Moin
paul1234 hat geschrieben:wie seht Ihr das: ist eine Festplattenverschlüsselung unbedingt zu empfehlen? Kann ich die nach der Installation noch machen?
Zu 1 = Jain....
Wie schon jemand (aka niemand) angemerkt hat, bringts wohl eher weniger, wenn die verschlüsselten Daten zur Laufzeit des Systems immer entschlüsselt sind. Falls Du Dir wirklich einen Spion oder Schnüffler einfangen würdest, hätte die Verschlüsselung in diesem Fall keinen Effekt. Anders wäre es, wenn der Fall wie bei mir liegt. Ich verreise oft und viel und lebe währenddessen in 'ner rollenden Pappschachtel - meinem Wohnwagen. Da möchte ich schon, daß meine Daten auf dem alten Laptop gesichert sind, wenn der Wagen irgendwann mal während meiner Abwesenheit aufgebrochen wird und der Laptop gestohlen wird.
Ich verschlüssele meine wenigen wirklich sensiblen und schützenswerten Daten deshalb mit folgenden Überlegungen:
Die wenigsten meiner Daten sind wirklich permanent auf dem Schreibtisch notwendige Daten. Das meiste wurde irgendwann mal erstellt, wurde gespeichert und wartet nun darauf, irgendwann vielleicht noch mal geöffnet, gelesen, wiederverwendet zu werden. Es gibt auch Daten, die regelmäßig bearbeitet werden, wie z.B. meine private Finanzbuchhaltung, aber auch die benötige ich nicht permanent auf dem Schreibtisch, sondern vielleicht 1-2 mal im Monat. Und aktuelle Daten und Dokumente, welche ich im Moment aktiv bearbeite, die ich also auch häufig über Tage (oder länger) hinweg benötige, die speichere ich solange in meinem Homedir, bis ich sie irgendwann in den verschlüsselten Bereich verschiebe. Musik, Filme, Ebooks, Fotos werden überhaupt nicht verschlüsselt, wofür auch... wenn sich jemand an meinen Urlaubsfotos erfreut, schön für ihn....
Ich verschlüssele also nicht meine ganze Festplatte, sondern ich verwende einen verschlüsselten 1 oder 2 GB-Container für die wenigen wirklich sensiblen Daten, den ich bei Bedarf öffne und hinterher direkt wieder schließe.
Zu 2 = Ja
Vielleicht kommst Du ja auch mit diesem kleinen Workshop klar. So hatte ich das im Herbst letzten Jahres für mich umgesetzt und so ist das für mich völlig ausreichend.
Code: Alles auswählen
apt-get install cryptsetup Paket LUKS-Verschlüsselung installieren
modprobe dm-crypt Kernelmodul laden
Künftig werden benötigte Module autom. geladen
Nun wird der Container generiert, verschlüsselt, formatiert und testweise gemountet. Mein Container liegt Zuhause natürlich nicht im lokalen Home-Dir, sondern auf ner Netzplatte. Das bedeutet, Du musst evtl. ein paar Parameter entsprechend Deinen Anforderungen anpassen.
Code: Alles auswählen
PathFileNameContainer Größe in MB Container erstellen
| |
dd if=/dev/urandom of=/home/thomas/FooHD.vol bs=1M count=1000
losetup -a Show Status Loop-Device
losetup -f Freies Loop-Device finden
Rückgabe-Code = freies Loop-Device
-f = find the first unused loop device.
If a file argument is present, use
this device. Otherwise, print its name
losetup /dev/loop0 /home/thomas/FooHD.vol Container über Loop-Device einhängen
/dev/loop0 muss gegebenenfalls ersetzt werden.
cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/loop0 Initialisieren
Passsatz: MeinHochgeheimesPasswort
losetup -a Vorhandene Devices listen
/dev/loop0: [001a]:786816 (/home/thomas/FooHD.vol)
cryptsetup luksOpen /dev/loop0 Container FooHD.vol mit Alias "Container" öffnen
mkfs.ext4 /dev/mapper/Container Mit ext4 formatieren
mkdir /mnt/FooHD
mount -t ext4 /dev/mapper/Container /FooHD mounten
Nach Ende der Arbeit aufräumen
umount /mnt/FooHD - unmounten
cryptsetup luksClose Container - Container schließen
losetup /dev/loop0 -d - loopdevice freigeben/löschen
rmdir /mnt/FooHD - Work-Dir löschen
Ab diesem Moment, wenn der Container einmalig erstellt wurde, bedarf es nur noch weniger Handgriffe, um ihn zu öffnen
Code: Alles auswählen
losetup /dev/loop0 /home/thomas/FooHD.vol Device verbinden
cryptsetup luksOpen /dev/loop0 Container FooHD.vol mit Alias "Container" öffnen
mkdir /mnt/FooHD
mount -t ext4 /dev/mapper/Container /mnt/FooHD mounten
umount /mnt/FooHD unmounten
rmdir /mnt/FooHD Work-Dir löschen
cryptsetup luksClose Container Container schließen
losetup -d /dev/loop0 Loop-Device freigeben/löschen
Und das kann man dann noch mit einem kleinen Script in
/usr/local/bin automatisieren. Dazu ist es erforderlich, dass Password analog zu den Samba-Credentials einmalig in seinem Homedir zu speichern. Wobei hier anzumerken ist, dass man das natürlich
NICHT auf einem mobilen Gerät machen sollte, sondern wirklich nur zuhause, wo eigentlich kein Zugriff von fremden Personen auf den Rechner und direkt am Rechner möglich ist. Wenn man das Password nicht speichern will, muß man es eben von Hand eingeben, oder als manuell eingegebenen Parameter dem Script mitgeben... da ist dann aber noch eine Anpassung im Script notwendig.
Code: Alles auswählen
echo password meinhochgeheimespassword >/home/thomas/.FooHDCredentials
chmod 700 /home/thomas/.FooHDCredentials
Und nun öffnet dieses Terminal-Script den Container und stellt mir bei Bedarf temporär meine verschlüsselten Daten zur Verfügung:
Code: Alles auswählen
#! /bin/bash
#======================================================================
# Script-Name : FooHD - Open Crypt-Luks-Container
# Date : 23.09.2014
#
# Setup in : /usr/local/bin/FooHD
#
# ToDo : chown -R root:root /usr/local/bin/FooHD
# : chmod +x /usr/local/bin/FooHD
# : Customizing /home/thomas/.FooHDCredentials
# : Customizing Path-Settings
#
# Usage only as root!
#
#======================================================================
if [[ $EUID -ne 0 ]]; then
echo "Achtung: Dieses Script kann nur als root gestartet werden" 1>&2
exit 1
fi
if [ -f "/home/thomas/.FooHDCredentials" ]; then
credentials=$(grep password /home/thomas/.FooHDCredentials | awk '{ print $2 }')
echo $credentials
fi
if [ -z $credentials ]; then
echo "Keine .FooHDCredentials gefunden!"
exit
fi
[ -d "/mnt/FooHD" ] || mkdir "/mnt/FooHD"
dialog --infobox "Container wird geöffnet! Bitte Warten." 3 60
losetup /dev/loop0 /media/home/FooHD.vol
sleep 2
echo $credentials|cryptsetup luksOpen /dev/loop0 Container
sleep 2
mount -t ext4 -o rw /dev/mapper/Container /mnt/FooHD
dialog --msgbox "Der Container wurde geöffnet und ist bereit!\n\nBitte zum Schließen eine Taste drücken\n" 9 50
dialog --msgbox "Achtung!!!\n\nBitte alle Programme mit Zugriff auf FooHD schließen.\n\nDer Container wird nach Click auf [OK] oder durch Drücken der Enter-Taste beendet!\n" 12 60
dialog --infobox "Container wird beendet! Dieser Vorgang dauert ein paar Sekunden." 3 70
sync
sleep 10
umount /mnt/FooHD
cryptsetup luksClose Container
losetup -d /dev/loop0
[ -d "/mnt/FooHD" ] && rmdir "/mnt/FooHD"
clear
exit
Ich würde mich über ein kurzes Feedback freuen, obs geklappt hat... ansonsten...
HTH