Die Testumgebung

Geheimnisträger

Die Testumgebung Die folgende Anleitung beschreibt die Verschlüsselung der Root-Partition eines laufenden CentOS-4.3-Servers in der Minimal- Installation (siehe Linux Professionell 3/2006 ab Seite 88). CentOS basiert auf Red Hat Enterprise Linux (RHEL) und ist für Unternehmen, die kein kommerzielles Support-Angebot benötigen, eine exzellente Alternative zu RHEL und Suse Linux Enterprise Server. Das Testsystem basiert auf folgenden Partitionen:

/dev/hda1/boot Boot-Partition (ext2)
/dev/hda2/ Root-Partition (ext2) *
/dev/hda3/swap Swap-Partition (swap) *

Die mit * markierten Partitionen werden komplett verschlüsselt und sind für Angreifer nach Abschluss uneinsehbar. Die Boot-Partition bleibt unverändert. Um eine Manipulation auszuschließen, stellen wir später ein Kommando vor, das die Integrität dieser Partition prüft, um eventuelle Manipulationen zu erkennen.

Kernel mit Minix-FS-Support
Für die Entschlüsselung der Root-Partition beim Booten des Systems wird eine kleine, virtuelle Minix-Partition erstellt. Da RHEL (und damit auch CentOS) in der Grundkonfiguration kein Minix-Dateisystem unterstützt, passen Sie zuerst den Kernel an:

cd /usr/src
wget http://mirror.centos.org/centos/4.3/os/SRPMS/kernel-2.6.9-34.EL.src.rpm

Bevor Sie den Kernel installieren, benötigt CentOS weitere Tools, deren Vorhandensein Sie mit dem Befehl

yum install gcc rpm-build redhat-rpm-config

sicherstellen. Installieren Sie gegebenenfalls fehlende Pakete nach. Anschließend packen Sie den Kernel mit dem Befehl

rpm -ihv kernel-2.6.9-34.EL.src.rpm

aus und wechseln ins Entwicklerverzeichnis für Source-RPM-Pakete:

cd /usr/src/redhat/SPECS

Einen Beitrag, wie Sie RPM-Pakete selbst entwickeln können, finden Sie in Ausgabe 3/2006 von Linux Professionell ab Seite 57. Mit dem folgenden Befehl

rpmbuild -bp –target=i686 kernel-2.6.spec

führen Sie einen so genannten Prepare (-bp) des Quellpakets durch. Die Angabe der Option –target ist essenziell und muss an Ihre Hardware-Architektur angepasst werden. Neben dem Quellcode entpackt rpmbuild noch zahlreiche Patches, die Red Hat zur Härtung
und Stabilisierung des verwendeten Kernel 2.6.9 integriert hat. Nach Abschluss wechseln Sie in das Verzeichnis:

cd ../BUILD/kernel-2.6.9/linux-2.6.9

Hier führen Sie folgendes Kommando aus, um die Kernel-Quellen auf Ihren Urzustand
zurückzustellen:

make distclean

Kopieren Sie dann die entsprechende Konfigurationsdatei aus dem Verzeichnis configs. Im Beispiel unseres Pentium-4-Systems mit einem Prozessor lautet der Befehl:

cp configs/kernel-2.6.9-i686.
config .config