Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
1 Die Wurzeln von Ubuntu
2 Was ist Ubuntu?
3 Die Versionen im Detail
4 Daten sichern, migrieren und synchronisieren
5 Die Installation
6 Erste Schritte
7 Programme und Pakete installieren
8 Internet und E-Mail
9 Office
10 Grafik und Bildbearbeitung
11 Multimedia
12 Programmierung und Design
13 Software- und Paketverwaltung
14 Architektur
15 Backup und Sicherheit
16 Desktop-Virtualisierung
17 Serverinstallation
18 Administration und Monitoring
19 Netzwerke
20 Datei-Server – Ubuntu im Netzwerk
21 Der Server im Internet
22 Multimediaserver und Ihre persönliche Cloud
23 Hilfe
24 Befehlsreferenz
A Mark Shuttleworth
Stichwort

Jetzt Buch bestellen
Ihre Meinung?

Spacer
Ubuntu GNU/Linux von Marcus Fischer
Das umfassende Handbuch, aktuell zu Ubuntu 12.04 LTS »Precise Pangolin«
Buch: Ubuntu GNU/Linux

Ubuntu GNU/Linux
Rheinwerk Computing
1023 S., 7., aktualisierte Auflage, geb., mit DVD
39,90 Euro, ISBN 978-3-8362-1945-7
Pfeil 15 Backup und Sicherheit
Pfeil 15.1 Berechtigungen
Pfeil 15.1.1 Dateiberechtigungen
Pfeil 15.1.2 PAM
Pfeil 15.2 Backup-Grundlagen
Pfeil 15.2.1 Vorüberlegungen und Vorbereitung
Pfeil 15.2.2 Partitionierung
Pfeil 15.2.3 Partitionierung der Zweitplatte (extern oder intern)
Pfeil 15.2.4 Verkleinerung von bestehenden Partitionen
Pfeil 15.2.5 Integrierte Backup-Lösung
Pfeil 15.2.6 Inkrementelles Backup mit rsnapshot
Pfeil 15.2.7 Verwenden von Rsync
Pfeil 15.3 Ist Linux sicherer als Windows?
Pfeil 15.3.1 Verschiedene Konzepte
Pfeil 15.3.2 Root versus Sudo
Pfeil 15.3.3 SELinux
Pfeil 15.3.4 AppArmor
Pfeil 15.3.5 Was wird überwacht?
Pfeil 15.4 Virenscanner und Firewall
Pfeil 15.4.1 Virenscanner
Pfeil 15.4.2 Firewall
Pfeil 15.4.3 Sicherheits-Updates
Pfeil 15.5 Verschlüsselung
Pfeil 15.5.1 Integrierte Verschlüsselung
Pfeil 15.5.2 Verschlüsselung anderer Partitionen
Pfeil 15.6 Verschlüsseln mit GPG
Pfeil 15.6.1 Verschlüsselung einzelner Dateien
Pfeil 15.6.2 E-Mails verschlüsseln mit GnuPG

Rheinwerk Computing - Zum Seitenanfang

15.5 VerschlüsselungZur nächsten Überschrift

Liegen auf der Festplatte des Rechners sensible Daten, bietet es sich an, diese zu verschlüsseln. Prinzipiell lassen sich auch einzelne Dateien verschlüsseln; wirkliche Sicherheit bietet aber nur die Verschlüsselung des Systems. Weitgehende Sicherheit ist nur erreichbar, wenn Sie alle Stellen bedenken, an denen die zu schützenden Daten auftauchen können, und sei dies auch nur vorübergehend. »Gelöschte« Daten lassen sich nämlich mit entsprechendem Aufwand durchaus noch auslesen. Traditionell verhindert man dies, indem man die Daten beim Löschen mehrfach überschreibt. Dies ist bei modernen Dateisystemen jedoch nicht möglich.

