Zur Zeit existieren Sicherheitsprobleme mit eCrypFS und systemd. Ein Einsatz ist nicht mehr zu empfehlen. Siehe auch: eCryptFS – Unsicher und nicht mehr gepflegt?

eCryptFS ist eine native Verschlüsselungslösung für Linux-Systeme. Im Unterschied zu LUKS (dm-crypt) oder Truecrypt verschlüsselt es die Daten nicht in Containern, sondern auf Dateibasis. Jede Datei wird einzeln verschlüsselt und bei Bedarf entschlüsselt. eCryptFS ist deshalb keine Lösung um eine Vollverschlüsselung des Betriebssystems zu ermöglichen, es ist aber hervorragend geeignet um beispielsweise die Benutzerdaten zu verschlüsseln. eCryptFS ist dadurch in hohem Maße Mehrbenutzerfähig, da die Benutzerdaten jedes Benutzers durch dessen individuelles Benutzerpasswort ver- und entschlüsselt werden. Dies geschieht automatisch beim Login. Damit unterscheidet sich eCryptFS von LUKS oder Truecrypt, die beide direkt nach dem Bootloader und vor dem Start des Betriebssystems ein Kennwort abfragen.

Ubuntu und seine Derivate boten bis zur Version 18.04 eine Verschlüsselung via eCryptfs bereits bei der Installation an. Man musste lediglich einen Haken bei Benutzerdaten verschlüsseln setzen. Die folgende Anleitung zeigt wie man die Benutzerdaten unter jeder anderen Linux-Distribution mit eCryptFS verschlüsselt. Diese Anleitung lässt sich auf einem bereits installierten Linux-System durchführen und Bedarf keiner Neuinstallation. Das eigentliche Betriebssystem auf der root-Partition bleibt davon unberührt, aber dort finden sich ja auch nur selten persönliche Daten.

ECryptFS nachträglich einrichten

[yt_message_box type=“error“ close=“no“ yt_title=“Achtung!“ ]Vor dem Durchführen der Anleitung ist ein Backup der Benutzerdaten durchzuführen. Fehler können zum Verlust aller Daten auf dem System führen. Die Anleitung wurde getestet und hat auf mehreren Systemen des Autos funktioniert. Dennoch ist nicht auszuschließen, dass es unter besonderen – nicht vorhersehbaren Bedingungen – zu Problemen kommen kann. [/yt_message_box]

Zuerst installiert man eCryptfs und prüft ob das entsprechende Modul geladen ist:

# apt-get install ecryptfs-utils rsync

# modprobe ecryptfs

Danach muss der Benutzer, dessen Homeverzeichnis verschlüsselt werden soll abgemeldet werden. Nach einem Wechsel auf die Konsole prüft man zur Sicherheit noch ob der laufende Displaymanager beendet ist. Das Kommandi hängt von der eingesetzten Distribution und dem verwendeten Loginmanager ab. Im Fall von Ubuntu 14.04 und Debian 8.0 mit LightDM wäre dies:

# /etc/init.d/lightdm stop

Nun verschlüsseln man die Benutzerdaten. Je mehr Daten bereits in der Homepartition liegen, desto länger dauert der Vorgang.

# ecryptfs-migrate-home -u <benutzername>

Danach werden einige Hinweise angezeigt, die ich hier der Vollständigkeit halber mal wiedergeben möchte. Diese sind natürlich zu befolgen.

[yt_highlighter label=“Hinweise“ linenums=“yes“ ]Some Important Notes!

The file encryption appears to have completed successfully, however, USERNAME MUST LOGIN IMMEDIATELY, _BEFORE_THE_NEXT_REBOOT_, TO COMPLETE THE MIGRATION!!!

If USERNAME can log in and read and write their files, then the migration is complete, and you should remove /home/USERNAME.xxxxxxxxx. Otherwise, restore /home/USERNAME.xxxxxx back to /home/USERNAME.

USERNAME should also run ‘ecryptfs-unwrap-passphrase’ and record their randomly generated mount passphrase as soon as possible.

To ensure the integrity of all encrypted data on this system, you should also encrypted swap space with ‘ecryptfs-setup-swap’. [/yt_highlighter]

Das heißt, zuerst meldet man sich wieder an, indem man den Displaymanager startet. Vorausgesetzt man verwendet Ubuntu oder Debian und LightDM, geschieht dies mit folgendem Kommando.

# /etc/init.d/lightdm start

Danach prüft man ob die Dateiverschlüsselung funktioniert hat, indem man einige Dateien probehalber öffnet. Sofern das der Fall sein sollte kann man die den doppelten Homeverzeichnisordner in /home/ löschen.

$ sudo rm -r /home/<benutzername>.xxxxx # xxxxx steht für die Zeichenabfolge

Sofern man eine SWAP Partition hat muss man diese nun ebenfalls verschlüsseln und die Passphrase sollte man sich notieren und sicher aufheben.

Gerrit
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Kommentare werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein