Rapsberry Pi Samba

WtfUndso · 10. Mai 2024 um 11:21

Hallo,
an meinem Pi5 hängt eine Samba SSD die als NAS benutzt wird.
Ich würde diese SSD gerne verschlüsseln zum Schutz vor Hardware Diebstahl.
Wie gehe ich am besten vor? Ich würde äußert ungern die Daten löschen vor dem verschlüsseln (zb neu formatieren).
Vision: Pi booten, manuell die Samba SSD entschlüsseln. Bei jedem Reboot (oder SSD disconnect) muss neu entschlüsselt werden).
Danke euch

the · 10. Mai 2024 um 12:30

Wie ist denn die SSD aktuell formatiert? Bitlocker kann unter Windows Daten im laufenden Betrieb verschlüsseln und es ist unter Linux auch entschlüssel- und mountbar.

Ansonsten ist LUKS der Standard unter Linux für Festplattenverschlüsselung. Neuere Versionen haben hier auch eine Option erhalten, dass man ohne Formatieren die Daten verschlüsseln kann.

Ehrlich gesagt würde ich das aber unter Linux nicht riskieren wollen und ich würde zur Sicherheit der Daten eine 2. SSD vorbereiten mit LUKS und dann die bestehenden Dateien kopieren.

Backups sollte man immer machen, aber bei verschlüsselten Daten sollte man noch besser darauf aufpassen.

Hier findest du eine Anlteitung, die auch für Anfänger geeignet ist.

jdevlx · 10. Mai 2024 um 14:08

Wie @the schon geschrieben hat, ist LUKS unter Linux der Standard und da würde ich auch nichts anderes verwenden. Wenn das eingerichtet wird, gehen die Daten verloren, müssen also zuvor auf externes LW kopiert werden.
Die verlinkte Anleitung erscheint mir etwas umfangreich, da viele Dinge ausgeführt werden, die entsprechend der Frage schon geklärt sind.
Zunächst muss man mit lsblk herausbekommen, welches Device die SSD ist. In nachfolgenden Beispiel ist es /dev/sdc und muss entsprechend ersetzt werden:

cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha256 --use-urandom --verify-passphrase luksFormat /dev/sdc
cryptsetup luksOpen /dev/sdc sdc_crypt
mkfs.ext4 /dev/mapper/sdc_crypt
mount /dev/mapper/sdc_crypt /mnt/sdccrypt

Vor dem Herunterfahren aushängen:

umount  /mnt/sdccrypt
cryptsetup luksClose sdc_crypt

Nach dem Neustart wieder mit luksOpen öffnen und mounten.
Der Name sdc_crypt ist beliebig, ebenso der Mountpoint.