Auf Lehrergeräten ist es sinnvoll zumindest das home-Verzeichnis zu verschlüsseln, da darin oft personenbezogene Daten abgelegt sind. Dazu gibt es verschiedene Varianten:

1. LUKS - verschlüsselt nur ganze Partitionen, performant
2. ecryptfs - verschlüsselt einzelne Verzeichnisse
3. systemd-homed - für home-Verzeichnisse (in Entwicklung)

Zusätzlich zum home sollte auch die swap-Auslagerung (falls vorhanden) und das /tmp-Verzeichnis verschlüsselt werden.

Am einfachsten ist es die Verschlüsselung beim Neuanlegen eines Benutzers gleuichmit zu installieren. Verschlüsselung installieren:

sudo apt install ecryptfs-utils

Neuen Benutzer anlegen:

Verschlüsselung installieren:

apt install ecryptfs-utils

Meist gibt es neben /tmp auch das Verzeichnis /var/tmp, die man mit einem Link zusammenführt:

# rm –Rf /var/tmp
# ln –s /tmp /var/tmp

Nun eine Container-Datei /.crypttmp der Größe 300 MB erzeugen und (ohne journal) formatieren:

# dd if=/dev/zero of=/.crypttmp count=300 bs=1M
# losetup /dev/loop20 /.crypttmp
# mkfs.ext4 -O ^has_journal /dev/loop20

In der Datei /etc/crypttab eine Zeile hinzufügen:

crypttmp /.crypttmp /dev/urandom tmp,size=256, hash=sha256,cipher=aes-cbc-essiv:sha256

In der Datei /etc/fstab eine Zeile hinzufügen:

/dev/mapper/crypttmp /tmp ext4 defaults 0 2

Mapping starten und Verzeichnis leeren:

# cryptdisks_start crypttmp
# rm -Rf /tmp/*

Beim Booten wird jedesmal ein neues /tmp-Verzeichnis angelegt, formatiert und mit einer (neuen) zufälligen Passphrase (/dev/urandom) verschlüsselt.