Seit dem Release des neuen Ubuntu gab es häufig die Frage, wie man »upgraded«, wenn man vorher Ubuntu Dapper Drake (6.06 oder 6.06.1) mit einer verschlüsselten Home-Partition hat. Diese Anleitung und das daraus resultiernde verschlüsselte System setze ich als gegeben voraus. Ansonsten hat dieses HowTo keinen Wert, da es nur die Migration erläutert nicht aber die Erstellung eines verschlüsselten Datenbereiches!

Bevor ihr anfangt das neue System aufzusetzen solltet ihr euch entscheiden welches Desktop Enviroment ihr nutzen möchtet. Im Angebot stehen drei verschiedene Oberflächen. Zum ersten Gnome (Ubuntu), zum zweiten KDE (Kubuntu) und zu guter letzt Xubuntu (Xfce). Ich bevorzuge persönliche KDE. Aber das muss jeder für sich entscheiden. Am besten vorher mal eine Live-CD mit KDE (Knoppix) probieren oder die Ubuntu-Live-CDs mit den verschiedenen Oberflächen. Jedoch beeinflusst die Wahl des Desktop Enviroments nicht den Einfluss auf die Migration der Partition.

Auch hier gilt: Ihr müsst wissen was ihr tut! Ich garantiere nicht das jeder damit glücklich wird, da Computer komplexe Systeme sind und keiner gleicht dem anderen!

Die Anleitung beginnt bei der Partitionierung der Festplatten, während der Installation im Text-Modus, da ich persönlich Installationen über eine grafische Oberfläche nicht mag. Ihr müsst euch für die manuelle Partitionierung entscheiden um selbstständig die Festplatte einzuteilen. Wichtig ist, dass ihr wisst, welche Partition eure »Home-Partition« ist. Meist ist es die mit dem meisten Speicherplatz und die letzte. Bei mir ist es sda4. Das kommt daher das ich vier Partitionen (noch) habe. Das ist die Root-Partition (sda1), Swap (sda2), die Tmp-Partition (sda3) und eben die Home-Partition (sda4). Zuerst löschen wir die ersten drei Partitionen (Root, Swap und Tmp). In dem freigewordenen Speicher erstellen wir zwei neue Partitionen mit folgenden Eigenschaften:

1. Die Root-Partition mit 5-10GB
Dateisystem soll ext3 sein und eingehängt (mountpoint) ist: /

2. Der Auslagerungsspeicher (Swap) mit 512MB
Hierbei muss lediglich bei »Use as (Benutzen als)« Swap gewählt werden

3. Die bestehende Home-Partition darf nicht eingehängt werden und bekommt daher keinen “mountpoint” zugewiesen!

Eine Partition für Temporäre Dateien wird von mir nicht benutzt, da ich diese Dateien direkt in den Arbeitsspeicher schreibe. Auch haben mehrere Erfahrungen gezeigt, dass cryptsetup Probleme mit den Standardeinstellungen wie sie in Dapper Drake waren hat und nicht funktionierens dieser Partition führen.

Nach der Installation sollten wir direkt mit der Migration der Home-Partition beginnen und nicht erst E-Mails abfragen oder ähnliche Sachen tun. Es sollte die Konsole aufgerufen werden und das System ersteinmal auf den aktuellen Stand gebracht werden.

sudo apt-get update

sudo apt-get upgrade

Nach Fertigstellung des Updatevorgangs müssen wir das Paket cryptsetup installieren. Das tun wir mit

sudo apt-get install cryptsetup

Nun muss dem Rechner gesagt werden, das er beim Start die Module aes, sha256 und dm_crypt geladen werden sollen. Das tun wir mit dem Befehl modprobe.

sudo modprobe dm_crypt

sudo modprobe aes

sudo modprobe sha256

Wenn wir nun lsmod tippen müssten die drei Einträge zu finden sein. Schneller geht es meist mit

lsmod|grep dm_crypt

lsmod|grep aes

lsmod|grep sha256

Es müsste jeder Eintrag gefunden werden. Ansonsten ist das Modul wo möglich nicht geladen.

