arch : luks : kopfschmerzen

/home verschlüsseln? Kein Problem. Meint man.

Schritt 0:

/home auf separater Partition haben

Schritt 1:

/home sichern

rsync -a --info=progress2 --partial /home /mnt/backup

Schritt 2:

/home mit random shit überschreiben

sudo dd if=/dev/urandom of=/dev/sd[home] bs=4M

Schritt 3:

luks auf /home schmeißen

cryptsetup
    -v \
    --cipher aes-xts-plain64 \
    --key-size 512 \
    --hash sha512 \
    --iter-time 5000 \
    --use-random luksFormat /dev/sd[home] [/pfad/zum/key]

Schritt 4:

Filesystem auf /home rotzen (bloß nicht vergessen!!!)

cryptsetup open /dev/sd[home] home [--key-file /pfad/zum/key]
mount /dev/mapper/home /home
mkfs.ext4 /home

Schritt 5:

Daten zurück auf /home werfen

rsync -a --info=progress2 --partial /mnt/backup /home

Schritt 6:

/home in crypttab eintragen

/etc/crypttab

home UUID=<uuid von /dev/sd[home]> ask timeout=180

oder falls mit Keyfile

home UUID=<uuid von /dev/sd[home]> /pfad/zum/key timeout=180

Schritt 7:

/home in fstab aktualisieren

/etc/fstab

/dev/mapper/home /home ext4 rw,relatime 0 2

Schritt 8:

Keine 5h damit verschwenden

TODO:

Noch rausfinden, wie man den Key vom USB-Stick lesen kann. Das hat mir die meisten Kopfschmerzen bereitet. Udev-Regel will nicht mounten, aber das sollte man, da der Key sich ja auch dem Stick befindet. Update folgt bestimmt noch.