Verschlüsselung mit ecryptfs

[PaterPeng]

Hi Forum,

ich kenne ecryptfs aus ubuntu und finde, dass es eine klasse Möglichkeit ist, beispielsweise /home zu verschlüsseln. Leider hab ich das gefühl, dass es bis auf ubuntu von kaum einer Distribution wirklich genutzt wird.Ich arbeite momentan unter Fedora und OpenSuse und hab es bis jetzt nicht zum laufen bekommen.

Immer wenn ich mein /home mit

ecryptfs-migrate-home -u user

verschlüsseln will klappt angeblich alles, aber beim grafischen Login danach wird der Desktop nicht geladen. Wenn ich mich im Textmodus einlogge befinden sich nur eine Datei "access-your-private-data" und eine Readme-Datei in /home.
Muss man ecryptfs noch irgendwelche Anweisungen geben, dass es automatisch beim einloggen entschlüsselt?

In ubuntu klappt es immer prima, allerdings wird da die Verschlüsselung ja schon während der Installation eingerichtet und man sieht nicht, was unter der Haube passiert. Außerdem will ich ubuntu aus verschiedenen Gründen nicht mehr benutzen.Vielleicht kennt ja jemand von euch eine Lösung

 

[dirkk]

Vielleicht kennt ja jemand von euch eine Lösung

Ja, Mint

Kommt halt darauf an, warum du Ubuntu meiden willst, und ob sich dieser Grund auf Mint überträgt.

Aber klar, eine universelle Lösung für ecryptfs wäre natürlich wünschenswert.

P.S. Unterstützt Debian eigentlich ecryptfs?

 

[xsid]

Hallo Lesende,

hier etwas zu Debian:

http://www.andreas-janssen.de/cryptodisk.html

DM-Crypt

Der Linux-Devicemapper ist eine Softwareschicht, die man zwischen der Dateisystemebene und den darunterliegenden Geräten und Partitionen einschieben kann. Er kann nicht nur für Verschlüsselung verwendet werden, sondern bildet auch die Grundlage für DM-RAID und den Logical Volume Manager (LVM) .

Der Devicemapper verknüpft vorhandene Partitionen mit virtuellen Blockgeräten. Im Betrieb, zum Beispiel beim Mounten, greift man nun auf die virtuellen Geräte zu, alle Zugriffe auf diese werden dann durch den Devicemapper geschleust. Bei dm-crypt findet an dieser Stelle die Verschlüsselung und Entschlüsselung statt. Beim Erstellen der Verknüpfung zu einer verschlüsselten Partition wird das Passwort oder der Schlüssel angegeben. Diesen behält der Devicemapper im Speicher und kann so ohne weiteren Eingriff alle Zugriffe abwickeln bis die Partition wieder gesperrt oder das System neu gestartet wird. Hier ein Beispiel mit /dev/hda3 als verschlüsselter Partition:

...................................................... usw.
.

Oder die Variante mit Truecrypt:

http://privat.heinzelzwerg.de/howtos/debian/truecrypt/


(K)Ubuntu ist halt wesentlich bequemer einzurichten.
Quick and Dirty.

MfG

xsid

 

[Evilandi666]

[...]

In ubuntu klappt es immer prima, allerdings wird da die Verschlüsselung ja schon während der Installation eingerichtet und man sieht nicht, was unter der Haube passiert. Außerdem will ich ubuntu aus verschiedenen Gründen nicht mehr benutzen.Vielleicht kennt ja jemand von euch eine Lösung

Jap. /etc/pam.d/gdm und /etc/pam.d/login anpassen

Hier steht die Anleitung für Archlinux, sollte analog für alle Distris ähnlich sein. (Kann Fedora das neuerdings nicht ootb beim installieren?)

Da hab ich damals in Arch auch ewig mit rumgekämpft - falls du unsicher bist, kannst ja mal in einem Ubuntu (mit verschlüsseltem Home) in die Dateien schauen, sollte dort auch so ähnlich aussehen...

Edit: Fullquote mal entfernt, vergessen zu kürzen

 

[PaterPeng]

Ha! Vielen Dank - das sieht nach der Lösung für mein Problem aus. Ich werde das mal in einer virtuellen Maschine ausprobieren.

 

[xsid]

Und PaterPeng,

welchen Weg willst Du gehen und warum diesen?
Berichte doch wie es weiter geht.

Am schönsten ist es, wenn das Verfahren standardmäßig im Kernel integriert ist.
Truecrypt ist sehr gut für USB Sticks oder einzelne Container auf der HDD.
Truecrypt gibt es für Linux und für Windows.

