Benutzer-Werkzeuge

Webseiten-Werkzeuge

 [[anwenderwiki:linuxclient:home_verschluesselung]] 
Sie befinden sich hier: start » anwenderwiki » linuxclient » home_verschluesselung

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
anwenderwiki:linuxclient:home_verschluesselung [2022/02/04 20:39] – angelegt martin.resanwenderwiki:linuxclient:home_verschluesselung [2022/02/10 21:56] – [Verschlüsselung des home-Verzeichnisses] martin.res
Zeile 3: Zeile 3:
 ====== Verschlüsselung des home-Verzeichnisses ====== ====== Verschlüsselung des home-Verzeichnisses ======
 Auf Lehrergeräten ist es sinnvoll zumindest das home-Verzeichnis zu verschlüsseln, da darin oft personenbezogene Daten abgelegt sind. Dazu gibt es verschiedene Varianten: Auf Lehrergeräten ist es sinnvoll zumindest das home-Verzeichnis zu verschlüsseln, da darin oft personenbezogene Daten abgelegt sind. Dazu gibt es verschiedene Varianten:
-  - LUKS - verschlüsselt nur ganze Partitioen +  - **LUKS** - verschlüsselt nur ganze Partitionen oder das ganze System, performant, aber ungeeignet bei Geräten, die mehrere Benutzer haben 
-  - ecryptfs - verschlüsselt einzelne Verzeichnisse+  - **ecryptfs** - verschlüsselt Verzeichnisse oder Dateien einzeln 
 +  - **systemd-homed** - für home-Verzeichnisse (in Entwicklung) 
 +Zusätzlich zum home sollte auch die swap-Auslagerung (falls vorhanden) und das /tmp-Verzeichnis verschlüsselt werden. 
 + 
 +Da das Betriebssystem Ubuntu und die home-Partition bei meiner Konfiguration (Sync mit LINBO) auch unverschlüsselte Daten enthalten, kam nur die Verschlüsselung ecryptfs in Frage. 
 +<note>Folgende Verfahren wurden an einem Ubuntu 22.04-System durchgeführt.</note> 
  
 ===== Verschlüsselung eines home-Verzeichnisses mit ecrptfs ===== ===== Verschlüsselung eines home-Verzeichnisses mit ecrptfs =====
 +Am einfachsten ist es die Verschlüsselung beim Neuanlegen eines Benutzers gleich mit zu installieren. Bei Anmeldung an Ubuntu wird dann das Anmeldepasswort auch zum Entsprerren einer Passphrase verwendet und mit der Passphrase das home entschlüsselt.\\
 +Verschlüsselung installieren:
 +  sudo apt install ecryptfs-utils cryptsetup
 +Neuen Benutzer anlegen:
 +  sudo adduser –-encrypt-home testlehrer
 +Nun die Benutzerverwaltung aufrufen und ggf. weitere Einstellungen zum Benutzer setzen.\\
 +**Problem bei ecryptfs**: Das home wird beim Abmelden nicht verschlossen, nur beim Herunterfahren. Deshalb in der Datei ''/etc/pam.d/common-session-noninteractive'' folgende Zeile mit "#" auskommentieren:
 +       ...
 +       # session optional pam_encryptfs.so unwrap
 +       ...
 +
 +Die dabei erzeugte Passphrase "''wrapped-passphrase''" sollte man nun an einem sicheren Ort (z.B. USB-Stick) aufbewahren. Dazu die Passphrase unverschlüsselt extrahieren:
 +  ecryptfs-unwrap-passphrase .ecryptfs/wrapped-passphrase > /media/usbstick/mypassphrase.txt
 +<note important>Eine Passwortänderung darf nur innerhalb des Accounts erfolgen, nicht von außen, da sonst das Passwort der Passphrase nicht angepasst würde.</note>
 +
 +
 +===== Verschlüsselung des /tmp-Verzeichnisses mit ecrptfs =====
 +Alle Befehle als root ausführen. Zuerst die Verschlüsselungs-Pakete installieren:
 +  apt install ecryptfs-utils cryptsetup
 +
 +Meist gibt es neben ''/tmp'' auch das Verzeichnis ''/var/tmp'', die man mit einem Link zusammenführt:
 +  # rm –Rf /var/tmp
 +  # ln –s /tmp /var/tmp
 +Nun eine Container-Datei  ''/.crypttmp'' der Größe 300 MB erzeugen und (ohne journal) formatieren:
 +
 +  # dd if=/dev/zero of=/.crypttmp count=300 bs=1M
 +  # losetup /dev/loop20 /.crypttmp
 +  # mkfs.ext4 -O ^has_journal /dev/loop20
 +In der Datei ''/etc/crypttab'' eine Zeile hinzufügen: 
 +       crypttmp /.crypttmp /dev/urandom tmp,size=256, hash=sha256,cipher=aes-cbc-essiv:sha256
 +In der Datei ''/etc/fstab'' eine Zeile hinzufügen:
 +       /dev/mapper/crypttmp /tmp ext4 defaults 0 2
 +Mapping starten und Verzeichnis leeren:
 +  # cryptdisks_start crypttmp
 +  # rm -Rf /tmp/*
 +Beim Booten wird jedesmal ein neues ''/tmp''-Verzeichnis angelegt, formatiert und mit einer (neuen) zufälligen Passphrase (/dev/urandom) verschlüsselt.\\
 +**Problem:** Das ''/tmp''-Verzeichnis hat hier eine maximale Größe von 300 MB - beim einem großen Update des Systems brach dieses bei mir ab, da der update-Prozess in ''/tmp'' nicht genügend Speicherplatz für alle neuen Pakete hatte. Ggf. die Größe der Container-Datei verändern.
  
 +===== Links (Stand Feb'2022) ====
 +https://wiki.ubuntuusers.de/ecryptfs/Einrichten/ \\
 +https://gist.github.com/intrd/46c7d087a08386b17da47e69bf5cab54 \\
 +https://wiki.ubuntuusers.de/LUKS/ \\
 +https://curius.de/2016/01/das-verhalten-entscheidet-ueber-die-wahl-der-verschluesselungsmethode/
  
  
Zuletzt angesehen:
 [[anwenderwiki:linuxclient:home_verschluesselung]] anwenderwiki/linuxclient/home_verschluesselung.txt · Zuletzt geändert: 2022/03/13 10:29 von tobias

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Openschulportfolio Driven by DokuWiki Powered by PHP Valid XHTML 1.0 Valid CSS