Filesystemtable: Unterschied zwischen den Versionen

Aus Secure Solutions Wiki
Wechseln zu:Navigation, Suche
K (Verschlüsselte Dateisysteme)
K (Crypttab)
Zeile 71: Zeile 71:
 
Damit ein verschlüsselter Datentträger eingebunden werden kann, muss er in <code>/etc/crypttab</code> angegeben werden. <br>
 
Damit ein verschlüsselter Datentträger eingebunden werden kann, muss er in <code>/etc/crypttab</code> angegeben werden. <br>
 
Beispiel: <br>
 
Beispiel: <br>
 
+
'''/etc/crypttab'''
 
<pre style="background-color: #585858; color: #2CC608;"><name>  <device>                                  <password>        <options>
 
<pre style="background-color: #585858; color: #2CC608;"><name>  <device>                                  <password>        <options>
 
system  /dev/sda3                                  none              luks
 
system  /dev/sda3                                  none              luks
Zeile 77: Zeile 77:
 
home    /dev/sdb1                                  /.key/MASTERKEY  luks</pre>
 
home    /dev/sdb1                                  /.key/MASTERKEY  luks</pre>
 
In diesem Szenario wird beim Systemstart ein Passwort für die verschlüsselte Systempartition (''root'') abgebraft. Auf der Systempartition liegt in <code>/etc/USB.key</code> eine Keyfile mit deren Hilfe das ebenfalls verschlüsselte Gerät <code>usbkey</code> automatisch geöffnet wird. Jetzt existiert ein Gerät namens <code>/dev/mapper/usbkey</code>. Dieses wird über die <code>/etc/fstab</code> in <code>/.key</code> eingebunden. Auf dem Gerät <code>usbkey</code> befindet sich eine Keyfile für das ebenfalls verschlüsselte <code>home</code>. Jetzt wird <code>home</code> automatisch mit der Keyfile vom <code>usbkey</code> geöffnet und via <code>/etc/fstab</code> in <code>/home</code> eingehangen. <br>
 
In diesem Szenario wird beim Systemstart ein Passwort für die verschlüsselte Systempartition (''root'') abgebraft. Auf der Systempartition liegt in <code>/etc/USB.key</code> eine Keyfile mit deren Hilfe das ebenfalls verschlüsselte Gerät <code>usbkey</code> automatisch geöffnet wird. Jetzt existiert ein Gerät namens <code>/dev/mapper/usbkey</code>. Dieses wird über die <code>/etc/fstab</code> in <code>/.key</code> eingebunden. Auf dem Gerät <code>usbkey</code> befindet sich eine Keyfile für das ebenfalls verschlüsselte <code>home</code>. Jetzt wird <code>home</code> automatisch mit der Keyfile vom <code>usbkey</code> geöffnet und via <code>/etc/fstab</code> in <code>/home</code> eingehangen. <br>
 +
'''/etc/fstab'''
 
<pre style="background-color: #585858; color: #2CC608;">
 
<pre style="background-color: #585858; color: #2CC608;">
 
/dev/mapper/usbkey /.key  ext4  ro        0 2
 
/dev/mapper/usbkey /.key  ext4  ro        0 2

Version vom 18. Oktober 2020, 13:14 Uhr

Der Filesystemtable ist für das einbinden von Laufwerken in GNU/Linux, BSD und teils auch in Mac OS X verantwortlich. In diesem Artikel geht es um fstab auf GNU/Linux. Der Filesystemtable ist in /etc/fstab zu finden.

Syntax

Dies ist ein Beispiel für die /etc/fstab:

<file system>     <mount point>  <type>   <options>    <dump> <pass>
/dev/sda1         /boot          ext2     defaults     0      2     
/dev/sda2         none           swap     defaults     0      0     
/dev/sda3         /              ext4     defaults     0      1     
/dev/sdb1         /home          btrfs    defaults     0      2     

  1. <file system> Datenträger/Netzwerkfreigabe
  2. <mount point> Einbindepunkt.
  3. <type> Alle Dateisystemoptionen aus dem mount-Parameter -o verfügbar.
  4. <options> Alle Optionen aus dem mount-Parameter -o verfügbar. defaults, sind die Optionen rw,suid,dev,exec,auto,nouser,async.
  5. <dump> Backup-Programm dump. 0 = keine Sicherung.
  6. <pass> Die Reihenfolge der Datenträgerprüfung von fsck beim Systemstart. Für das Root Dateisystem 1 für alle anderen 2. 0 = keine Prüfung.


