LUKS Festplattenverschlüsselung: Linux Server Setup Anleitung

15 Min. Lesezeit - 5. Juni 2026

hero section cover
Inhaltsverzeichnis
  • LUKS-Leitfaden zur vollständigen Festplattenverschlüsselung
  • Warum LUKS2 und was ist zuerst zu prüfen
  • Festplattenlayout
  • Einrichten von LUKS mit LVM
  • Schlüsselverwaltung und Fernentfernung
  • Sicherheit und Vermeidung von Sperrungen
Teilen

LUKS-Vollplattenverschlüsselung für Linux-Server, einschließlich LUKS2-Einrichtung, LVM-Layout, Schlüsselverwaltung, Remote-Entsperrung mit Tang und TPM sowie Härtung.

Inhaltsverzeichnis

LUKS-Leitfaden zur vollständigen Festplattenverschlüsselung

LUKS (Linux Unified Key Setup) verschlüsselt ein gesamtes Linux-Blockgerät, sodass die Inhalte ohne den Hauptschlüssel unlesbar sind. Ein gestohlenes Laufwerk, ein ausgemustertes Gehäuse, eine vergessene Backup-Festplatte: Nichts davon gefährdet Ihre Daten, sobald LUKS korrekt eingerichtet ist. Dieser Beitrag behandelt die Bereitstellung der LUKS-Vollverschlüsselung auf einem Server, einschließlich LVM-Layout, Schlüsselverwaltung, Fernentfernung der Sperre und der Fehlerzustände, die dazu führen, dass Nutzer keinen Zugriff mehr auf ihre eigenen Daten haben.

Die Referenzimplementierung hier ist LUKS2 mit LVM innerhalb des verschlüsselten Containers auf einem Linux-Server mit AES-NI in der CPU. Diese Kombination bewältigt jede moderne Arbeitslast, bietet eine gute Leistung und erfüllt die Anforderungen an ruhende Daten gemäß HIPAA, PCI-DSS, DSGVO und SOC 2.

Warum LUKS2 und was ist zuerst zu prüfen

LUKS verschlüsselt auf der Blockgeräteebene mit dm-crypt, wobei der Hauptschlüssel in Keyslots im LUKS-Header gespeichert wird. Diese Trennung ist wichtig: Sie können Passphrasen rotieren oder neue Schlüssel hinzufügen, ohne die Festplatte neu zu verschlüsseln.

LUKS2 ist die aktuelle Standardeinstellung. Es unterstützt bis zu 32 Keyslots, Metadaten im JSON-Format, Online-Neuverschlüsselung und authentifizierte Verschlüsselung über das --integrity Flag. LUKS1 unterstützt 8 Keyslots und ist auf älteren Systemen ausreichend, aber bei neuen Installationen sollte man mit LUKS2 beginnen.

Der Leistungsaufwand bei AES-NI liegt auf moderner Hardware in der Regel unter 5 %. Überprüfen Sie dies vor dem Start:

grep -o aes /proc/cpuinfo | head -1
cryptsetup benchmark

Wenn grep nichts zurückgibt, verfügt Ihre CPU nicht über AES-NI und die Verschlüsselung wird bei hoher I/O-Auslastung CPU-gebunden sein. cryptsetup benchmark zeigt den Durchsatz pro Verschlüsselungsalgorithmus an, sodass du den schnellsten auswählen kannst, den deine Hardware unterstützt. Stelle außerdem sicher, dass cryptsetup installiert ist und dass das dm-crypt Kernelmodul verfügbar ist. Beides ist standardmäßig in Ubuntu, Debian, RHEL und Arch enthalten.

Festplattenlayout

Zwei Partitionen bleiben unverschlüsselt: die EFI-Systempartition (512 MB FAT32) und /boot (1 bis 2 GB, ext4 oder xfs). GRUB muss beide lesen, bevor es zur Eingabe der Passphrase auffordern kann. Alles andere befindet sich im LUKS-Container.

Die empfohlene Struktur ist LVM innerhalb von LUKS: ein LUKS-Container, der eine LVM-Volume-Gruppe enthält, mit logischen Volumes für Root, Swap und beliebige Datenpartitionen. Dadurch bleiben die LVM-Metadaten verschlüsselt und Sie können die Größe von Volumes ändern oder Snapshots erstellen, ohne die LUKS-Ebene zu berühren. LUKS-on-LVM funktioniert ebenfalls, legt jedoch die Struktur der Volume-Gruppe offen.