MfG

xsid

 

[PaterPeng]

Ich möchte den ecryptfs-Weg gehen, da er nicht mit dem TRIM-Befehl für die SSD kollidiert und mir die Freiheit lässt, die Partitionierung später sehr leicht zu ändern, da ja nur mein /home verschlüsselt ist.In der VM hats nach deinem Weg gerade nicht geklappt, kann aber auch sein, dass ich was vergessen hab. Ich weiß aber jetzt wo ich suchen muss und wenn ich mehr Zeit habe werde ich mich nochmal dran setzen. Truecrypt benutze ich für mein externen Festplatten - dafür ist es auch super, aber das TRIM versus Verschlüsselung ist für mich eigentlich ein KO-Argument.

 

[xsid]

Hallo PaterPeng,

nutzt Du deine externen HDDs in der Art wie folgt:


http://www.selbstdatenschutz.info/linux/externe_datentraeger_verschluesseln/

Automatische Einrichtung mit Hilfe einer grafischer Oberfläche

Achtung: Wird bei einer manuellen Einrichtung der falsche Gerätename verwendet, führt dies unter Umständen zur kompletten Löschung anderer Datenträger!

Laien, die Ubuntu oder Debian nutzen, sei deshalb die einfach zu nutzende grafische Oberfläche USBCryptFormat emfohlen, die von vorne herein nur die Auswahl externer Datenträger zulässt und alle nachfolgenden Schritte automatisch erledigt.

Andernfalls müssen folgende Schritte ausgeführt werden:
Manuelle Einrichtung per Konsole

Einmalige Einrichtung des verschlüsselten externen Datenträgers:
Falls noch nicht geschehen, das Paket cryptsetup installieren. Bei Debian und Ubuntu funktioniert das mit folgendem Befehl: sudo apt-get install cryptsetup
Falls der Datenträger noch eingehängt ("gemountet") ist, unbedingt vor dem Ausführen der nächsten Schritte aushängen!
Vorherige Daten löschen (dies kann bei grossen Festplatten Stunden dauern): sudo dd bs=2M if=/dev/urandom of=/dev/Gerätename_der_Partition
Datenträger zum verschlüsselten Device formatieren (dabei bei der entsprechenden Sicherheitsabfrage in Grossbuchstaben YES eintippen): sudo cryptsetup luksFormat /dev/Gerätename_der_Partition
Devicemapper öffnen: sudo cryptsetup luksOpen /dev/Gerätename_der_Partition crypt_extern
Im eben geöffneten verschlüsselten Bereich ein Dateisystem anlegen: sudo mkfs.ext3 /dev/mapper/crypt_extern
Das Dateisystem mounten: mount /dev/mapper/crypt_extern /mnt
Rechte setzen: chown 1000:1000 /mnt
Dateisystem aushängen: umount /dev/mapper/crypt_extern
Devicemapper schliessen: sudo cryptsetup luksClose crypt_extern
Einmalige Einrichtung bei weiteren Rechnern, mit denen der verschlüsselte Datenträger genutzt werden soll
Falls noch nicht vorhanden, auch hier das Paket cryptsetup installieren (siehe ersten Schritt oben)
Nutzung des verschlüsselten externen Datenträgers

Nutzung bei Debian oder Ubuntu mit Gnome - Oberfläche (Standard):
Externen Datenträger anschliessen
Passwortabfrage korrekt beantworten
Verschlüsselten Datenträger nutzen

MfG

xsid

 

[PaterPeng]

Nein, ich habe auf den externen je nen fetten Container restellt und mounte bei bedarf von Hand. Das ist mM nach flexibler.Zum Problem mit ecryptfs habe ich noch Lesestoff gefunden, falls es jemanden interessiert:https://bugzilla.redhat.com/show_bug.cgi?id=487088 . Ich habe leider grade einfach zu wenig Zeit, mich mehr damit zu beschäftigen.

 

[linrunner]

@xsid: Du bist hier stark OT mit deiner Beratung zu dm-crypt und Truecrypt. PaterPeng möchte nunmal ecryptfs machen ...

 

[xsid]

Hallo,

Zitat:

Ich möchte den ecryptfs-Weg gehen, da er nicht mit dem TRIM-Befehl für die SSD kollidiert und mir die Freiheit lässt, die Partitionierung später sehr leicht zu ändern,

Ich wollte nichts zerreißen.

Die Gründe sind mir nun plausibel.

MfG

xsid

 

[PaterPeng]

Zu ecryptfs und Fedora habe ich folgendes gefunden: http://fedoraproject.org/wiki/Features/EcryptfsAuthConfig (werde es heute Abend mal ausprobieren)Außerdem gibt es für das Problem SSD/Verschlüsselung eine weitere Lösung: dm-crypt kann ab Kernel 3.1 dem SSD-Controller "mitteilen", dass Blöcke auf verschlüsselten Volumes frei sind:http://www.heise.de/open/artikel/Kernel-Log-Was-3-1-bringt-2-Storage-und-Dateisysteme-1337619.html

 

[Evilandi666]

Ja, muss man aber von Hand einschalten und das soll man wohl lassen solange es keine richtigen Userland-Tools dafür gibt ... und keiner genau weiß wie es sich auf die Verschlüsselung auswirkt. (stand neulich irgendwo).

