Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
anwenderwiki:linuxclient:home_verschluesselung [2022/02/04 21:20] – [Verschlüsselung des home-Verzeichnisses] martin.res | anwenderwiki:linuxclient:home_verschluesselung [2022/03/13 10:29] (aktuell) – tobias | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
====== Verschlüsselung des home-Verzeichnisses ====== | ====== Verschlüsselung des home-Verzeichnisses ====== | ||
Auf Lehrergeräten ist es sinnvoll zumindest das home-Verzeichnis zu verschlüsseln, | Auf Lehrergeräten ist es sinnvoll zumindest das home-Verzeichnis zu verschlüsseln, | ||
- | - **LUKS** - verschlüsselt nur ganze Partitionen, | + | - **LUKS** - verschlüsselt nur ganze Partitionen |
- | - **ecryptfs** - verschlüsselt | + | - **ecryptfs** - verschlüsselt Verzeichnisse |
- **systemd-homed** - für home-Verzeichnisse (in Entwicklung) | - **systemd-homed** - für home-Verzeichnisse (in Entwicklung) | ||
Zusätzlich zum home sollte auch die swap-Auslagerung (falls vorhanden) und das / | Zusätzlich zum home sollte auch die swap-Auslagerung (falls vorhanden) und das / | ||
+ | |||
+ | ===== Alternative 1: Verschlüsselung eines home-Verzeichnisses mit ecrptfs ===== | ||
+ | |||
+ | Da das Betriebssystem Ubuntu und die home-Partition bei meiner Konfiguration (Sync mit LINBO) auch unverschlüsselte Daten enthalten, kam nur die Verschlüsselung ecryptfs in Frage. | ||
< | < | ||
- | ===== Verschlüsselung eines home-Verzeichnisses | + | |
+ | |||
+ | Am einfachsten ist es die Verschlüsselung | ||
Verschlüsselung installieren: | Verschlüsselung installieren: | ||
- | apt install ecryptfs-utils | + | |
+ | Neuen Benutzer anlegen: | ||
+ | sudo adduser –-encrypt-home testlehrer | ||
+ | Nun die Benutzerverwaltung aufrufen und ggf. weitere Einstellungen zum Benutzer setzen.\\ | ||
+ | **Problem bei ecryptfs**: Das home wird beim Abmelden nicht verschlossen, | ||
+ | ... | ||
+ | # session optional pam_encryptfs.so unwrap | ||
+ | ... | ||
+ | |||
+ | Die dabei erzeugte Passphrase "'' | ||
+ | ecryptfs-unwrap-passphrase .ecryptfs/ | ||
+ | <note important> | ||
===== Verschlüsselung des / | ===== Verschlüsselung des / | ||
- | Verschlüsselung | + | Alle Befehle als root ausführen. Zuerst die Verschlüsselungs-Pakete |
- | apt install ecryptfs-utils | + | apt install ecryptfs-utils |
Meist gibt es neben ''/ | Meist gibt es neben ''/ | ||
Zeile 27: | Zeile 44: | ||
# mkfs.ext4 -O ^has_journal /dev/loop20 | # mkfs.ext4 -O ^has_journal /dev/loop20 | ||
In der Datei ''/ | In der Datei ''/ | ||
- | | + | crypttmp /.crypttmp / |
In der Datei ''/ | In der Datei ''/ | ||
- | | + | / |
Mapping starten und Verzeichnis leeren: | Mapping starten und Verzeichnis leeren: | ||
# cryptdisks_start crypttmp | # cryptdisks_start crypttmp | ||
# rm -Rf /tmp/* | # rm -Rf /tmp/* | ||
- | Beim Booten wird jedesmal ein neues ''/ | + | Beim Booten wird jedesmal ein neues ''/ |
+ | **Problem: | ||
+ | |||
+ | ==== Links (Stand Feb' | ||
+ | https:// | ||
+ | https:// | ||
+ | https:// | ||
+ | https:// | ||
+ | |||
+ | ===== Alternative 2: Verschlüsselung des Home und tmp mit LUKS ===== | ||
+ | |||
+ | In meiner Variante wird das Unterverzeichnis eines Benutzers mit frei wählbarem Benutzernamen, | ||
+ | |||
+ | Ich partitioniere daher den Client so: | ||
+ | < | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | </ | ||
+ | |||
+ | |||
+ | * lokaler Vor-Installations-Benutzer '' | ||
+ | |||
+ | # groupadd -g 1066 alex | ||
+ | # useradd -d /home/alex -k / | ||
+ | # echo ' | ||
+ | |||
+ | * ''/ | ||
+ | |||
+ | mv /var/tmp/* /tmp/ | ||
+ | mv / | ||
+ | rmdir /var/tmp/ | ||
+ | ln -s /tmp /var/tmp | ||
+ | echo " | ||
+ | echo "/ | ||
+ | |||
+ | * das turnkey-Skript auf dem Desktop von Alexander, das per sudo folgende Aktionen durchführt: | ||
+ | * Abfrage von Benutzername und Passwort für das neue Konto (uid/gid: 1067) | ||
+ | * Abfrage, ob ein Administrationsschlüssel hinterlegt werden sollte (''/ | ||
+ | * Benutzer- und Gruppe werden angelegt: $newuser mit $newpw | ||
+ | |||
+ | # groupadd -g 1067 $newuser | ||
+ | # useradd -m -d / | ||
+ | # echo ' | ||
+ | |||
+ | * Containerverschlüsselung der Homepartition erstellt | ||
+ | |||
+ | # cryptsetup luksFormat --use-random -c aes-xts-plain64 -s 512 -h sha512 -y / | ||
+ | |||
+ | WARNUNG! | ||
+ | ======== | ||
+ | Hiermit werden die Daten auf »/ | ||
+ | |||
+ | Sind Sie sicher? (Tippen Sie ' | ||
+ | Geben Sie die Passphrase für »/ | ||
+ | Passphrase bestätigen: | ||
+ | |||
+ | * Eventuell Administrationsschlüssel hinterlegen: | ||
+ | |||
+ | # printf $newpw | cryptsetup luksAddKey / | ||
+ | |||
+ | * Container öffnen und formatieren | ||
+ | |||
+ | # printf $newpw | cryptsetup luksOpen / | ||
+ | # mkfs.ext4 / | ||
+ | |||
+ | * sudo-Rechte bei Wunsch vergeben | ||
+ | * Deaktivierung von Konto " | ||
+ | * Damit das Home-Verzeichnis bei der Anmeldung auch geöffnet und als / | ||
+ | |||
+ | < | ||
+ | |||
+ | <?xml version=" | ||
+ | < | ||
+ | < | ||
+ | <debug enable=" | ||
+ | <volume user=" | ||
+ | < | ||
+ | wilhelm | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | |||
+ | </ | ||
+ | |||
+ | ==== Skriptvorschlag ==== | ||
+ | |||
+ | |||
+ | ==== Links (Stand: März 2022) ==== | ||
+ | * Siehe Diskussion und Skriptvorschlag hier: https:// | ||
+ | * https:// | ||
+ | * https:// | ||
+ | * https:// | ||
+ | * https:// |