Nun können wir die “alte Home-Partition” mounten und die aktuellen Userdaten reinkopieren.

sudo mkdir /mnt/home

sudo cryptsetup luksOpen /dev/sda3 home (Hier müsste nun die Passwortabfrage kommen)

sudo mount /dev/mapper/home /mnt/home

Nun gibt es zwei Fälle zu unterscheiden. Heißt der User wie im alten System ist es ratsam auf der “alten Home-Partition” diesen zu ändern, da wir gleich das aktuelle Homeverzeichnis auf die Partition kopieren werden. So würde der Befehl aussehen

sudo mv /mnt/home/"Username" /mnt/home/backup

Somit wird der alte Userordner in den den Ordner “backup” umbenannt. Und wir können jetzt zum eigentlichen verschieben des aktuellen Userverzeichnisses (/home/”Username”) kommen.

sudo cp -R /home/"Username" /mnt/home

Nun sollte sich in /mnt/home/ wieder ein Ordner mit eurem aktuellen Username befinden. Da ihr das Kopieren als “Root” ausgeführt habt gehört euch der Ordner in mnt/home nicht mehr. Das ändern wir mit

sudo chown -R "Username":"Usergroup" /mnt/home/"Username"

und

sudo chown -R "Username":"Usergroup" /mnt/home/backup

“Usergroup” ist identisch mit eurem Usernamen, es sollte lediglich den Sinn des Befehls zeigen. Nun gehören euch die beiden Ordner wieder und wir können die Partition ersteinmal schließen.

sudo umount /mnt/home

sudo cryptsetup luksClose home

Damit ist die Partition wieder geschlossen und gesichert. Nun müssen wir nur noch Sorge tragen, dass alles richtig beim Systemstart eingebunden wird. Zunächst öffnen wir die Datei /etc/crypttab in der steht, wie welche Partition zu handhaben ist. Dort müssen wir die Einträge für Swap-Partition und die Home-Partition machen. Es sollte wie folge aussehen

sudo nano /etc/crypttab (Öffnet einen Konsoleneditor mit der Datei)

swap /dev/sda2 /dev/urandom swap
home /dev/sda3 none luks,cipher=aes-cbc-essiv:sha256,check=true,retry=3

Mit STRG+O speichert man die Datei ab und mit STRG+X schließt man den Editor. Nun haben wir veranlasst, dass Swap beim Systemstart mit einer Zufallszahl (aus /dev/urandom) verschlüsselt wird und das die Home-Partition via Passworteingabe eingebunden werden soll. Mehr muss man nicht unbedingt wissen.
Darauf aufbauend muss die Datei /etc/fstab geändert werden und die Temporären Dateien in den Arbeitsspeicher zu schreiben sind. In der Datei stehen alle Laufwerke die beim Systemstart eingebunden werden sollen. Neu ist allerdings, dass Ubuntu jetzt auf die UUID-Nummern zurückgreift und nicht mehr auf »/dev/”device”«, jedoch steht das auskommentiert (mit einem #-Symbol davor) da und kann genauso genutzt werden. Lasst euch dadurch also nicht verwirren und nehmt die langen UUID-Nummern einfach raus und tragt eure Änderungen wie folgt ein, natürlich erst den Editor mit der Datei öffnen

sudo nano /etc/fstab

Man sollte dort folgende Zeile finden

#/dev/sda2
UUID=”1234-5678-ABCD” none swap sw 0 0

Diese ersetzt man mit

/dev/mapper/swap none swap sw 0 0

In die nächsten Zeilen kommt noch der Eintrag für die Home-Partition und die Tmp-Partition

none /tmp tmpfs defaults,size=128M 0 2

/dev/mapper/home /home ext3 defaults 0 0

Abschließend setzen wir einen Link in den Ordner /var/tmp, so dass die Dateien auch direkt in /tmp landen. Das machen wir wiefolgt

sudo rm -r /var/tmp

sudo ln -sf /tmp /var/tmp

Nach einem Neustart sollte, wenn man in der Konsole mount tippt folgende Einträge zu finden sein

/dev/mapper/home on /home type ext3
none on /tmp type tmpfs

Dann hat alles geklappt ansonsten musst du auf Fehlersuche gehen…

Louis Miller

Für Fragen & Anregungen bin ich immer offen und dankbar! Erreichbar unter Diese E-Mail-Adresse ist gegen Spam geschützt. Zur Anzeige muss Javascript aktiviert sein.

Dieses Dokument darf frei weiterverbreitet werden, so lange ein Link oder sonstiger Verweis auf die Originalquelle enthalten ist.