Hallo,
als ich die neue Ubuntu-Version gesehen habe und mich etwa reingelesen habe, ist dort nun auch schon bei der Installation die Möglichkeit die Home zu verschlüsseln. So muss beim Start ein Passwort eingegbeen werden, aber egal, kein Problem.
Jetzt frage ich mich aber, wo liegt der tiefere Sinn ? Wenn ich am Rechner arbeite und mich jemand übers lokale Netzwerk oder übers Internet ankackt, kann der dann nicht auf die Home ? Eigentlich ist sie doch, wenn ich dran arbeite, "offen", oder nicht ?
Damit wäre diese Verschlüsselung nur sinnvoll an mobilen Computern oder solchen, wo mehrere dran arbeiten, sehe ich das richtig ?
Und vor allem, nur dann wenn die Computer ausgeschaltet sind ?? Ist das System hochgefahren, ist doch der Schutz von der Home genommen ?
Wie hoch ist denn das Risiko, dass ich irgendwann mal selbst an meine Daten nicht mehr rankommen kann ? Kann man solchen verschlüsselten Kram überhaupt Daten sichern ?
Home-Partition verschlüsseln ?
-
berlinerbaer
- Beiträge: 3339
- Registriert: 28.04.2003 01:29:55
- Wohnort: Sachsen, Krabatregion
Home-Partition verschlüsseln ?
Gruß
vom Bären
Endlich in Rente! Nur weg aus dem Irrenhaus.
vom Bären
Endlich in Rente! Nur weg aus dem Irrenhaus.
Re: Home-Partition verschlüsseln ?
Hallo,
folgende Sachen kann man dazu sagen:
Eine verschlüsselte Partition oder Platte bietet Sicherheit, wenn der Rechner aus ist. Wenn der Rechner aus ist (wirklich aus, nicht stand-by oder so) und die Passphrase stark genug ist, dann kann keiner die Daten lesen, der die Passphrase nicht hat. Wenn ein Dieb dir unterwegs den Laptop klaut oder jemand bei dir einbricht und den PC mitnimmt, dann kann der wenigstens nicht an die (vertraulichen, privaten) Daten ran. Zumindest bei Laptops und anderen portabelen Geräten ist das durchaus sinnvoll.
Läuft dagegen das System und und du greifst auf die Platten / Partitionen zu, so hast du nicht mehr Sicherheit als mit einem unverschlüsselten System, es ist ja schließlich alles zum Lesen / Schreiben geöffnet. Um in einem laufenden System wichtige Daten sicher zu haben, müsste man auf verschlüsselte Container zurückgreifen, die nur wenn man sie wirklich braucht geöffnet werden (und selbst dann könnte just in dem Moment was passieren). Ist dann die Frage, wie sensibel die Daten sind und wie paranoid man ist.
Generell ist es gut /home zu verschlüsseln, aber ein wirklich sicheres System ist das noch nicht, da evtl. Daten in den unverschlüsselten Swap gelangen können und von dort aus dann lesbar wären. Vollverschlüsselung schafft da Abhilfe und wäre meiner Ansicht nach vorzuziehen.
Daten sichern kann man ohne Probleme, ein eingehängtes & entschlüsseltes Dateisystem verhält sich nicht anders als ein unverschlüsseltes, man kann Daten ganz normal auf externe Platten ziehen, brennen, etc. . Dabei sollten externe Platten natürlicherweise auch verschlüsselt sein; Daten, die gebrannt werden sollen kann man vorher auch verschlüsseln. Werden die Sicherungen nicht verschlüsselt, kann man schließlich doch auf einfachem Weg an die Daten kommen.
Ganze Platten oder Partitionen müsste man auch mit dd & Co. kopieren und sichern können, ausprobiert habe ich das aber noch nie.
Das Risiko, selbst nicht mehr an die eigenen Daten ran zu kommen, hängt ganz vom User ab. Wenn man die Passphrase vergisst hat man in der Regel ein Problem. Man kann sich das natürlich aufschreiben, aber das nimmt wieder einen Teil der Sicherheit weg. Besser ist es, sich einen Satz als Passphrase zu wählen (sollten mindestens 30 Zeichen inkl. Buchstaben, Zahlen, Sonderzeichen sein, meine ich), den man sich gut merken kann, der aber nicht leicht zu erraten ist.
Ich hoffe, das erklärt einiges erstmal...
folgende Sachen kann man dazu sagen:
Eine verschlüsselte Partition oder Platte bietet Sicherheit, wenn der Rechner aus ist. Wenn der Rechner aus ist (wirklich aus, nicht stand-by oder so) und die Passphrase stark genug ist, dann kann keiner die Daten lesen, der die Passphrase nicht hat. Wenn ein Dieb dir unterwegs den Laptop klaut oder jemand bei dir einbricht und den PC mitnimmt, dann kann der wenigstens nicht an die (vertraulichen, privaten) Daten ran. Zumindest bei Laptops und anderen portabelen Geräten ist das durchaus sinnvoll.