Bin aber auch gespannt darauf, ecryptfs ist auch nicht der Weisheit letzter Schluss.

 

[PaterPeng]

Ja, werde wohl schauen, das ganze bald mit Fedora 16 und dm-crypt zu machen.

Hier noch ein aktueller Bugreport zu F15.
https://bugzilla.redhat.com/show_bug.cgi?id=712048

Wie verschlüsselt ihr denn eure SSDs? Oder habt ihr die unverschlüsselt.?

 

[Evilandi666]

Bei mir $Home via ecryptfs.

 

[yatpu]

eigentlich sollte das gehen mit dem trim-befehl. das tool fstrim sendet den entsprechenden befehl an den fs-"treiber" und der reicht es einfach an die schicht darunter weiter bis dm-crypt es letztendlich an die ssd schickt. iirc fehlt die unterstützung lediglich bei dm-crypt. ezt4 und lvm haben es ja schon afaik.

 

[PaterPeng]

So, ich hab es mit der oben verlinkten Anleitung (->authconfig) hinbekommen, dass das Verzeichnis "Private" beim login automatisch entschlüsselt wird und speichere alle sensiblen Daten und mein Thunderbird-Profil darin. Jetzt sind die heiklen Sachen unter Verschluss und Trim funktioniert trotzdem

 

[dirkk]

Kannst du bitte nochmal "zum Mitschreiben" zusammenfassen, welche Produkte du nun (erfolgreich) einsetzt? Also: Distri, Version...... ecryptfs oder dm-crypt? Danke.

BTW: Da ich das Thema Verschlüsselung der Daten (insbesondere /HOME) sehr interessant finde (ich selbst verwende ecryptfs auf Ubuntu/Mint), fände ich einen Übersichtsartikel / -Thread zu dem Thema eine gute Idee, in dem für die wichtigsten Distris (Debian, Fedora, Ubuntu, Mint, openSuse...) verschiedene Möglichkeiten der Verschlüsselung aufgelistet werden mit ihren Vor- und Nachteilen, wie sie auf den verschiedenen Distris laufen (oder nicht). Geschwindigkeit, Datensicherheit (insbesondere auch gegen Verlust der Daten durch einen Fehler), und die Thematik SSD / TRIM...

Wenn es das schon gibt (Link?), umso besser...

 

[PaterPeng]

Gerne!

OS: Fedora 15 mit Gnome 3
Verschlüsselung: ecryptfs nach dieser Anleitung:

1. Add yourself to the ecryptfs group.
2. Set up an ecryptfs private area under ~/Private using ecryptfs-setup-private.
3. Mount it with ecryptfs-mount-private and create a few files in it. Unmount it with ecryptfs-umount-private.
4. Enable ecryptfs using authconfig (e.g. setting USEECRYPTFS=yes under /etc/sysconfig/authconfig and rerunning authconfig-tui --updateall)
5. Log out and log back in.
6. mount should show an ecryptfs mount for ~/Private and the files you created in step 3 should show up.
7. Log out and log in as root.
8. The ecryptfs mount should not be there anymore.

Quelle: http://fedoraproject.org/wiki/Features/EcryptfsAuthConfig

Der Ordner Private wird bei jedem login entschlüsselt und bei jedem logout verschlüsselt. Ich bewahre darin eigentlich alle Daten auf, die Sonst in /home direkt gespeichert werden; Dokumente, Bilder, Thunderbird-Profil usw.

Da wir grade beim Thema sind und die Frage vor kurem hier im Linux-Bereich aufkam: thinkfan funktioniert auch mit Fedora Ich hab es einfach kompiliert und hab brav gemacht, was im Readme steht.
Und tp-smapi auch geht dank folgendem Thread: http://thinkpad-forum.de/threads/106923-tp_smapi-und-akmod/

Ich bin wirklich sehr zufrieden mit Fedora. Es kommt mir deutlich schlanker und stabiler als Ubuntu vor.

Edit: Der Monster-SSD-Artikel bei ubuntuusers.de ist dir bekannt?
Ein vollverschlüsseltes /home mit ecryptfs-migrate-home habe ich nur bei ubuntu und debian squeeze hinbekommen. In Opensuse und Fedora scheint nur meine hier beschriebene Methode oder dm-crypt (das aber leider ohne trim) zu funktionieren. Wenn weiteres Interesse besteht könnten wir schon nen extra "übersichtsthread" aufmachen...