PartitionGrößeDateisystemVerschlüsselt
EFI-System512 MB bis 1 GBFAT32Nein
/boot1 bis 2 GBext4 / xfsNein
LUKS-ContainerVerbleibender SpeicherplatzLUKS2Ja
LVM-Root20 bis 100 GB+ext4 / xfsJa (innerhalb von LUKS)
LVM-SwapEntspricht dem RAMSwapJa (innerhalb von LUKS)

ext4 ist die sichere Standardwahl für das Root-Volume. xfs verarbeitet große Dateien und parallele Schreibvorgänge besser, was für Medien-, ML- und Datenbankserver wichtig ist. Für SSDs und NVMe fügen Sie die discard Option in /etc/crypttab hin, um TRIM zu aktivieren. TRIM gibt preis, welche Sektoren genutzt werden, was einen kleinen Informationsverlust darstellt. Bei den meisten Workloads lohnt sich dies aufgrund des Vorteils des Wear-Leveling. Wenn Ihr Bedrohungsmodell eine forensische Analyse des Geräts beinhaltet, lassen Sie diese Option deaktiviert.

Einrichten von LUKS mit LVM

Identifizieren Sie die Zielfestplatte mit lsblk und löschen Sie alle vorhandenen Metadaten:

wipefs -a /dev/sdX

Optional mit Zufallsdaten überschreiben, damit verschlüsselte Blöcke nicht von leerem Speicherplatz zu unterscheiden sind:

dd if=/dev/urandom of=/dev/sdX bs=1M status=progress

Initialisieren Sie den LUKS2-Container. Verwenden Sie --sector-size 4096 für NVMe und moderne SSDs mit physischen 4K-Sektoren:

cryptsetup luksFormat --type luks2 --sector-size 4096 /dev/sdX
cryptsetup luksOpen /dev/sdX cryptdata

Sichern Sie den Header sofort, bevor Sie Daten auf die Festplatte schreiben:

cryptsetup luksHeaderBackup /dev/sdX --header-backup-file luks-header-backup.img

Erstellen Sie LVM auf dem entsperrten Container und formatieren Sie anschließend die logischen Volumes:

pvcreate /dev/mapper/cryptdata
vgcreate vg_secure /dev/mapper/cryptdata
lvcreate -L 50G -n lv_root vg_secure
lvcreate -L 8G -n lv_swap vg_secure
 
mkfs.xfs /dev/vg_secure/lv_root
mkswap /dev/vg_secure/lv_swap

Fügen Sie einen Eintrag zu /etc/crypttab unter Verwendung der UUID, nicht /dev/sdX, da sich diese bei Neustarts ändern kann. Rufen Sie sie mit blkid /dev/sdX:

cryptdata UUID=<your-uuid> none luks,discard

Dann mounten Sie über /etc/fstab:

/dev/vg_secure/lv_root  /  xfs  defaults,noatime  0 1

Generieren Sie das initramfs neu, damit die Verschlüsselungs-Hooks beim Booten geladen werden:

# Debian/Ubuntu
update-initramfs -u -k all
 
# RHEL/Fedora
dracut -f --regenerate-all

Starten Sie den Rechner neu, geben Sie die Passphrase ein und bestätigen Sie die Einrichtung mit cryptsetup status cryptdata und lsblk -f. Letzteres sollte crypto_LUKS als FSTYPE auf der verschlüsselten Partition anzeigen.

Schlüsselverwaltung und Fernentfernung

LUKS2 unterstützt 32 Schlüsselslots. Verwenden Sie von Anfang an mindestens drei: eine Admin-Passphrase, einen offline gespeicherten Wiederherstellungsschlüssel (ausgedruckt und weggeschlossen oder auf einem verschlüsselten USB-Stick in einem Safe) und eine Schlüsseldatei zur automatischen Entsperrung sekundärer Datenvolumes. Halten Sie sich an die 95 druckbaren ASCII-Zeichen, da Nicht-ASCII-Zeichen bei der Boot-Eingabeaufforderung Probleme mit der Tastaturbelegung verursachen, deren Behebung äußerst mühsam ist. Ändern Sie die Admin-Passphrase, sobald eine Person mit Zugriff das Team verlässt.

Zeige aktive Slots mit cryptsetup luksDump /dev/sdX, fügen Sie einen Schlüssel mit cryptsetup luksAddKey, und widerrufe einen mit cryptsetup luksKillSlot. Schützen Sie alle Schlüsseldateien mit strengen Berechtigungen:

chmod 0400 /etc/luks/keyfile.bin

Bei headless-Servern in entfernten Rechenzentren ist die Passwortabfrage ein Problem. Es gibt drei Möglichkeiten, damit umzugehen:

MethodeAm besten geeignet fürVor- und Nachteile
Dropbear in initramfsManuelle Entsperrung über SSHErfordert beim Neustart immer noch einen Menschen
Clevis + Tang (NBDE)Automatische Entsperrung in einem vertrauenswürdigen NetzwerkDer Server muss den Tang-Server erreichen können, um zu booten
TPM2 über systemd-cryptenrollHardwaregebundene AutomatisierungFirmware-Updates können PCR-Werte ändern und Sie aussperren

Dropbear betreibt einen winzigen SSH-Server im initramfs. Sie melden sich nach dem Booten per SSH an und geben die Passphrase manuell ein. Clevis mit Tang verwendet netzwerkgebundene Festplattenverschlüsselung: Der Server entsperrt sich selbst, solange er einen Tang-Server im vertrauenswürdigen Netzwerk erreichen kann. Tang speichert Ihren Schlüssel nicht, sondern stellt eine Hälfte eines McCallum-Relyea-Austauschs bereit. Verwenden Sie mehrere Tang-Server mit dem sss PIN, damit die Entsperrung auch dann funktioniert, wenn einer offline ist. Die TPM 2.0-Bindung über systemd-cryptenroll bindet den Schlüssel an PCR 7 (Secure-Boot-Status), sodass sich der Server nur entsperrt, wenn Firmware und Bootloader nicht manipuliert wurden. Halten Sie bei Verwendung von TPM immer einen Passphrase-Keyslot als Fallback bereit, da Firmware-Updates die PCR-Werte ändern.

