Ich ordne grade meinen Datenhaufen neu. Und da ich nun genug Rechenpower besitze, wird da natürlich verschlüsselt, was das Zeug hält.
Ich verwende dm-crypt mit LUKS unter Gentoo.
Dazu brauch man das Crypt-Target im Kernel und einige Verschlüsselungsalgorithmen. Weiterhin ist noch sys-fs/cryptsetup-luks notwendig.
Danach kann man mit dem Verschlüsseln loslegen.
cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/sda4
Dabei muss man dann ein Passwort angeben. Ich hab mir da ein 32 Zeichen langes gesucht, was ich mir nicht merke, sondern auf einen Zettel schreibe und an einen bestimmten Ort schaffe.
Da man bis zu 8 Passwörter angeben kann, werd ich neben einem weiteren Passwort mal den Trick mit dem Keyfile auf dem USB-Stick versuchen.
Dazu brauch man einen USB-Stick...
Zum automatischen Mounten musste ich udev confen und ivman installieren. Die fstab nicht vergessen.
head -c1024 /dev/random | gpg > /media/usbstick/key.sda4
Damit erstellt man ein Keyfile aus Zufallsdaten. Der Befehl kann ne Weile dauern, da anstatt urandom das bessere random verwendet wurde. Das brauch aber eine Menge Entropie, die man Mausschubbsen, Dateien kopieren und auf der Tastatur klimpern einfach erzeugen kann. Mit GPG verschlüsselt wird der Key dann auf den Stick gelegt.
[Update]
Das mit dem Stick will nicht. Habs erstmal ohne gemacht. Zwei Passwörter sollten reichen. Eins zum Arbeiten, was man ab und zu ändert und ein backup-Passwort auf nem Zettel.
cryptsetup luksOpen /dev/sda4 tor1
Das öffnet nach Eingabe eines LUKS-Keys die Partition und hängt sie in /dev/mapper/tor1 ein. Dann kann man sie formatieren und mounten.
[Update 2]
Zum automatischen Mounten beim Booten muss man in die /etc/conf.d/cryptfs noch folgende zwei Zeilen hinzufügen:
target=tor1
source='/dev/sda4'
Quellen:
http://de.gentoo-wiki.com/DM-Crypt
