Dies ist eine alte Version des Dokuments!
Auf Lehrergeräten ist es sinnvoll zumindest das home-Verzeichnis zu verschlüsseln, da darin oft personenbezogene Daten abgelegt sind. Dazu gibt es verschiedene Varianten:
Zusätzlich zum home sollte auch die swap-Auslagerung (falls vorhanden) und das /tmp-Verzeichnis verschlüsselt werden.
Verschlüsselung installieren:
apt install ecryptfs-utils
Verschlüsselung installieren:
apt install ecryptfs-utils
Meist gibt es neben /tmp
auch das Verzeichnis /var/tmp
, die man mit einem Link zusammenführt:
# rm –Rf /var/tmp # ln –s /tmp /var/tmp
Nun eine Container-Datei /.crypttmp
der Größe 300 MB erzeugen und (ohne journal) formatieren:
# dd if=/dev/zero of=/.crypttmp count=300 bs=1M # losetup /dev/loop20 /.crypttmp # mkfs.ext4 -O ^has_journal /dev/loop20
In der Datei /etc/crypttab
eine Zeile hinzufügen:
crypttmp /.crypttmp /dev/urandom tmp,size=256, hash=sha256,cipher=aes-cbc-essiv:sha256
In der Datei /etc/fstab
eine Zeile hinzufügen:
/dev/mapper/crypttmp /tmp ext4 defaults 0 2
Mapping starten und Verzeichnis leeren:
# cryptdisks_start crypttmp # rm -Rf /tmp/*
Beim Booten wird jedesmal ein neues /tmp
-Verzeichnis angelegt, formatiert und mit einer (neuen) zufälligen Passphrase (/dev/urandom) verschlüsselt.