eCryptFS - Benutzerdaten verschlüsseln
eCryptFS ist eine native Verschlüsselungslösung für Linux-Systeme. Im Unterschied zu LUKS (dm-crypt) oder Truecrypt verschlüsselt es die Daten nicht in Containern, sondern auf Dateibasis. Jede Datei wird einzeln verschlüsselt und bei Bedarf entschlüsselt. eCryptFS ist deshalb keine Lösung um eine Vollverschlüsselung des Betriebssystems zu ermöglichen, es ist aber hervorragend geeignet um beispielsweise die Benutzerdaten zu verschlüsseln. eCryptFS ist dadurch in hohem Maße Mehrbenutzerfähig, da die Benutzerdaten jedes Benutzers durch dessen individuelles Benutzerpasswort ver- und entschlüsselt werden. Dies geschieht automatisch beim Login. Damit unterscheidet sich eCryptFS von LUKS oder Truecrypt, die beide direkt nach dem Bootloader und vor dem Start des Betriebssystems ein Kennwort abfragen.
Ubuntu und seine Derivate boten bis zur Version 18.04 eine Verschlüsselung via eCryptfs bereits bei der Installation an. Man musste lediglich einen Haken bei Benutzerdaten verschlüsseln setzen. Die folgende Anleitung zeigt wie man die Benutzerdaten unter jeder anderen Linux-Distribution mit eCryptFS verschlüsselt. Diese Anleitung lässt sich auf einem bereits installierten Linux-System durchführen und Bedarf keiner Neuinstallation. Das eigentliche Betriebssystem auf der root-Partition bleibt davon unberührt, aber dort finden sich ja auch nur selten persönliche Daten.
ECryptFS nachträglich einrichten
[yt_message_box type="error" close="no" yt_title="Achtung!" ]Vor dem Durchführen der Anleitung ist ein Backup der Benutzerdaten durchzuführen. Fehler können zum Verlust aller Daten auf dem System führen. Die Anleitung wurde getestet und hat auf mehreren Systemen des Autos funktioniert. Dennoch ist nicht auszuschließen, dass es unter besonderen - nicht vorhersehbaren Bedingungen - zu Problemen kommen kann. [/yt_message_box]
Zuerst installiert man eCryptfs und prüft ob das entsprechende Modul geladen ist:
# apt-get install ecryptfs-utils rsync
# modprobe ecryptfs
Danach muss der Benutzer, dessen Homeverzeichnis verschlüsselt werden soll abgemeldet werden. Nach einem Wechsel auf die Konsole prüft man zur Sicherheit noch ob der laufende Displaymanager beendet ist. Das Kommandi hängt von der eingesetzten Distribution und dem verwendeten Loginmanager ab. Im Fall von Ubuntu 14.04 und Debian 8.0 mit LightDM wäre dies:
# /etc/init.d/lightdm stop
Nun verschlüsseln man die Benutzerdaten. Je mehr Daten bereits in der Homepartition liegen, desto länger dauert der Vorgang.
# ecryptfs-migrate-home -u <benutzername>
Danach werden einige Hinweise angezeigt, die ich hier der Vollständigkeit halber mal wiedergeben möchte. Diese sind natürlich zu befolgen.
[yt_highlighter label="Hinweise" linenums="yes" ]Some Important Notes!
The file encryption appears to have completed successfully, however, USERNAME MUST LOGIN IMMEDIATELY, _BEFORE_THE_NEXT_REBOOT_, TO COMPLETE THE MIGRATION!!!
If USERNAME can log in and read and write their files, then the migration is complete, and you should remove /home/USERNAME.xxxxxxxxx. Otherwise, restore /home/USERNAME.xxxxxx back to /home/USERNAME.
USERNAME should also run ‘ecryptfs-unwrap-passphrase’ and record their randomly generated mount passphrase as soon as possible.
To ensure the integrity of all encrypted data on this system, you should also encrypted swap space with ‘ecryptfs-setup-swap’. [/yt_highlighter]
Das heißt, zuerst meldet man sich wieder an, indem man den Displaymanager startet. Vorausgesetzt man verwendet Ubuntu oder Debian und LightDM, geschieht dies mit folgendem Kommando.
# /etc/init.d/lightdm start
Danach prüft man ob die Dateiverschlüsselung funktioniert hat, indem man einige Dateien probehalber öffnet. Sofern das der Fall sein sollte kann man die den doppelten Homeverzeichnisordner in /home/ löschen.
$ sudo rm -r /home/<benutzername>.xxxxx # xxxxx steht für die Zeichenabfolge
Sofern man eine SWAP Partition hat muss man diese nun ebenfalls verschlüsseln und die Passphrase sollte man sich notieren und sicher aufheben.
Tags: Verschlüsselung, eCryptFS
