====== Ordner im Dateisystem durch verschlüsseltes Logical Volume ersetzen unter Linux======
In diesem Beispiel wird der Log-Ordern ''/var/log/'' in ein verschlüsseltes Logical Volume aus der Volume Group ''vg0'' verschoben. Es wird davon ausgegangen, dass das Wurzel-Dateisystem auch schon verschlüsselt ist.
Alle Befehle müssen mit root-Rechten ausgeführt werden.
Zuerst verschlüsseltes Logical Volume erzeugen.
lvcreate -n log -L10G vg0
cryptsetup luksFormat /dev/vg0/log
cryptsetup luksOpen /dev/vg0/log log_crypt
mkfs.ext4 /dev/mapper/log_crypt
Nun die alten Dateien in das neue Volume kopieren.
mount /dev/mapper/log_crypt /mnt
rsync -a /var/log/* /mnt/temp
Den alten Speicherplatz freigeben und das verschlüsselte Volume einhängen.
rm -r /var/log/*
mount /dev/mapper/log_crypt /var/log
Den temporären Mountpoint freigeben.
umount /mnt
Zuletzt wollen wir noch dafür sorgen, dass unser Volume auch beim Starten wieder an die richtige Position eingebunden wird.
Dazu ein Keyfile erstellen und zum verschlüsselten Volume hinzufügen.
dd if=/dev/urandom of=/root/keyfile bs=1024 count=4
chmod 0400 /root/keyfile
cryptsetup luksAddKey /dev/vg0/log /root/keyfile
Die UUID des Volumes herausfinden.
blkid /dev/vg0/log
# Ausgabe /dev/vg0/log: UUID="dba2013b-bd0a-8716-9701-f215df00dfc0" TYPE="crypto_LUKS"
Einstellen, dass es automatisch entschlüsselt und eingehängt wird.
(Alles hinter # einfügen)
vi /etc/crypttab
# log_crypt UUID=dba2013b-bd0a-8716-9701-f215df00dfc0 /root/keyfile luks
vi /etc/fstab
# /dev/mapper/log_crypt /var/log ext4 defaults 0 2
===== Kein verschlüsseltes Wurzel-Dateisystem =====
Sollte das Wurzel-Dateisystem nicht verschlüsselt sein, erstellen wir kein Keyfile und tragen stattdessen in die ''/etc/crypttab'' folgendes ein:
log_crypt UUID=dba2013b-bd0a-8716-9701-f215df00dfc0 none luks
Nun müssen wir aber bei jedem Systemstart das Passwort eingeben. Es ist allgemein sehr empfehlenswert, immer das gesamte Filesystem zu verschlüsseln.