Dies ist eine alte Version des Dokuments!
Auf Lehrergeräten ist es sinnvoll zumindest das home-Verzeichnis zu verschlüsseln, da darin oft personenbezogene Daten abgelegt sind. Dazu gibt es verschiedene Varianten:
Zusätzlich zum home sollte auch die swap-Auslagerung (falls vorhanden) und das /tmp-Verzeichnis verschlüsselt werden.
Am einfachsten ist es die Verschlüsselung beim Neuanlegen eines Benutzers gleich mit zu installieren.
Verschlüsselung installieren:
sudo apt install ecryptfs-utils
Neuen Benutzer anlegen:
sudo adduser –-encrypt-home testlehrer
Nun die Benutzerverwaltung aufrufen und ggf. weitere Einstellungen zum Benutzer setzen.
Problem bei ecryptfs: Das home wird beim Abmelden nicht verschlossen, nur beim Herunterfahren. Deshalb in der Datei /etc/pam.d/common-session-noninteractive
folgende Zeile mit „#“ auskommentieren:
... # session optional pam_encryptfs.so unwrap ...
Die dabei erzeugte Passphrase sollte man nun an einem sicheren Ort (z.B. USB-Stick) aufbewahren. Dazu die Passphrase unverschlüsselt extrahieren:
ecryptfs-unwrap-passphrase .ecryptfs/wrapped-passphrase > /media/usbstick/mypassphrase.txt
Alle Befehle als root ausführen. Zuerst die Verschlüsselung installieren:
apt install ecryptfs-utils
Meist gibt es neben /tmp
auch das Verzeichnis /var/tmp
, die man mit einem Link zusammenführt:
# rm –Rf /var/tmp # ln –s /tmp /var/tmp
Nun eine Container-Datei /.crypttmp
der Größe 300 MB erzeugen und (ohne journal) formatieren:
# dd if=/dev/zero of=/.crypttmp count=300 bs=1M # losetup /dev/loop20 /.crypttmp # mkfs.ext4 -O ^has_journal /dev/loop20
In der Datei /etc/crypttab
eine Zeile hinzufügen:
crypttmp /.crypttmp /dev/urandom tmp,size=256, hash=sha256,cipher=aes-cbc-essiv:sha256
In der Datei /etc/fstab
eine Zeile hinzufügen:
/dev/mapper/crypttmp /tmp ext4 defaults 0 2
Mapping starten und Verzeichnis leeren:
# cryptdisks_start crypttmp # rm -Rf /tmp/*
Beim Booten wird jedesmal ein neues /tmp
-Verzeichnis angelegt, formatiert und mit einer (neuen) zufälligen Passphrase (/dev/urandom) verschlüsselt.