Cryptsetup: Platte verschlüsselt --> Fragen

G

greenhawk

Mitglied
Hallo,

Ich habe gerade eine verschlüsselte Partition auf meiner neuen Backup-Platte (extern, USB) angelegt.
Dazu habe ich folgendes Howto (nach verschluesselung.info/linux/usb benutzt. Das hat zwar alles erstmal hingehauen, aber es haben sich bei mir dennoch ein paar Fragen ergeben.
[...]
4.
Datenträger zum verschlüsselten Device formatieren (dabei bei der entsprechenden Sicherheitsabfrage in Grossbuchstaben YES eintippen):
cryptsetup luksFormat /dev/Gerätename_der_Partition

5.
Devicemapper öffnen:
cryptsetup luksOpen /dev/Gerätename_der_Partition crypt_extern

6.
Im eben geöffneten verschlüsselten Bereich ein Dateisystem anlegen:
mkfs.ext3 /dev/mapper/crypt_extern

7.
Das Dateisystem mounten:
mount /dev/mapper/crypt_extern /mnt

Bis hierhin eigentlich relativ klar. Nur warum ich jetzt nach /mnt mounten soll versteh ich nicht recht (wohl aus mangel an generellem Wissen über Linux). Theoretisch müsste es ja egal sein, wo ich das ganze mounte.
Externe Datenträger sind ja normalerweise in /media/[gerät] zu finden. Und dort will ich meinen Backupbereich auch zukünftig sehen.
8.
Rechte setzen:
chown 1000:1000 /mnt

Wer wird denn hier als Eigentümer aller Daten in /mnt gesetzt?

9.
Dateisystem aushängen:
umount /dev/mapper/crypt_extern

10.
Devicemapper schliessen:
cryptsetup luksClose crypt_extern

Ok, dann mal noch eine generelle Verständnisfrage: Sorgt der Device-Mapper einfach nur dafür, die logischen Partitionen im veschlüsselten Bereich zu verwalten (praktisch wie LVM)?

Danke erstmal.
 
Bis hierhin eigentlich relativ klar. Nur warum ich jetzt nach /mnt mounten soll versteh ich nicht recht (wohl aus mangel an generellem Wissen über Linux). Theoretisch müsste es ja egal sein, wo ich das ganze mounte.
Theoretisch hast du recht. Aber mnt / media ist halt Standard dafür. Und welches von beiden ist wohl auch Distributionsabhängig. Afair ist /media noch relativ jung, früher gabs nur /mnt.

Wer wird denn hier als Eigentümer aller Daten in /mnt gesetzt?
Der Benutzer und die Gruppe mit der ID 1000. Welche das genau sind, kann man zum Beispiel über
Code:
cat /etc/passwd
(user:x:userId:groupId:vollerName:homeVerzeichnis:standardShell)
und
Code:
cat /etc/group
(gruppenname:x:groupId:mitglieder)
erfahren.
Ich würde aber stattdessen eher die "richtigen" Namen angeben.
 
Zuletzt bearbeitet:
8.
Rechte setzen:
chown 1000:1000 /mnt

Halte ich (gerade in einem HowTo für) _absolut_ beknackt, da

- nicht nur potentiell falsch (es soll Distributionen geben, die per default ihre User nicht mit 1000ff anlegen, mal davon abgesehen, daß nicht immer der bevorzugte User zwingend 1000 sein muss)

- so oder so eine saudumme Idee eine gesamte Partition einzuhängen und dann gleich für einen eingeschränkten User komplett freizugeben

Das nimmt einem viel an Flexibilität und Sicherheit, ich würde nach dem Mounten entsprechende Unterordner mit den minimalen Rechten anlegen, die der jeweilige User, der diese Daten ablegen/nutzen soll/darf benötigt und nicht mehr.

Ich frage mich auch gerade, was passieren würde, wenn man diese Platte an einem anderen System einbindet, die den genannten User gar nicht hat, könnte lustig werden.
 
Also, dann habe ich mit chown hier den ersten User (mich selbst) als Eigentümer von /mnt festgelegt. Sollte ich das rückgängig machen?

[...] ich würde nach dem Mounten entsprechende Unterordner mit den minimalen Rechten anlegen, die der jeweilige User, der diese Daten ablegen/nutzen soll/darf benötigt und nicht mehr.

Also ich hatte mir das so gedacht, dass die Partition, dann einfach immer nach media/Backup gemountet werden soll, nach dem sie entschlüsselt wurde.
 
Ok, hab mir die Platte jetzt nochmal etwas anders aufgeteilt und verschlüsselt, sowie ein kleines Backup-Script geschrieben, damit ich nicht dauernd den ganzen Plunder eintippen muss.

Was ich jetzt nur nicht verstehe, bzw. was mir komisch erscheint, ist, dass ich das Device praktisch jedes Mal unter einem anderen Namen in den Device-Mapper einbinden kann:
Code:
cryptsetup luksOpen /dev/sdb1 [beliebiger Name]
Warum ist das so bzw. wozu soll das gut sein? Kann das irgendwie gerade schlecht einordnen/beurteilen.

Zum Schluss noch mal eine Frage, die mich bei der ganzen Konsolenschreiberei auch immer wieder beschäftigt hat: Gibt es für diesen ganzen Kram eigentlich auch ein nettes grafisches Tool, dass man als Debian-User nicht wie Truecrypt aus den Quellen bauen muss?
 
Was ich jetzt nur nicht verstehe, bzw. was mir komisch erscheint, ist, dass ich das Device praktisch jedes Mal unter einem anderen Namen in den Device-Mapper einbinden kann:

Was wundert Dich daran?

Du kannst ja auch z.B. eine Partition an (fast) jede beliebige Stelle im Dateibaum mounten.

Der Name für das gemappte Device ist eben ist frei wählbar.
 
dass man als Debian-User nicht wie Truecrypt aus den Quellen bauen muss?
Muss man als solcher nicht, sondern man kann die Ubuntu-Version benutzen. Die rennt hier mit Debian/stable zumindest in Version 6.1 wunderbar (Und lässt sich via tcbootscreen zum Teil auch schon beim Systemstart entschlüsseln.)
 
Zuletzt bearbeitet:

Ähnliche Themen

Festplatte auf SD Karte umziehen

Partition in luks + lvm mounten, wie ?

[Debian] TrueCrypt im ext3 Format

cryptsetup & Passworteingabe im Shell Script

[openSuse10.2] SATA mal wieder...

Zurück
Oben