3. NFS und Cryptsetup vorbereiten


Um alle Aufgaben zu erfüllen fehlen der Standardinstallation noch ein paar Pakete, die man mit

installieren kann.  Danach startet man den Raspberry Pi entweder neu oder lädt mit

das Kernelmodul ein. Damit ist die Vorbereitung für die Verschlüsselung eigentlich abgeschlossen und man braucht nur noch eine Festplatte auf der keine wichtigen Daten sind anzuschließen um mit der Verschlüsselung anzufangen.

Mit

findet man heraus, welche die zu verschlüsselnde Festplatte ist. In meinem Fall ist es ein nur 4GB großer Stick und  /dev/sda . An der Ausgabe von

sieht man, dass auf dem Stick nur eine Partition ist, die 100% des Sticks einnimmt. Diese Partition erreicht man unter  /dev/sda1 .

4. Festplatte verschlüsseln


Nun verschlüssle ich diese Partition mit

in Zeile 1. In Zeile 10 öffne ich die Verschlüsselung und mache eine virtuelle Gerätedatei mit dem Namen „meinstick“ . In Zeile 11 formatiere ich den Stick „meinstick“ mit dem Dateisystem ext4. In Zeile 12 schließlich hänge ich den Verschlüsselten Stick unter dem Verzeichnis /mnt ein. Jetzt kann er ganz normal verwendet werden.

5. Freigabe per NFS einrichten


Nachdem die Festplatte jetzt verschlüsselt und eingehängt ist, fehlt noch die Freigabe per NFS. Die Freigaben werden in der Datei  /etc/exports  eingerichtet. Bei mir sieht die Datei so aus:

Wie man sieht habe ich drei Festplatten die ich freigebe. Im Detail funktionieren die Zeilen so – am Beispiel von /media/ext1:

  • /media/ext1 ist der Einhängepunkt oder, allgemein, das Verzeichnis das fregegeben wird.
  • 192.168.0.1/24 gibt an, in welchem Netzwerkbereich auf die Freigabe zugegriffen werden kann und ist in diesem Fall äquivalent zu 192.168.0.1/255.255.255.0.
  • In der Klammer geht’s los mit rw für Lese- und Schreibzugriff
  • no_subtree_check deaktiviert eine Sicherheitsüberprüfung die für mich auf komplett eingebundenen Dateisystemen nicht sehr wichitg ist.
  • no_root_squash heißt, dass Verzeichnisse, die auf dem Raspberry dem Root-User gehören, auf dem Client trotzdem benutzt werden können
  • Bei der letzten Freigabe habe ich insecure aktiviert, damit auch meine Freundin mit ihrem Apfel zugreifen kann.

In die beiden Dateien /etc/hosts.deny und /etc/hosts.allow füge ich noch je eine Zeile ein:

/etc/hosts.deny:

/etc/hosts.allow:

Das führt dazu, dass der NFS-Dienst auch wirklich nur aus dem lokalen Netzwerk erreichbar ist.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.