Automatische Datenver- und entschlüsselung mit Clevis und Tang

Geheimes weitergesagt

Die Verschlüsselung von Festplattenpartitionen bei der Installation eines Betriebssystems ist heute Standard. Beim Booten des Rechners ist dann eine entsprechende Passphrase zum Entsperren der Festplatte einzugeben. Der Open-Source-Tipp in diesem Monat schaut sich an, wie sich dieser Vorgang automatisieren und an eine Policy binden lässt.
Flash-Speicher wird zunehmend günstiger und hält ungebremst Einzug in Clients wie Server. In der Mai-Ausgabe widmet sich IT-Administrator deshalb dem ... (mehr)

Zur Verschlüsselung ganzer Festplatten kommt unter Linux meistens der Device-Mapper mit dem dm-crypt-Target [1] und der Erweiterung LUKS [2] zum Einsatz. Beide Komponenten können problemlos mit jeder Art von blockorientierten Geräten umgehen. Somit spielt es keine Rolle, ob das zu verschlüsselnde Gerät eine Festplatte, ein LVM-Volume oder ein USB-Stick ist. Das Linux Unified Key Setup (LUKS) verwendet zur Verschlüsselung der Daten üblicherweise einen 256 Bit starken AES-Schlüssel, der mit einer Passphrase geschützt ist. Bei Bedarf lassen sich mehrere dieser Passphrases in den LUKS-Metadaten hinterlegen, die den Zugriff auf den Schlüssel ermöglichen, mit dem sich die Daten wieder decodieren lassen.

Wieviele dieser Schlüssel tatsächlich für ein Gerät existieren, zeigt der Aufruf von »cryptsetup luksDump LUKS-Gerät« an. Neue Schlüssel fügt der Aufruf »cryptsetup luksAddKey LUKS-Gerät«

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022