ubuntuusers.de

Du betrachtest eine alte Revision dieser Wikiseite.

Daten verschlüsseln

Artikel für fortgeschrittene Anwender

Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:


Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.

Aus Gründen der Geheimhaltung sensibler Daten, aber auch der Privatsphäre, bietet es sich an, Daten auf der Festplatte zu verschlüsseln. Dazu gibt es prinzipiell mehrere Möglichkeiten:

In diesem Artikel werden die ersten beiden Möglichkeiten behandelt.

Sicherheit der Verschlüsselungsmethoden

Hinweis:

Ohne ein sicheres Kennwort nutzt die stärkste Verschlüsselung nichts! Wie man Passwörter am besten wählt, findet man im Sicherheits 1x1.

Wirkliche Sicherheit bietet Verschlüsselung nur, wenn alle Bereiche, in denen temporäre Dateien (z.B. in /tmp) gespeichert werden, ebenfalls verschlüsselt sind. Ansonsten besteht das Risiko, dass (beispielsweise durch das Bearbeiten von Textdokumenten) Sicherungskopien dieser Dateien auf unverschlüsselte Bereiche der Festplatte kopiert werden. Daher sollte man, wenn möglich, das komplette System verschlüsseln oder zumindest die Vorbereitung zur Teilverschlüsselung durchgearbeitet haben.

Die Verschlüsselungsalgorithmen der in diesem Artikel vorgestellten Verschlüsselungsverfahren gelten als sicher und ungebrochen. Das heißt (außer durch Probieren möglicher Schlüssel (Brute Force)) gibt es bis heute keine Methode, eine der hier vorgestellten Verschlüsselungsverfahren zu knacken.

⚓︎

Einzelne Dateien verschlüsseln mit GnuPG

Möchte man einzelne Dateien verschlüsseln, so kann man dies mit GnuPG realisieren.

Das Verschlüsseln von Dateien findet im Terminal [3] statt. Durch Eingabe von

gpg -c DATEINAME 

wird die Datei DATEINAME nach doppelter Eingabe eines Passwortes verschlüsselt.

Experten-Info:

Durch das Argument --cipher-algo kann der Verschlüsselungsalgorithmus manuell bestimmt werden, standardmäßig wird hier CAST5 verwendet. Um eine Liste der unterstützten Algorithmen einzusehen, genügt die Eingabe von gpg --version im Terminal. Auch die Verschlüsselung von Dateien mit einem öffentlichen Schlüssel durch die Option -e ist möglich.

Daten entschlüsseln

Durch Ausführen von

gpg -d DATEINAME.gpg > DATEINAME 

wird eine verschlüsselte Datei DATEINAME.gpg nach Eingabe des Passwortes wieder entschlüsselt und als DATEINAME gespeichert.

Der große Nachteil dieser Methode ist, dass man die Datei jedes Mal manuell ver- und entschlüsseln muss. Des Weiteren muss man die Originaldatei jedes Mal löschen. Dies ist auf die Dauer nicht nur etwas mühselig, auch sind die gelöschten Original-Dateien unter Umständen wieder herstellbar.

⚓︎

Mit LUKS verschlüsselte /home-Partition automatisch beim Anmelden einbinden

Nachdem, wie im Artikel LUKS beschrieben, eine verschlüsselte Partition angelegt wurde, kann diese als /home genutzt werden. Damit diese Partition automatisch mit pam-mount beim Anmelden eingebunden werden kann, müssen das jeweilige Nutzer-Passwort und ein Passwort der Partition identisch sein. Das Verfahren hat den Vorteil, dass es sich nahtlos in den normalen Anmeldevorgang einbindet und nur eine Passworteingabe nötig ist - allerdings ist es dann um so wichtiger, dass das gewählte Passwort von guter Qualität ist.

Achtung!

Sollte nicht das gesamte System verschlüsselt werden, besteht die Gefahr, dass persönliche Daten in unverschlüsselten Bereichen gespeichert werden. Um dieses Risiko zu minimieren sollte der Artikel Vorbereitung zur Teilverschlüsselung durchgearbeitet werden. Ohne diese Maßnahmen ist die Verschlüsselung möglicherweise wirkungslos.

Software installieren

Zuerst muss das folgende Paket installiert [1] werden:

  • libpam-mount (universe, [2])

Befehl zum Installieren der Pakete:

sudo apt-get install libpam-mount 

Oder mit apturl installieren, Link: apt://libpam-mount

Daten migrieren

Zuerst wird die verschlüsselte Partition geöffnet[7], welche als /home verwendet werden soll. Dann wird sie kurzfristig unter /mnt eingehängt:

cryptsetup luksOpen /dev/sd<Partition> <Name>
mount /dev/mapper/<Name> /mnt 

Anschließend werden alle Dateien von der ursprünglichen Home-Partition auf die neue, verschlüsselte kopiert[8]:

cp -avx /home/* /mnt 

Nachdem überprüft wurde, ob alle Daten kopiert wurden, sollte man dort noch eine Test-Datei (z.B. Test.txt) erstellen, um nachher zu sehen, ob wirklich alles funktioniert hat. Abschließend hängt man dann die Partition wieder aus:

umount /mnt
cryptsetup luksClose <Name> 

pam-mount konfigurieren

Damit pam-mount weiß, welche Partitionen es bei Anmeldung wohin einhängen soll, werden mit den folgenden Befehlen die entsprechende Zeilen in die allgemeinen Konfigurationsdateien eingetragen, die man dazu mit Root-Rechten öffnet [2]:

Nach demselben Schema kann man auch weitere Partitionen einbinden lassen, insbesondere in Pfade unterhalb von /home. Falls man bestimmte Partitionen nur für bestimmte Nutzer einbinden will, erweitert man entsprechend die Konfiguration:

In Dapper (6.06) wird in /etc/security/pam_mount.conf unter der auskommentierten Dokumentation folgende Zeile eingetragen und <UUID> durch die tatsächliche UUID der Partition ersetzt:

volume <Nutzer> crypt - /dev/disk/by-uuid/<UUID> <Pfad> - - -

Für alle anderen Ubuntu-Versionen wird in /etc/security/pam_mount.conf.xml unter der auskommentierten Dokumentation folgende Zeile eingetragen und <UUID> durch die tatsächliche UUID der Partition ersetzt:

<volume user="<Nutzer>" fstype="crypt" path="/dev/disk/by-uuid/<UUID>" mountpoint="<Pfad>" options="fsck,relatime" />

Bis Intrepid wird in /etc/pam.d/common-session folgende Zeile so eingetragen, dass sie ganz am Ende steht:

@include common-pammount

Ab Jaunty werden die PAM-Module automatisch verwaltet.

Experten-Info:

Falls es bei der Benutzung von sudo und cron zu segfaults kommt, sind diese als Bug zu melden. Man kann das Problem beheben, indem man fest vorgibt, welcher Benutzer die verschlüsselte Partition verwenden soll.

Konfiguration überprüfen und neu starten

Nachdem die Konfiguration nochmals geprüft wurde kann man das System neu starten. Wenn man nach erfolgreicher Anmeldung in /home die entsprechende Test-Datei gefunden hat, arbeitet man mit dem verschlüsselten /home.


Diese Revision wurde am 7. Januar 2011 15:25 von frustschieber erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Sicherheit, System, Verschlüsselung