Läuft dagegen das System und und du greifst auf die Platten / Partitionen zu, so hast du nicht mehr Sicherheit als mit einem unverschlüsselten System, es ist ja schließlich alles zum Lesen / Schreiben geöffnet. Um in einem laufenden System wichtige Daten sicher zu haben, müsste man auf verschlüsselte Container zurückgreifen, die nur wenn man sie wirklich braucht geöffnet werden (und selbst dann könnte just in dem Moment was passieren). Ist dann die Frage, wie sensibel die Daten sind und wie paranoid man ist.
Generell ist es gut /home zu verschlüsseln, aber ein wirklich sicheres System ist das noch nicht, da evtl. Daten in den unverschlüsselten Swap gelangen können und von dort aus dann lesbar wären. Vollverschlüsselung schafft da Abhilfe und wäre meiner Ansicht nach vorzuziehen.
Daten sichern kann man ohne Probleme, ein eingehängtes & entschlüsseltes Dateisystem verhält sich nicht anders als ein unverschlüsseltes, man kann Daten ganz normal auf externe Platten ziehen, brennen, etc. . Dabei sollten externe Platten natürlicherweise auch verschlüsselt sein; Daten, die gebrannt werden sollen kann man vorher auch verschlüsseln. Werden die Sicherungen nicht verschlüsselt, kann man schließlich doch auf einfachem Weg an die Daten kommen.
Ganze Platten oder Partitionen müsste man auch mit dd & Co. kopieren und sichern können, ausprobiert habe ich das aber noch nie.
Das Risiko, selbst nicht mehr an die eigenen Daten ran zu kommen, hängt ganz vom User ab. Wenn man die Passphrase vergisst hat man in der Regel ein Problem. Man kann sich das natürlich aufschreiben, aber das nimmt wieder einen Teil der Sicherheit weg. Besser ist es, sich einen Satz als Passphrase zu wählen (sollten mindestens 30 Zeichen inkl. Buchstaben, Zahlen, Sonderzeichen sein, meine ich), den man sich gut merken kann, der aber nicht leicht zu erraten ist.
Ich hoffe, das erklärt einiges erstmal...
-
Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Home-Partition verschlüsseln ?
So wie ich das verstanden habe ist bei ubuntu halt der eigene homeordner verschluesselt. Also /home/user
Wenn der Rechner also von mehreren Personen benutzt wird, koennen die sich nicht gegenseitig auf die homeordner zugreifen ohne Password.
Bei der Debian Installation (oder ubuntu alternate cd) kann man ja schon lange / verschluesseln. Das benutze ich bei meinen Rechner auch so. Wenn jetzt die Platten (aus welchen Grund auch immer) in fremde haende geraten koennen sie damit nichts anfangen.
Wenn der Rechner also von mehreren Personen benutzt wird, koennen die sich nicht gegenseitig auf die homeordner zugreifen ohne Password.
Bei der Debian Installation (oder ubuntu alternate cd) kann man ja schon lange / verschluesseln. Das benutze ich bei meinen Rechner auch so. Wenn jetzt die Platten (aus welchen Grund auch immer) in fremde haende geraten koennen sie damit nichts anfangen.
Du kannst auch einfach nur teile/partitionen verschluesseln, die nur entschluesselt werden wenn du wirklich darauf zugreifen willst. /home muss natuerlich entschluesselt werden, aber ich habe z.B. eine /media/data partition die nicht automatisch beim starten entschluesselt wird.Und vor allem, nur dann wenn die Computer ausgeschaltet sind ?? Ist das System hochgefahren, ist doch der Schutz von der Home genommen ?
Sobald du dein schluessel/Password vergisst sind die Daten weg.Wie hoch ist denn das Risiko, dass ich irgendwann mal selbst an meine Daten nicht mehr rankommen kann ?
Hae? Was meinst du? Wenn du die Partition entschluesselst sind es doch normale Daten wie jede andere auch. Kannst du hin kopieren wo du willst.Kann man solchen verschlüsselten Kram überhaupt Daten sichern ?
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!Re: Home-Partition verschlüsseln ?
