Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
anwenderwiki:linuxclient:home_verschluesselung [2022/02/10 21:55] – [Verschlüsselung des home-Verzeichnisses] martin.res | anwenderwiki:linuxclient:home_verschluesselung [2022/03/13 10:29] (aktuell) – tobias | ||
---|---|---|---|
Zeile 8: | Zeile 8: | ||
Zusätzlich zum home sollte auch die swap-Auslagerung (falls vorhanden) und das / | Zusätzlich zum home sollte auch die swap-Auslagerung (falls vorhanden) und das / | ||
- | Da das Betriebssystem Ubuntu und die home-Partition bei meiner Konfiguration (Sync mit LINBO) unverschlüsselte Daten enthalten, kam nur die Verschlüsselung ecryptfs in Frage. | + | |
+ | ===== Alternative 1: Verschlüsselung eines home-Verzeichnisses mit ecrptfs ===== | ||
+ | |||
+ | Da das Betriebssystem Ubuntu und die home-Partition bei meiner Konfiguration (Sync mit LINBO) | ||
< | < | ||
- | ===== Verschlüsselung eines home-Verzeichnisses mit ecrptfs ===== | + | Am einfachsten ist es die Verschlüsselung beim Neuanlegen eines Benutzers gleich mit zu installieren. Bei Anmeldung an Ubuntu wird dann das Anmeldepasswort auch zum Entsprerren einer Passphrase verwendet und mit der Passphrase das home entschlüsselt.\\ |
- | Am einfachsten ist es die Verschlüsselung beim Neuanlegen eines Benutzers gleich mit zu installieren. Bei Anmeldung an Ubuntu wird dann das Anmeldepasswort auch zum Entsprerren einer Passphrase verwendet und mit der Passphrase das home entschlüsselt.\\ | + | |
Verschlüsselung installieren: | Verschlüsselung installieren: | ||
sudo apt install ecryptfs-utils cryptsetup | sudo apt install ecryptfs-utils cryptsetup | ||
Zeile 51: | Zeile 53: | ||
**Problem: | **Problem: | ||
- | ===== Links (Stand Feb' | + | ==== Links (Stand Feb' |
https:// | https:// | ||
https:// | https:// | ||
https:// | https:// | ||
https:// | https:// | ||
+ | |||
+ | ===== Alternative 2: Verschlüsselung des Home und tmp mit LUKS ===== | ||
+ | |||
+ | In meiner Variante wird das Unterverzeichnis eines Benutzers mit frei wählbarem Benutzernamen, | ||
+ | |||
+ | Ich partitioniere daher den Client so: | ||
+ | < | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | </ | ||
+ | |||
+ | |||
+ | * lokaler Vor-Installations-Benutzer '' | ||
+ | |||
+ | # groupadd -g 1066 alex | ||
+ | # useradd -d /home/alex -k / | ||
+ | # echo ' | ||
+ | |||
+ | * ''/ | ||
+ | |||
+ | mv /var/tmp/* /tmp/ | ||
+ | mv / | ||
+ | rmdir /var/tmp/ | ||
+ | ln -s /tmp /var/tmp | ||
+ | echo " | ||
+ | echo "/ | ||
+ | |||
+ | * das turnkey-Skript auf dem Desktop von Alexander, das per sudo folgende Aktionen durchführt: | ||
+ | * Abfrage von Benutzername und Passwort für das neue Konto (uid/gid: 1067) | ||
+ | * Abfrage, ob ein Administrationsschlüssel hinterlegt werden sollte (''/ | ||
+ | * Benutzer- und Gruppe werden angelegt: $newuser mit $newpw | ||
+ | |||
+ | # groupadd -g 1067 $newuser | ||
+ | # useradd -m -d / | ||
+ | # echo ' | ||
+ | |||
+ | * Containerverschlüsselung der Homepartition erstellt | ||
+ | |||
+ | # cryptsetup luksFormat --use-random -c aes-xts-plain64 -s 512 -h sha512 -y / | ||
+ | | ||
+ | WARNUNG! | ||
+ | ======== | ||
+ | Hiermit werden die Daten auf »/ | ||
+ | | ||
+ | Sind Sie sicher? (Tippen Sie ' | ||
+ | Geben Sie die Passphrase für »/ | ||
+ | Passphrase bestätigen: | ||
+ | |||
+ | * Eventuell Administrationsschlüssel hinterlegen: | ||
+ | |||
+ | # printf $newpw | cryptsetup luksAddKey / | ||
+ | |||
+ | * Container öffnen und formatieren | ||
+ | |||
+ | # printf $newpw | cryptsetup luksOpen / | ||
+ | # mkfs.ext4 / | ||
+ | |||
+ | * sudo-Rechte bei Wunsch vergeben | ||
+ | * Deaktivierung von Konto " | ||
+ | * Damit das Home-Verzeichnis bei der Anmeldung auch geöffnet und als / | ||
+ | |||
+ | < | ||
+ | |||
+ | <?xml version=" | ||
+ | < | ||
+ | < | ||
+ | <debug enable=" | ||
+ | <volume user=" | ||
+ | < | ||
+ | wilhelm | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | |||
+ | </ | ||
+ | |||
+ | ==== Skriptvorschlag ==== | ||
+ | ==== Links (Stand: März 2022) ==== | ||
+ | * Siehe Diskussion und Skriptvorschlag hier: https:// | ||
+ | * https:// | ||
+ | * https:// | ||
+ | * https:// | ||
+ | * https:// |