LabEx
AnmeldenKostenlos beitreten

Wie man prüft, ob die Datenträgerverschlüsselung in Linux aktiviert ist

LinuxLinuxBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, wie Sie überprüfen können, ob die Datenträgerverschlüsselung auf einem Linux-System aktiviert ist. Das Verständnis des Verschlüsselungsstatus Ihrer Datenträger ist eine grundlegende Fähigkeit für die Systemadministration und Sicherheit.

Wir werden drei Schlüsselmethoden untersuchen, um dies zu erreichen: die Verwendung des Befehls lsblk -f, um verschlüsselte Geräte zu identifizieren, die Prüfung der Datei /etc/crypttab, um die konfigurierten verschlüsselten Volumes zu überprüfen, und die Nutzung des Befehls cryptsetup status für detaillierte Informationen über aktive verschlüsselte Geräte. Am Ende dieses Labs können Sie den Verschlüsselungsstatus der Datenträger auf einem Linux-Rechner sicher bestimmen.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/BasicFileOperationsGroup(["Basic File Operations"]) linux/BasicFileOperationsGroup -.-> linux/ls("Content Listing") linux/BasicFileOperationsGroup -.-> linux/cat("File Concatenating") subgraph Lab Skills linux/ls -.-> lab-558786{{"Wie man prüft, ob die Datenträgerverschlüsselung in Linux aktiviert ist"}} linux/cat -.-> lab-558786{{"Wie man prüft, ob die Datenträgerverschlüsselung in Linux aktiviert ist"}} end

Prüfen von verschlüsselten Geräten mit lsblk -f

In diesem Schritt werden wir beginnen, verschlüsselte Geräte auf einem Linux-System zu untersuchen. Das Verständnis, wie man verschlüsselte Partitionen identifiziert, ist für die Systemadministration und Sicherheit von entscheidender Bedeutung.

Wir werden den Befehl lsblk mit der Option -f verwenden. Der Befehl lsblk listet Blockgeräte (wie Festplatten und Partitionen) auf. Die Option -f fügt Informationen über das Dateisystem und, was für uns wichtig ist, die Verschlüsselung hinzu.

Öffnen Sie Ihr Terminal, wenn es noch nicht geöffnet ist. Sie können das Symbol für das Xfce Terminal auf der linken Seite Ihres Desktops finden.

Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

lsblk -f

Sie werden eine Ausgabe ähnlich der folgenden sehen:

NAME    FSTYPE      FSVER LABEL UUID                                 FSAVAIL FSUSE% MOUNTPOINTS
loop0   squashfs    4.0                                                     0   100% /snap/bare/5
loop1   squashfs    4.0                                                     0   100% /snap/core20/2182
loop2   squashfs    4.0                                                     0   100% /snap/core22/1122
loop3   squashfs    4.0                                                     0   100% /snap/firefox/437
loop4   squashfs    4.0                                                     0   100% /snap/gnome-3-38-2004/140
loop5   squashfs    4.0                                                     0   100% /snap/gtk-common-themes/1535
loop6   squashfs    4.0                                                     0   100% /snap/htop/3620
loop7   squashfs    4.0                                                     0   100% /snap/snapd/20671
loop8   squashfs    4.0                                                     0   100% /snap/snapd-desktop-integration/83
sda
├─sda1  vfat        FAT32       <UUID>                                505.4M     0% /boot/efi
├─sda2  ext4        1.0         <UUID>                                  1.4G    68% /boot
└─sda3  crypto_LUKS 2           <UUID>
  └─sda3_crypt
    ext4        1.0         <UUID>                                 16.4G    11% /

Suchen Sie in der Spalte FSTYPE. Wenn Sie für eine Partition (wie sda3 im obigen Beispiel) crypto_LUKS aufgeführt sehen, bedeutet dies, dass diese Partition mit LUKS (Linux Unified Key Setup) verschlüsselt ist.

Die Zeile unter dem crypto_LUKS-Eintrag (z. B. └─sda3_crypt) zeigt den Namen des entschlüsselten Geräts an, das erstellt wird, wenn die Partition entsperrt wird. Dieses entschlüsselte Gerät wird dann typischerweise mit einem Standard-Dateisystem wie ext4 formatiert und eingebunden (z. B. unter /).

Das Identifizieren von Partitionen mit crypto_LUKS ist der erste Schritt zum Verständnis der Verschlüsselungseinrichtung auf einem Linux-System.

Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren.

Überprüfen von crypttab mit cat /etc/crypttab

In diesem Schritt werden wir die Datei /etc/crypttab untersuchen. Diese Datei wird vom System verwendet, um verschlüsselte Blockgeräte zu konfigurieren, die während des Systemstarts eingerichtet werden. Sie enthält Informationen über verschlüsselte Partitionen und wie sie entsperrt werden sollen.

Wir werden den Befehl cat verwenden, um den Inhalt der Datei /etc/crypttab anzuzeigen. Der Befehl cat ist ein einfaches Hilfsprogramm, das zum Verketteten Anzeigen von Dateiinhalten verwendet wird.

