Einführung
In diesem Lab lernen Sie, wie Sie überprüfen können, ob die Datenträgerverschlüsselung auf einem Linux-System aktiviert ist. Das Verständnis des Verschlüsselungsstatus Ihrer Datenträger ist eine grundlegende Fähigkeit für die Systemadministration und Sicherheit.
Wir werden drei Schlüsselmethoden untersuchen, um dies zu erreichen: die Verwendung des Befehls lsblk -f, um verschlüsselte Geräte zu identifizieren, die Prüfung der Datei /etc/crypttab, um die konfigurierten verschlüsselten Volumes zu überprüfen, und die Nutzung des Befehls cryptsetup status für detaillierte Informationen über aktive verschlüsselte Geräte. Am Ende dieses Labs können Sie den Verschlüsselungsstatus der Datenträger auf einem Linux-Rechner sicher bestimmen.
Prüfen von verschlüsselten Geräten mit lsblk -f
In diesem Schritt werden wir beginnen, verschlüsselte Geräte auf einem Linux-System zu untersuchen. Das Verständnis, wie man verschlüsselte Partitionen identifiziert, ist für die Systemadministration und Sicherheit von entscheidender Bedeutung.
Wir werden den Befehl lsblk mit der Option -f verwenden. Der Befehl lsblk listet Blockgeräte (wie Festplatten und Partitionen) auf. Die Option -f fügt Informationen über das Dateisystem und, was für uns wichtig ist, die Verschlüsselung hinzu.
Öffnen Sie Ihr Terminal, wenn es noch nicht geöffnet ist. Sie können das Symbol für das Xfce Terminal auf der linken Seite Ihres Desktops finden.
Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:
lsblk -f
Sie werden eine Ausgabe ähnlich der folgenden sehen:
NAME FSTYPE FSVER LABEL UUID FSAVAIL FSUSE% MOUNTPOINTS
loop0 squashfs 4.0 0 100% /snap/bare/5
loop1 squashfs 4.0 0 100% /snap/core20/2182
loop2 squashfs 4.0 0 100% /snap/core22/1122
loop3 squashfs 4.0 0 100% /snap/firefox/437
loop4 squashfs 4.0 0 100% /snap/gnome-3-38-2004/140
loop5 squashfs 4.0 0 100% /snap/gtk-common-themes/1535
loop6 squashfs 4.0 0 100% /snap/htop/3620
loop7 squashfs 4.0 0 100% /snap/snapd/20671
loop8 squashfs 4.0 0 100% /snap/snapd-desktop-integration/83
sda
├─sda1 vfat FAT32 <UUID> 505.4M 0% /boot/efi
├─sda2 ext4 1.0 <UUID> 1.4G 68% /boot
└─sda3 crypto_LUKS 2 <UUID>
└─sda3_crypt
ext4 1.0 <UUID> 16.4G 11% /
Suchen Sie in der Spalte FSTYPE. Wenn Sie für eine Partition (wie sda3 im obigen Beispiel) crypto_LUKS aufgeführt sehen, bedeutet dies, dass diese Partition mit LUKS (Linux Unified Key Setup) verschlüsselt ist.
Die Zeile unter dem crypto_LUKS-Eintrag (z. B. └─sda3_crypt) zeigt den Namen des entschlüsselten Geräts an, das erstellt wird, wenn die Partition entsperrt wird. Dieses entschlüsselte Gerät wird dann typischerweise mit einem Standard-Dateisystem wie ext4 formatiert und eingebunden (z. B. unter /).
Das Identifizieren von Partitionen mit crypto_LUKS ist der erste Schritt zum Verständnis der Verschlüsselungseinrichtung auf einem Linux-System.
Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren.
Überprüfen Sie die crypttab mit cat /etc/crypttab
In diesem Schritt werden wir die Datei /etc/crypttab untersuchen. Diese Datei wird vom System verwendet, um verschlüsselte Blockgeräte zu konfigurieren, die während des Systemstarts eingerichtet werden. Sie enthält Informationen über verschlüsselte Partitionen und wie sie entsperrt werden sollen.
Wir werden den Befehl cat verwenden, um den Inhalt der Datei /etc/crypttab anzuzeigen. Der Befehl cat ist ein einfaches Hilfsprogramm, das zum Verketteten Anzeigen von Dateiinhalten verwendet wird.