Ein Backup sichere ich immer unverschlüsselt. Komprimierung und Verschlüsselung kann bereits bei kleinen Fehlern im Backup schnell zu einem Totalverlust führen. Da liebe ich doch unkomprimiert TAR-Archive oder besser noch 1:1-Datenabbilder. Aber statt mein Backup zu verschlüsseln würde ich mir eher einen Tresor oder ein Schließfach anschaffen.Kann man solchen verschlüsselten Kram überhaupt Daten sichern ?
-
berlinerbaer
- Beiträge: 3339
- Registriert: 28.04.2003 01:29:55
- Wohnort: Sachsen, Krabatregion
Re: Home-Partition verschlüsseln ?
Danke erstmal, also das was ich sichern will, das will ich eigentlich nur, damit es nicht weg kommt und deshalb liegt eine meiner 1TB-Festplatten mit den Fotos auch im Schließfach meiner Bank.
Zu verhindern, dass mir einer in die Karten guckt, naja, das muss ich nicht mehr, bin aus dem Alter raus, wo die Adressen der "Nebenwohnungen" irgendwo drauf waren - nicht ganz ernst gemeint
Der einzige Sinn hätte vor 5 Jahren darin bestanden, das mein Arbeitgeber nicht auf meinen Laptop gekommen wäre, als ich den mal während des Mittagessens im Konferenzraum stehen gelassen hatte und obendrein zu faul gewesen war, die automatische Anmeldung zu deaktivieren. Aber das ist nun auch vorbei und Geschichte.
Also ich denke mal, ich verschlüssle meine Home doch nicht mehr, aber über Teilbereiche, wie z.B. das Verzeichnis mit dem Homebankin müßte ich drüber nachdenekn
Zu verhindern, dass mir einer in die Karten guckt, naja, das muss ich nicht mehr, bin aus dem Alter raus, wo die Adressen der "Nebenwohnungen" irgendwo drauf waren - nicht ganz ernst gemeint
Der einzige Sinn hätte vor 5 Jahren darin bestanden, das mein Arbeitgeber nicht auf meinen Laptop gekommen wäre, als ich den mal während des Mittagessens im Konferenzraum stehen gelassen hatte und obendrein zu faul gewesen war, die automatische Anmeldung zu deaktivieren. Aber das ist nun auch vorbei und Geschichte.
Also ich denke mal, ich verschlüssle meine Home doch nicht mehr, aber über Teilbereiche, wie z.B. das Verzeichnis mit dem Homebankin müßte ich drüber nachdenekn
Gruß
vom Bären
Endlich in Rente! Nur weg aus dem Irrenhaus.
vom Bären
Endlich in Rente! Nur weg aus dem Irrenhaus.
Re: Home-Partition verschlüsseln ?
Kleine Info zu Ubuntus Home-Verschluesselung:
die Verschluesselung geschieht ueber ein Dateisystem, welches die Verschluesselung voellig transparent macht. Beim Einloggen mit Benutzername und Passwort wird das Passwort benutzt, um eine "starke" Passphrase zu entschluesseln, welche dann zum Entsperren des Dateisystems benutzt wird.
Der Benutzer merkt also eigentlich ueberhaupt nicht, dass seine Daten verschluesselt sind.
Ich benutze im Moment Ubuntu 9.10 mit dieser Verschluesselung auf dem Laptop und bin sehr zufrieden. Geschwindigkeitseinbussen hab ich nicht feststellen koennen.
Einen Artikel zum Thema vom Entwickler persoenlich - inklusive Anleitung zum Datenretten, falls noetig - findest du hier:
http://www.linux-mag.com/cache/7568/1.html
die Verschluesselung geschieht ueber ein Dateisystem, welches die Verschluesselung voellig transparent macht. Beim Einloggen mit Benutzername und Passwort wird das Passwort benutzt, um eine "starke" Passphrase zu entschluesseln, welche dann zum Entsperren des Dateisystems benutzt wird.
Der Benutzer merkt also eigentlich ueberhaupt nicht, dass seine Daten verschluesselt sind.
Ich benutze im Moment Ubuntu 9.10 mit dieser Verschluesselung auf dem Laptop und bin sehr zufrieden. Geschwindigkeitseinbussen hab ich nicht feststellen koennen.
Einen Artikel zum Thema vom Entwickler persoenlich - inklusive Anleitung zum Datenretten, falls noetig - findest du hier:
http://www.linux-mag.com/cache/7568/1.html
Re: Home-Partition verschlüsseln ?
Unter Debian scheint folgendes gemeint zu sein:
http://packages.debian.org/de/lenny/ecryptfs-utils
Werde ich mir mal anschauen, nutze aktuell
http://packages.debian.org/de/lenny/encfs
http://packages.debian.org/de/lenny/ecryptfs-utils
Werde ich mir mal anschauen, nutze aktuell
http://packages.debian.org/de/lenny/encfs