Verschlüsselte Partitionen automatisch mit Device Mapper einbinden

/ Linux Security / By

Manchmal, z.B. bei verschlüsselten externen Backup Festplatten für Server, ist es notwendig diese automatisch beim booten einzubinden.

Die meisten Linux-Server machen das leider nicht automatisch, hier ist etwas Handarbeit erforderlich. Natürlich kann keine Automatisierung der Welt uns die Eingabe eines Passworts ersparen, aber das wollen wir ja auch gar nicht, dafür ist die Verschlüsselung schließlich da. Es ist auf jeden Fall hilfreich, wenn der Mount-Vorgang nicht immer per Hand durchgeführt werden muss. Zumal dieser bei voll verschlüsselten Laufwerken auch noch ein Paar Handgriffe mehr erfordert.

Hier eine kleine Schritt für Schritt Anleitung, für alle, die auf das Selbe Problem gestoßen sind.

Automatisches Einbinden verschlüsselter Laufwerke

Zunächst muss herausgefunden werden, zu welchen Device die verschlüsselte Partition gehört:

udiskctl status

Gibt eine Liste von Geräten aus, mit zugehörigen Device und Namen:

autoMountCryptDevice1

Daraus suchen wir uns dann das passende Gerät heraus, in diesem Fall ist es /dev/sdd (ST2000DM001-9YN164).

Den Modellnamen finden wir im Verzeichnis

/dev/disk/by-id/

wieder.

Dort finden sich auch die einzelnen Partitionen. Die Partitionen sind leicht an der Endung mit “-part” zu erkennen. Im konkreten Fall gibt es nur eine Partition auf dem Device, dass macht das Mounten recht einfach. Damit der “Device Mapper” die Partition auf einen für Menschen lesbaren Namen mappen kann, den wir später in der “/etc/fstab” hinzufügen können, müssen wir die Partition dem Mapper bekannt machen. Dies geschieht in der Datei “/etc/crypttab”.

Dort geben wir der Partition einen Namen, unter dem sie gemountet werden kann.

autoMountCryptDevice2

Ist das getan können wir den Namen “cr_mnt_backup” einfach in der “/etc/fstab” eintragen und die Partition, wie jede Andere auch, einfach einbinden.

DeviceMapper Fstab Eintrag
Device Mapper /etc/fstab Eintrag.

Der einzige Unterschied ist, dass wir zuvor das Passwort zum entschlüsseln eingeben müssen.

— Exkurs —

Falls mehrere Partitionen auf dem Gerät sind, will man vorher vermutlich sichergehen, dass man auch die Richtgie erwischt. Dazu können folgende Kommandos genutzt werden, um die Partitionen per Hand zu entsperren. Hier wird dann nicht die ID der Partition genutzt, sondern der device Name /dev/sxxn.

Entsperrt wird mit:

udisksctl unlock -b /dev/sdd1

Gesperrt wird die Partition mit:

udisksctl lock -b /dev/sdd1

 

Scroll to Top