Sicherheit und Vermeidung von Sperrungen

Verwenden Sie Passphrasen mit mindestens 20 Zeichen. Aktivieren Sie authentifizierte Verschlüsselung mit --integrity bei luksFormat , wenn Ihr Bedrohungsmodell neben der Vertraulichkeit auch Datenmanipulation umfasst. Dies ist mit Schreibverstärkungskosten verbunden, führen Sie daher zunächst einen Benchmark durch.

Klonen Sie einen LUKS-Container nicht auf andere Rechner. Der Volume-Schlüssel wird dabei mitkopiert, sodass eine Änderung der Passphrase auf einem Host den anderen nicht schützt. Formatieren Sie jede Festplatte einzeln neu.

Für eine sichere Außerbetriebnahme cryptsetup erase /dev/sdX löscht alle Keyslots in Millisekunden und macht die Festplatte ohne physische Zerstörung unwiederherstellbar. Das allein ist ein starkes Argument dafür, standardmäßig alles zu verschlüsseln.

Häufige Fehlerursachen:

SymptomWahrscheinliche UrsacheBehebung
Der Startvorgang bleibt bei der Passphrase-Eingabe hängenFalsche TastaturbelegungWechseln Sie das Layout oder verwenden Sie den Wiederherstellungsschlüssel
„Gerät ist kein gültiges LUKS-Gerät“Falscher GerätepfadPrüfen Sie lsblk , ob es sich um eine Partition oder die gesamte Festplatte handelt
Tastatur reagiert beim Booten nichtReihenfolge der Initramfs-HooksPlatzieren keyboard vor encrypt in mkinitcpio.conf
GRUB überspringt die Passphrase-AbfrageGRUB_ENABLE_CRYPTODISK nicht gesetztSet GRUB_ENABLE_CRYPTODISK=y in /etc/default/grub, GRUB neu installieren
„Root-Gerät nicht gefunden“Fehlt lvm2 oder encrypt HooksHooks hinzufügen und ausführen mkinitcpio -P

Der schwerwiegendste Fehlermodus ist die Beschädigung des Headers. Wenn der LUKS-Header verloren geht oder beschädigt wird, sind die Daten unwiederbringlich verloren. Eine Wiederherstellung ist nur durch die Wiederherstellung aus einer Header-Sicherung möglich. Speichern Sie eine Kopie auf einem separaten Medium, idealerweise an zwei Orten, und niemals auf der verschlüsselten Festplatte selbst. Fügen Sie für nicht kritische sekundäre Volumes nofail zu /etc/crypttab hin, damit ein fehlgeschlagener Mount-Vorgang den Bootvorgang nicht blockiert.

Die dedizierten Server von FDC werden mit Hardware ausgeliefert, die AES-NI und vollständige Festplattenverschlüsselung standardmäßig unterstützt. Konfigurieren Sie einen dedizierten Server, sobald Sie bereit für die Bereitstellung sind.

background image
Bremst Ihr Server Ihr Wachstum?

Haben Sie genug von langsamen Bereitstellungen oder Bandbreitenbeschränkungen? FDC Servers bietet sofortige dedizierte Leistung, globale Reichweite und flexible Pläne, die für jede Größenordnung geeignet sind. Sind Sie bereit für ein Upgrade?

Leistung jetzt freischalten

Blog

Diese Woche im Blickpunkt

Weitere Artikel
Linux Traffic Control (tc): ein praktischer Leitfaden

Linux Traffic Control (tc): ein praktischer Leitfaden

Bandbreitenkontrolle, Priorisierung des Datenverkehrs und Gestaltung der Ein- und Ausgänge unter Linux mit tc. Funktionierende HTB-, IFB-, DSCP- und fq_codel-Konfiguration für echte Server.

12 Min. Lesezeit - 5. Juni 2026

Warum es wichtig ist, einen leistungsstarken und ungemessenen VPS zu haben

7 Min. Lesezeit - 9. Mai 2025

Weitere Artikel
background image

Haben Sie Fragen oder benötigen Sie eine individuelle Lösung?

icon

Flexible Optionen

icon

Globale Reichweite

icon

Sofortige Bereitstellung

icon

Flexible Optionen

icon

Globale Reichweite

icon

Sofortige Bereitstellung