/home Laufwerk nachträglich verschlüsseln

Hinweis: In dem Thema /home Laufwerk nachträglich verschlüsseln gibt es 6 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.

    wir haben ein Notebook mit einer 74 GByte großen Homepartition. Es läuft unter Leap 15.5. Wir werden demnächst auf eine mehrmonatige Rucksackreise mit vielen Nächten in Hostels und Ueber gehen und ich möchte das Homelaufwerk verschlüsseln. Im home-Laufwerk befinden sich aktuell die Daten des Banking Programms Jameica und die lokalen Folder von thunderbird. Ich kenne die Diskussionen über die Sicherheit von verschlüsselten Laufwerken, möchte aber wenigstens eine kleine zusätzliche Hürde einbauen.


    Wie kann ich eine vorhandene home-Partition nachträglich verschlüsseln ? Arbeiten an gemounteten Partitionen sind nicht möglich. Und ich kann mir nicht vorstellen , bei einem laufenden System /home zu unmounten.

    Ich hatte mir folgenden Weg überlegt


    1. Sichern aller Daten von /home

    2. Starten eines Live-Systems

    3. Mit gparted oder YAST die alte /home Partition in eine verschlüsselte /home Partition umwandeln. Also Partition löschen, neu formatieren als verschlüsseltes Dateisystem und als neues /home einbinden. Damit hätte ich eine leere, aber verschlüsselte /home Partition

    4. Neustart und Rücksichern der Daten auf die neue /home Partition


    Gibt es Erfahrungen zu einem solchen Vorgehen ? Wie denken die Experten darüber. Ich

    Für den Inhalt des Beitrages 311777 haftet ausdrücklich der jeweilige Autor: rebell21

    systemd-homed - Verschlüsselte Home-Verzeichnisse und mehr • Curius
    Aktuell gilt bei Linux auf dem Desktop: Ganz oder gar nicht. Entweder eine Vollverschlüsselung mit LUKS oder ein unverschlüsseltes System. Ältere Lösungen wie
    curius.de

    habe ich das richtig verstanden ? Es ist überhaupt nicht möglich nur einzelne Partitionen zu verschlüsseln, sondern ich muss alles verschlüsseln oder nichts.


    Ich möchte mein /root Laufwerk wegen Snapshots nicht verschlüsseln

    Für den Inhalt des Beitrages 311781 haftet ausdrücklich der jeweilige Autor: rebell21

    Moin zusammen,


    ich bin neu im Forum und gerade eben bei OpenSuse angekommen. Linux im Allgemeinen betreibe ich schon seit einigen Jahren, insofern ist eine gewisse Erfahrung vorhanden.


    Ich würde zu dem Thema gerne etwas schreiben, da ich mich in den vergangenen Wochen/Monaten ausgiebig mit Verschlüsselung unter Linux im Allgemeinen beschäftigt habe. Und es sieht schlechter aus als man denken mag. Aktuell ist eigentlich nur LUKS2 + Argon2ID als wirklich sicher zu bezeichnen. Das können schon mal viele Distros per Installer gar nicht bereitstellen. Hier gibt es das Problem, das GRUB aktuell nicht in der Lage ist solch eine Partition zu entsperren. Insofern behelfen sich einiges Distros mit einer kleinen unverschlüsselten BOOT-Partition, über die dann die LUKS Partition entsperrt wird. Übrigens zu erkennen an dem grafischen Entsperr-Bildschirm (z.B. Fedora oder Ubuntu). Alternativ kann man sich eine gepatchte GIT-Variante von GRUB besorgen, die solch eine LUKS Partition entsperren kann, dafür allerdings mangels Optimierung sehr lange benötigt (ca. 30sec). Zudem eher Bastel-Lösung.


    Vor dem oben verlinkten systemd-homed kann ich aus persönlicher Erfahrung nur warnen. In meinen Augen ist es noch nicht ausgereift und steht meines Wissen unter LEAP gar nicht offiziell zur Verfügung. Ich habe systemd-homed auf zwei anderen Distros jeweils ca. 2 Wochen betrieben und endete beide Male in einem nicht mehr zu öffnenden LUKS Container, sodass ich auf meine Daten im Home nicht mehr zugreifen konnte. Auf Recherche & Versuche der Reparatur habe ich verzichtet, da die Lösung für mich schon raus war. Das muss einfach zuverlässig laufen.


    Welche Möglichkeiten gibt es denn aktuell überhaupt?


    Kurzer Überblick (ggf. unvollständig):


    - Komplette Partition verschlüsseln mit LUKS -> Unkomfortabel, da 2x Kennwort erforderlich & Problematik wie oben erläutert

    - Systemd-homed verwenden -> nach meiner Erfahrung noch unzuverlässig - siehe Erläuterung oben

    - Einen LUKS Container erzeugen und per LOOP Device nach der Anmeldung als Home einhängen -> Es gibt dazu einige HowTo's, halte ich aber eher für eine Bastellösung (Funktion ähnlich wie systemd-homed)

    - Ecryptfs verwenden und das Home Verzeichnis per PAM.MOUNT nach der GUI-Anmeldung automatisch entsperren und einhängen -> ecryptfs ist EOL, wird nicht mehr aktiv entwickelt und gilt als veraltet

    - Gocryptfs verwenden und ebenfalls per PAM.MOUNT nach der Anmeldung automatisch einhängen -> Nur 1x anmelden, zudem wird Gocryptfs aktiv entwickelt und gilt als ziemlich sicher.


