Inleiding

In dit artikel wordt (summier) beschreven hoe u een installatie van Ubuntu kunt uitvoeren met een versleutelde partitie voor de swap, /var, /tmp en home partities.

Waarom?

Waarom de swap, /var, /tmp en home versleutelen? Wanneer uw computer in handen van mensen komt die niks met uw persoonlijke gegevens te maken hebben (bijvoorbeeld bij diefstal), dan bent u er op deze manier vrij zeker van dat uw persoonlijke data niet gelezen kunnen worden.

Voor wie?

Voor iedereen die het zinvol vind om data zeer sterk te beveiligen. Denk hierbij aan gevoelige data van ministers, officiers van justitie, bedrijfsgeheimen etc. Verder is deze wiki niet geschikt voor beginners.

Methode

Er is gekozen voor een dm-crypt volume waarop met behulp van LVM (logisch volume management) weer een swap, /var en /tmp logische volumes gemaakt worden. Het is ook mogelijk de gehele schijf te encrypten, maar dan is het lastig om je systeem te herstellen met bijvoorbeeld een live cd, omdat je dan eerst het volume op moet decrypten bij het mounten. Met de gekozen methode kan je alle configuratiebestanden e.d. nog eenvoudig bereiken. Voor de versleuteling van de home wordt gebruik gemaakt van de standaard mogelijkheid van Ubuntu die gebruik maakt van ecryptfs. Het voordeel van een ecryptfs versleutelde home is dat het heel eenvoudig is om versleutelde backups van documenten te maken.

Nadelen:

Je moet bij het opstarten twee maal een wachtwoord ingeven. Eén keer om het geëncrypte volume te ontsleutelen, en één keer om in te loggen. Verder is het niet mogelijk om de slaapstand te gebruiken. Aangezien de swap versleuteld is denk ik dat dit niet meer zal werken. Een ander nadeel is dat het herstellen van een beschadigd systeem lastiger kan zijn omdat je met versleutelde /tmp, /var en home te maken hebt. De oplossing daarvoor is met enige regelmaat backups maken, wat trouwens zowieso verstandig is omdat ook een harde schijf onherstelbaar kan crashen.

Nodig:

Er is gebruik gemaakt van de ubuntu mini iso die hier te vinden is: https://help.ubuntu.com/community/Installation/MinimalCD

Je hebt een werkende internetverbinding nodig.

Stappen

• Brand de mini iso op cd en stop de installatie cd in de computer
• Loop de normale stappen door tot aan de partitionering, kies daar voor handmatig
• Maak een versleuteld volume aan
• Maak een normaal volume aan voor de root
• Maak op het versleutelde volume een lvm volume aan
• Maak de verschillende logische partities op het versleutelde lvm volume
• Ga verder met de normale installatie
• Herstart
• Verwijder de onnodig dubbele encryptie van de swap die de Ubuntu installer automatisch maakt.

Screenshots

Alle stappen zijn scherm voor scherm te volgen met de screenshots in het volgende bestand: screenshots.tar.gz

Verwijderen dubbele encryptie swap

De Ubuntu installer maakt onnodig dubbele encryptie aan. De beschreven methode maakt een lvm bovenop een versleuteld volume aan, en in de volumegroep een swap partitie. De Ubuntu installer gaat er van uit dat een swap partitie op een lvm nog onversleuteld is, en versleuteld deze dus automatisch nog een keer. Vandaar de dubbele encryptie.

De oplossing is vrij eenvoudig, een aanpassing van /etc/fstab, /etc/crypttab en het al versleutelde logische swap volume initieren voor swap:

/etc/crypttab

sda1_crypt UUID=15da3f11-015a-4ca4-aa9c-64abf6e3be7a none luks
cryptswap1 /dev/mapper/volumegroup-swap /dev/urandom swap,cipher=aes-cbc-essiv:sha256

(waar volumegroup de naam is die bij de installatie aan de volumegroup is gegeven, en swap de naam is die aan het swap logische volume is gegeven tijdens de installatie)

verander dit in:

sda1_crypt UUID=15da3f11-015a-4ca4-aa9c-64abf6e3be7a none luks
#cryptswap1 /dev/mapper/volumegroup-swap /dev/urandom swap,cipher=aes-cbc-essiv:sha256

(Dus alleen het basale encrypted volume mappen, en niet ook nog eens een encrypted swap volume mappen bovenop het logische volume dat weer bovenop het eerste encrypted volume staat. Dit laatste geeft trouwens ook een foutmelding bij het inloggen.)

/etc/fstab

# /etc/fstab: static file system information.
#
# Use 'blkid -o value -s UUID' to print the universally unique identifier
# for a device; this may be used with UUID= as a more robust way to name
# devices that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    nodev,noexec,nosuid 0       0
# / was on /dev/sda2 during installation
UUID=5409bde7-1eb6-439f-a3b1-4f9b031ae603 /               ext4    errors=remount-ro 0       1
/dev/mapper/volumegroup-tmp /tmp            ext4    defaults        0       2
/dev/mapper/volumegroup-var /var            ext4    defaults        0       2
#/dev/mapper/volumegroup-swap none            swap    sw              0       0
/dev/mapper/cryptswap1 none swap sw 0 0

verander dit in:

# /etc/fstab: static file system information.
#
# Use 'blkid -o value -s UUID' to print the universally unique identifier
# for a device; this may be used with UUID= as a more robust way to name
# devices that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    nodev,noexec,nosuid 0       0
# / was on /dev/sda2 during installation
UUID=5409bde7-1eb6-439f-a3b1-4f9b031ae603 /               ext4    errors=remount-ro 0       1
/dev/mapper/volumegroup-tmp /tmp            ext4    defaults        0       2
/dev/mapper/volumegroup-var /var            ext4    defaults        0       2
/dev/mapper/volumegroup-swap none            swap    sw              0       0
#/dev/mapper/cryptswap1 none swap sw 0 0

(Zorg ervoor dat de volumegroup-swap als swap gemount wordt, en niet een versleuteld volume dat weer bovenop deze volumegroep is gezet.)

vervolgens in een terminal:

sudo swapoff -a
sudo mkswap /dev/mapper/volumegroup-swap
sudo mount -a

Er is dan geen dubbele encryptie meer, en ook de foutmelding na het ingeven van de sleutel bij het inloggen verdwijnt.