In diesem Beispiel wird der Log-Ordern /var/log/ in ein verschlüsseltes Logical Volume aus der Volume Group vg0 verschoben. Es wird davon ausgegangen, dass das Wurzel-Dateisystem auch schon verschlüsselt ist. Alle Befehle müssen mit root-Rechten ausgeführt werden.

Zuerst verschlüsseltes Logical Volume erzeugen.

lvcreate -n log -L10G vg0
cryptsetup luksFormat /dev/vg0/log
cryptsetup luksOpen /dev/vg0/log log_crypt
mkfs.ext4 /dev/mapper/log_crypt

Nun die alten Dateien in das neue Volume kopieren.

mount /dev/mapper/log_crypt /mnt
rsync -a /var/log/* /mnt/temp

Den alten Speicherplatz freigeben und das verschlüsselte Volume einhängen.

rm -r /var/log/*
mount /dev/mapper/log_crypt /var/log

Den temporären Mountpoint freigeben.

umount /mnt

Zuletzt wollen wir noch dafür sorgen, dass unser Volume auch beim Starten wieder an die richtige Position eingebunden wird.

Dazu ein Keyfile erstellen und zum verschlüsselten Volume hinzufügen.

dd if=/dev/urandom of=/root/keyfile bs=1024 count=4
chmod 0400 /root/keyfile 
cryptsetup luksAddKey /dev/vg0/log /root/keyfile 

Die UUID des Volumes herausfinden.

blkid /dev/vg0/log
# Ausgabe /dev/vg0/log: UUID="dba2013b-bd0a-8716-9701-f215df00dfc0" TYPE="crypto_LUKS"

Einstellen, dass es automatisch entschlüsselt und eingehängt wird. (Alles hinter # einfügen)

vi /etc/crypttab
# log_crypt UUID=dba2013b-bd0a-8716-9701-f215df00dfc0 /root/keyfile luks
vi /etc/fstab
# /dev/mapper/log_crypt  /var/log ext4    defaults        0       2

Sollte das Wurzel-Dateisystem nicht verschlüsselt sein, erstellen wir kein Keyfile und tragen stattdessen in die /etc/crypttab folgendes ein:

log_crypt UUID=dba2013b-bd0a-8716-9701-f215df00dfc0 none luks

Nun müssen wir aber bei jedem Systemstart das Passwort eingeben. Es ist allgemein sehr empfehlenswert, immer das gesamte Filesystem zu verschlüsseln.