    Ich nutze aktuell die Lösung mit Gocryptfs in Verbindung mit Tumbleweed und es funktioniert bisher sehr zuverlässig. Sollte mit Leap ebenfalls funktionieren. Problem könnte hierbei sein, dass ich kein HowTo für OpenSuse gefunden habe. Man muss also vorhandene Anleitungen etwas "umdenken" auf Suse. Bei Interesse würde ich ein HowTo erstellen und hier im Forum zur Verfügung stellen.


    Diese Lösung funktioniert zudem auch einwandfrei in Verbindung mit Snapper und mit dem BTRFS Layout, das OpenSuse bereitstellt um Snapshots erstellen und z.B. booten zu können. Übrigens einer der Gründe, warum ich zu OpenSuse gewechselt bin. Richtig klasse gemacht.


    EDIT:


    - Durch die Tatsache, das LUKS in den Kernel integriert ist und Gocryptfs per FUSE läuft, ergeben sich leichte Nachteile in der Schreib/Lesegeschwindigkeit.

    - per Gocryptfs eingehänge Home Verzeichnisse könne nach dem Abmelden meist nicht wieder ausgehängt werden, da Prozesse (Audio) noch zugreifen. Die Daten bleiben also lesbar.



    Gruß,

    Max

    3 Mal editiert, zuletzt von maxblue ()

    Für den Inhalt des Beitrages 311782 haftet ausdrücklich der jeweilige Autor: maxblue

    super danke für die schöne Aufbereitung


    Was haltet Ihr von folgendem Artikel


    Home-Partition mit LUKS verschlüsseln und bei Login automatisch einbinden • Curius
    Linux bietet viele Möglichkeiten einer kompletten oder lediglich partielle Verschlüsselung von Betriebssystem und Dateien. LUKS (dm-crypt) kann man dabei
    curius.de


    Dort wird beschrieben, wie ich ein verschlüsseltes /home mit PAM_MOUNT einbinde. Ist das so ok ?

    Für den Inhalt des Beitrages 311783 haftet ausdrücklich der jeweilige Autor: rebell21

    Sehr schöner Link. Das wäre die dritte von mir genannte Lösung, hier allerdings vernünftig aufbereitet.


    Nachteil gegenüber Gocryptfs ist die starre Größe des LUKS Containers der direkt in voller Größe vom Gesamtplatz abgezogen wird. Hier müsste man beim Erstellen eine Balance finden zwischen dem was noch an sonstigem Platz benötigt wird und was du im Home benötigst. Sollte das Verhältnis nicht mehr passen, müsste die Größe des Containers angepasst werden, was mit einer gewissen Gefahr von Datenverlust einher geht. Solltest du sowieso eine eigene Partition (statt nur eines Subvolumes) für Home nutzen, dann ist das ggf. nicht relevant.


    Vorteil gegenüber Gocryptfs ist die Tatsache, dass die Daten besser gegen andere User des Systems abgesichert sind. Wie erwähnt, kann die eingehängte Home Partition ggf. nicht korrekt ausgehängt werden, so dass sich nach dem Abmelden andere User mit SUDO Rechten Zugriff verschaffen können. Für dich ggf. nicht relevant.


    Ich würde deine Anforderungen auf jeden Fall vorher in einer VM testen. Ebenfalls gibt es mit den verschiedenen Lösungen ggf. Probleme beim Hybernate/Suspend to Disk - solltest du das auf deinem Notebook nutzen.

    Für den Inhalt des Beitrages 311784 haftet ausdrücklich der jeweilige Autor: maxblue

    OT

    Mal noch ein paar Gedanken dazu. Meiner bescheidenen Meinung nach haben wichtige Daten auf einem Laptop sowieso nichts zu suchen. So etwas lagere ich auf einem Stick und den trage ich am Schlüsselbund (kann man auch anderswo verstecken). Der Hintergrund ist der, das man den Laptop vielleicht aufwändig verschlüsseln kann, aber wenn die den klauen, sind alle deine Daten weg und wehe, du hast kein Backup zuhause. In dem Falle kann ich immer noch vom Stick über einen anderen Rechner auf meine Daten zugreifen. Deshalb halte ich von einer Verschlüsselung ohnehin nicht viel. Wir hatten in der Vergangenheit hier schon heiße Diskussionen zu dem Thema und sind am Ende dabei heraus gekommen, das der sicherste Rechner der ist, der nicht existiert. Klar kann man den Rechner verschlüsseln, aber wenn die richtigen an die Daten ran wollen, dann bekommen die diese auch. Nun weiß ich ja nicht, was du so hoch geheimes auf dem Rechner hast, das eine Verschlüsselung unabdingbar macht, aber unter Linux kann man schon relativ sicher sein mit dem Passwortschutz. Klar kann man mit einem externen Programm auch das /home auslesen, aber da greift wieder oben angeführte Meinung, das wichtige Unterlagen nichts auf einem Rechner zu suchen haben, den man durch die halbe Welt schleppt. Das trägt jetzt zwar alles nicht zur Problemlösung bei, gibt aber vllt. den einen oder anderen Denkanstoß. Deshalb auch offtopic.