Geben Sie den folgenden Befehl in Ihrem Terminal ein und drücken Sie die Eingabetaste:
cat /etc/crypttab
Sie werden eine Ausgabe ähnlich der folgenden sehen:
sda3_crypt UUID=<UUID> none luks,discard
Lassen Sie uns das typische Format einer Zeile in /etc/crypttab analysieren:
- Zielname: Dies ist der Name des entschlüsselten Geräts, das erstellt wird (z. B.
sda3_crypt). Dieser Name sollte mit dem Namen übereinstimmen, den Sie unter demcrypto_LUKS-Eintrag in der Ausgabe vonlsblk -fim vorherigen Schritt gesehen haben. - Quellgerät: Dies gibt die verschlüsselte Partition an. Sie wird häufig durch ihre UUID (
UUID=<UUID>) zur Zuverlässigkeit identifiziert, kann aber auch ein Gerätepfad wie/dev/sda3sein. - Schlüsseldatei oder Passwort: Dies gibt an, wie das Gerät entsperrt werden soll.
nonebedeutet, dass das System während des Starts nach einem Passwort fragt. Andere Optionen umfassen die Angabe eines Pfads zu einer Schlüsseldatei. - Optionen: Dieses Feld enthält durch Kommas getrennte Optionen, wie
luks(Angabe, dass es sich um ein LUKS-Gerät handelt) unddiscard(Aktivierung der TRIM-Unterstützung für SSDs).
Das Untersuchen von /etc/crypttab hilft zu bestätigen, welche Partitionen für die Verschlüsselung beim Systemstart konfiguriert sind und wie sie entsperrt werden sollen.
Klicken Sie auf Weiter, um zum nächsten Schritt zu gelangen.
Prüfen der Verschlüsselung mit cryptsetup status
In diesem letzten Schritt werden wir den Befehl cryptsetup verwenden, um detaillierte Statusinformationen über ein aktives verschlüsseltes Gerät zu erhalten. Das cryptsetup-Hilfsprogramm ist ein Befehlszeilentool, das verwendet wird, um verschlüsselte Datenträgergeräte mit LUKS einzurichten und zu verwalten.
Wir werden die Option status gefolgt vom Namen des entschlüsselten Geräts verwenden. Aus der Ausgabe von lsblk -f in Schritt 1 haben wir den Namen des entschlüsselten Geräts als sda3_crypt identifiziert.
Geben Sie den folgenden Befehl in Ihrem Terminal ein und drücken Sie die Eingabetaste:
sudo cryptsetup status sda3_crypt
Sie werden eine detaillierte Ausgabe über das verschlüsselte Gerät sehen, ähnlich der folgenden:
/dev/mapper/sda3_crypt is active.
type: LUKS2
cipher: aes-xts-plain64
keysize: 512 bits
key location: keyring
device: /dev/sda3
sector size: 512
offset: 16384 sectors
size: <size in sectors> sectors
mode: read/write
flags: discards
Schauen wir uns einige wichtige Informationen aus der Ausgabe an:
type: LUKS2: Bestätigt, dass der Verschlüsselungstyp LUKS Version 2 ist.cipher: aes-xts-plain64: Zeigt den verwendeten Verschlüsselungsalgorithmus und -modus an (AES im XTS-Modus).keysize: 512 bits: Gibt die Größe des Verschlüsselungsschlüssels an.device: /dev/sda3: Gibt die zugrunde liegende verschlüsselte Partition an.flags: discards: Bestätigt, dass die Optiondiscards(TRIM-Unterstützung) aktiviert ist, was mit dem übereinstimmt, was wir in/etc/crypttabgesehen haben.
Der Befehl cryptsetup status bietet einen umfassenden Überblick über die Verschlüsselungsparameter für ein aktives LUKS-Gerät, was sehr nützlich ist, um die Verschlüsselungseinrichtung zu überprüfen.
Sie haben nun erfolgreich lsblk, cat und cryptsetup verwendet, um verschlüsselte Partitionen auf einem Linux-System zu identifizieren und zu prüfen.
Klicken Sie auf Weiter, um das Lab abzuschließen.
Zusammenfassung
In diesem Lab haben wir gelernt, wie man prüft, ob die Datenträgerverschlüsselung in Linux aktiviert ist. Wir haben begonnen, indem wir den Befehl lsblk -f verwendet haben, um Blockgeräte aufzulisten und Partitionen mit dem FSTYPE crypto_LUKS zu identifizieren, was auf LUKS-Verschlüsselung hinweist. Dieser Befehl bietet einen schnellen Überblick über die Blockgeräte des Systems und ihren Verschlüsselungsstatus.
Anschließend hätten wir normalerweise die Datei /etc/crypttab überprüft, um zu sehen, welche Geräte für die Verschlüsselung beim Systemstart konfiguriert sind, und die Verschlüsselungsdetails eines bestimmten Geräts mit cryptsetup status untersucht. Diese Schritte, in Kombination mit lsblk -f, bieten eine umfassende Möglichkeit, festzustellen, ob und wie die Datenträgerverschlüsselung auf einem Linux-System implementiert ist.