Geben Sie den folgenden Befehl in Ihrem Terminal ein und drücken Sie die Eingabetaste:

cat /etc/crypttab

Sie werden eine Ausgabe ähnlich der folgenden sehen:

sda3_crypt UUID=<UUID> none luks,discard

Lassen Sie uns das typische Format einer Zeile in /etc/crypttab analysieren:

  1. Zielname: Dies ist der Name des entschlüsselten Geräts, das erstellt wird (z. B. sda3_crypt). Dieser Name sollte mit dem Namen übereinstimmen, den Sie unter dem crypto_LUKS-Eintrag in der Ausgabe von lsblk -f im vorherigen Schritt gesehen haben.
  2. Quellgerät: Dies gibt die verschlüsselte Partition an. Sie wird häufig durch ihre UUID (UUID=<UUID>) zur Zuverlässigkeit identifiziert, kann aber auch ein Gerätepfad wie /dev/sda3 sein.
  3. Schlüsseldatei oder Passwort: Dies gibt an, wie das Gerät entsperrt werden soll. none bedeutet, dass das System während des Starts nach einem Passwort fragt. Andere Optionen umfassen die Angabe eines Pfads zu einer Schlüsseldatei.
  4. Optionen: Dieses Feld enthält durch Kommas getrennte Optionen, wie luks (Angabe, dass es sich um ein LUKS-Gerät handelt) und discard (Aktivierung der TRIM-Unterstützung für SSDs).

Das Untersuchen von /etc/crypttab hilft zu bestätigen, welche Partitionen für die Verschlüsselung beim Systemstart konfiguriert sind und wie sie entsperrt werden sollen.

Klicken Sie auf Weiter, um zum nächsten Schritt zu gelangen.

Prüfen der Verschlüsselung mit cryptsetup status

In diesem letzten Schritt werden wir den Befehl cryptsetup verwenden, um detaillierte Statusinformationen über ein aktives verschlüsseltes Gerät zu erhalten. Das cryptsetup-Hilfsprogramm ist ein Befehlszeilentool, das verwendet wird, um verschlüsselte Datenträgergeräte mit LUKS einzurichten und zu verwalten.

Wir werden die Option status gefolgt vom Namen des entschlüsselten Geräts verwenden. Aus der Ausgabe von lsblk -f in Schritt 1 haben wir den Namen des entschlüsselten Geräts als sda3_crypt identifiziert.

Geben Sie den folgenden Befehl in Ihrem Terminal ein und drücken Sie die Eingabetaste:

sudo cryptsetup status sda3_crypt

Sie werden eine detaillierte Ausgabe über das verschlüsselte Gerät sehen, ähnlich der folgenden:

/dev/mapper/sda3_crypt is active.
  type:    LUKS2
  cipher:  aes-xts-plain64
  keysize: 512 bits
  key location: keyring
  device:  /dev/sda3
  sector size: 512
  offset:  16384 sectors
  size:    <size in sectors> sectors
  mode:    read/write
  flags:   discards

Schauen wir uns einige wichtige Informationen aus der Ausgabe an:

  • type: LUKS2: Bestätigt, dass der Verschlüsselungstyp LUKS Version 2 ist.
  • cipher: aes-xts-plain64: Zeigt den verwendeten Verschlüsselungsalgorithmus und -modus an (AES im XTS-Modus).
  • keysize: 512 bits: Gibt die Größe des Verschlüsselungsschlüssels an.
  • device: /dev/sda3: Gibt die zugrunde liegende verschlüsselte Partition an.
  • flags: discards: Bestätigt, dass die Option discards (TRIM-Unterstützung) aktiviert ist, was mit dem übereinstimmt, was wir in /etc/crypttab gesehen haben.

Der Befehl cryptsetup status bietet einen umfassenden Überblick über die Verschlüsselungsparameter für ein aktives LUKS-Gerät, was sehr nützlich ist, um die Verschlüsselungseinrichtung zu überprüfen.

Sie haben nun erfolgreich lsblk, cat und cryptsetup verwendet, um verschlüsselte Partitionen auf einem Linux-System zu identifizieren und zu prüfen.

Klicken Sie auf Weiter, um das Lab abzuschließen.

Zusammenfassung

In diesem Lab haben wir gelernt, wie man prüft, ob die Datenträgerverschlüsselung in Linux aktiviert ist. Wir haben begonnen, indem wir den Befehl lsblk -f verwendet haben, um Blockgeräte aufzulisten und Partitionen mit dem FSTYPE crypto_LUKS zu identifizieren, was auf LUKS-Verschlüsselung hinweist. Dieser Befehl bietet einen schnellen Überblick über die Blockgeräte des Systems und ihren Verschlüsselungsstatus.

Anschließend hätten wir normalerweise die Datei /etc/crypttab überprüft, um zu sehen, welche Geräte für die Verschlüsselung beim Systemstart konfiguriert sind, und die Verschlüsselungsdetails eines bestimmten Geräts mit cryptsetup status untersucht. Diese Schritte, in Kombination mit lsblk -f, bieten eine umfassende Möglichkeit, festzustellen, ob und wie die Datenträgerverschlüsselung auf einem Linux-System implementiert ist.

Verwandt Linux Kurse
Schnellstart mit Linux

Schnellstart mit Linux

LinuxShell
Anfänger
Linux für Anfänger

Linux für Anfänger

LinuxShell
Fortgeschritten
Üben Sie Linux-Befehle

Üben Sie Linux-Befehle

LinuxShell
Anfänger