grep "$loopfile"|cut -d ':' -f 1) }

if [[ $EUID -ne 0 ]]; then echo "This script must be run as root" 1>&2 exit 1 fi

echo loopdevice "$loopdevice" echo loopfile "$loopfile" echo loopsize "$loopsize" echo cryptmapper "$cryptmapper" echo filesystem "$makefilesystem" echo mountpoint "$mountpoint" echo command "$1"

$1

Artikel, die hierher verlinken

Verschlüsselung (relationaler) Datenbanken

26.08.2023

Angeregt durch eine Diskussion neulich habe ich ein wenig genauer über die Verschlüsselung von Datenbanken nachgedacht.

Alle Artikel rss Wochenübersicht Monatsübersicht Codeberg Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Synchronisierung von Lorenz-Systemen III

    23.10.2020

    Nachdem ich in einem vorhergehenden Artikel auf das Problem des kleinen Parameterraums im Zusammenhang mit der Nutzung synchronisierter chaotischer Systeme hingewiesen hatte will ixch hier untersuchen, wie sensibel solche Systeme auf Abweichungen der Parameterwerte zwischen treibendem und getriebenen System reagieren

    Weiterlesen

Neueste Artikel

  • Plugin zur Arbeit mit Markdown für NeoVim

    Ich habe neulich beschrieben, dass ich aktuell mehr und mehr bemerke, dass Dinge, für die ich in meinem NeoVim-Setup Plugins benutzt habe sehr gut auch mit Bordmitteln funktionieren.

    Weiterlesen
  • Raspbian Upgrade von 11 (Bullseye) nach 12 (Bookworm)

    Ich habe neulich wieder einmal eine Upgrade- und Backup-Sitzung mit meinen diversen Linuxinstallationen veranstaltet. Der Zeitpunkt schien mir gekommen, da es eine neue stable Variante von Debian (Trixie) gibt.

    Weiterlesen
  • Meine praktischen Erfahrungen mit ollama (llava)

    Ich diskutiere immer wieder gern über das was heute Machine Intelligence oder Artificial Intelligence ( oder wie die ganzen anderen hohlen Phrasen heißen, die dafür heutzutage als Buzzwords missbraucht werden). Das geschieht online, in meinem $dayjob oder auch privat. Meine Meinung steht fest: das ist alles Quatsch und steht in keiner Relation zum Nutzen

    Weiterlesen

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen Codeberg-Repositories findet man hier.