Dateisysteme erkennen

Alle Datenträger anzeigen:
lsblk
Die Dateisysteme der Datenträger ermitteln:
lsblk --fs

Genauere Identifikation

Es ist eine gute Idee anstelle der einfachen /dev/sdX* Schreibweise die eindeutigen UUID Bezeichnungen der Dateisysteme im Filesystemtable zu verwenden.

BLKID

Die eindeutigen Dateisystembezeichnungen sind wie folgt zu ermitteln:
sudo blkid

Eine Zeile der Ausgabe könnte so aussehen:
/dev/sdc1: LABEL="BACKUP" UUID="b47aec82-23f6-551f-3f1e-2f6955faf733" TYPE="btrfs" PARTUUID="d3e88d30-2aff-4779-aed2-2e2e556a251a".

UUIDs verwenden

Um die UUID im Filesystemtable verwenden zu können tauschen, Sie nur /dev/sdX* mit UUID=IhreUUID.
Beispiel:
UUID=b47aec82-23f6-551f-3f1e-2f6955faf733 /usr/share/backup btrfs defaults 0 4.

LABELs verwenden

Um die Dateisystembezeichnung (LABELs) im Filesystemtable verwenden zu können tauschen, Sie nur /dev/sdX* mit LABEL=IhrLABEL.
Beispiel:
LABEL=BACKUP /usr/share/backup btrfs defaults 0 4.

GPT Partitions UUIDs

Um die GTP Partitions UUIDs (PARTUUIDs) im Filesystemtable verwenden zu können, tauschen Sie nur /dev/sdX* mit PARTUUID=IhrePARTUUID.
Beispiel:
PARTUUID=d3e88d30-2aff-4779-aed2-2e2e556a251a /usr/share/backup btrfs defaults 0 4.

Netzwerkfreigaben

Es ist möglich via Filesystemtable auch Netzwerkfreigaben einzubinden.

NFS

Ein Network Filesystem Netzwerklaufwerk einbinden:
192.168.7.27:/vault/ldaphome /home/ldaphome nfs rw 0 0

Samba

Ein Samba Netzwerklaufwerk einbinden:
//192.168.7.27/scans /usr/share/scans cifs credentials=/home/user/.smbcredentials 0 0

Verzeichnisse Einbinden

Mit dem Filesystemtable ist es auch möglich einen Ordner alternativ zugänglich zu machen.
Beispiel:
/usr/share/scans /home/user/scans none bind 0 0.

Damit ist der selbe Ordner erreichbar unter /usr/share/scans und /home/user/scans.

Verschlüsselte Dateisysteme

Crypttab

Damit ein verschlüsselter Datentträger eingebunden werden kann, muss er in /etc/crypttab angegeben werden.
Beispiel:
/etc/crypttab

<name>  <device>                                   <password>        <options>
system  /dev/sda3                                  none              luks
usbkey  UUID=e92aac70-85d6-421c-9f7b-1d6955ead049  /etc/USB.key      luks
home    /dev/sdb1                                  /.key/MASTERKEY   luks

In diesem Szenario wird beim Systemstart ein Passwort für die verschlüsselte Systempartition (root) abgebraft. Auf der Systempartition liegt in /etc/USB.key eine Keyfile mit deren Hilfe das ebenfalls verschlüsselte Gerät usbkey automatisch geöffnet wird. Jetzt existiert ein Gerät namens /dev/mapper/usbkey. Dieses wird über die /etc/fstab in /.key eingebunden. Auf dem Gerät usbkey befindet sich eine Keyfile für das ebenfalls verschlüsselte home. Jetzt wird home automatisch mit der Keyfile vom usbkey geöffnet und via /etc/fstab in /home eingehangen.
/etc/fstab

/dev/mapper/usbkey /.key  ext4   ro        0 2
/dev/mapper/home   /home  btrfs  defaults  0 2

Crypttab Optionen

  1. <name> Name für /dev/mapper.
  2. <device> Datenträger/Dateisystem.
  3. <password> Pfad zur Keyfile oder none für eine manuelle Eingabe beim Systemstart.
  4. <options> Zum einbinden eines verschlüsselten LUKS Datenträgers die Options luks verwenden.