Ich stelle Ihnen an dieser Stelle zwei Möglichkeiten der Verschlüsselung vor:

  • Integrierte Verschlüsselung
    Ubuntu bietet Ihnen eine einfache Möglichkeit der integrierten Verschlüsselung.
  • Verschlüsselung anderer Partitionen
    Mit Hilfe des Programms cryptsetup haben Sie weitere vielfältige Möglichkeiten der Verschlüsselung.

Rheinwerk Computing - Zum Seitenanfang

15.5.1 Integrierte VerschlüsselungZur nächsten ÜberschriftZur vorigen Überschrift

In Ubuntu können Sie bereits während der Installation die Möglichkeit der automatischen Verschlüsselung Ihres persönlichen Verzeichnisses nutzen. Dies geschieht im Dialogfenster, in dem Sie auch Ihren Namen angeben. Die Verschlüsselung geschieht über eCryptfs, ein stapelbares verschlüsselndes Dateisystem, das über das persönliche Verzeichnis gelegt wird. Die eigentlichen Daten Ihres persönlichen Verzeichnisses und einige Schlüsseldateien liegen in einer Datei namens /home/.ecryptfs. Sie dürfen diese Datei in Anbetracht des Verlustes Ihrer Daten auf keinen Fall löschen oder manipulieren.

Systempasswort

Wenn Sie ein persönliches Verzeichnis verschlüsseln, werden nahezu alle Dateien und Verzeichnisse eines Benutzers in seinem verschlüsselten Verzeichnis angelegt (/home/.ecryptfs/Benutzer) und nicht in dem regulären (unverschlüsselten) Verzeichnis /home/Benutzer. Das Verzeichnis wird mit Ihrem Anmeldepasswort und einem zusätzlichen Systempasswort geschützt. Sie können dieses Systempasswort in Erfahrung bringen, indem Sie ein Terminal öffnen und den Befehl ecryptfs-unwrap-passphrase eingeben.

Abbildung

Abbildung 15.12 Der erste Start einer verschlüsselten Installation

Nachträglich aktivieren und neue Benutzer hinzufügen

Nachträglich aktivieren lässt sich die Verschlüsselung allerdings nur über die Kommandozeile. Dies ist je nach dem Umfang Ihres persönlichen Verzeichnisses mehr oder weniger aufwendig. Prinzipiell sollten Sie immer ein Backup Ihrer Daten machen, bevor Sie etwas an Ihrem persönlichen Verzeichnis verändern. Des Weiteren sollten Sie genügend Speicherplatz frei haben, da der Inhalt Ihres persönlichen Verzeichnisses bei der Verschlüsselung kopiert werden muss. Starten Sie das System im Recovery-Modus, und wählen Sie im Auswahldialog root aus, um eine Root-Konsole zu starten. Zuerst wollen wir das Verhalten des Utilitys adduser verändern, um automatisch die Dateien Ihres bisherigen Verzeichnisses zu erhalten. Öffnen Sie dazu die Konfigurationsdatei:

nano /etc/adduser.conf

und tauschen Sie die Zeile SKEL=/etc/skel durch SKEL=/home/backup aus. Geben Sie nun nacheinander die folgenden Befehle (die Zeilennummern nicht angeben) ein, um Ihr persönliches Verzeichnis zu sichern (1), den Benutzer zu löschen (2), einen neuen Benutzer mit verschlüsseltem Verzeichnis hinzuzufügen (3) und diesem Benutzer Administratorrechte zu geben:

1 mv /home/<Benutzer> /home/backup
2 deluser <Benutzer>
3 adduser --encrypt-home <Benutzer>
4 adduser <Benutzer> admin
5 rm -rf /home/backup

Stellen Sie zum Abschluss dieses Vorgangs den alten Zustand der Konfigurationsdatei /etc/adduser.conf wieder her. Um sich im System wieder als Benutzer anzumelden, kehren Sie mit Strg + D in den Auswahldialog des Recovery-Modus zurück. Starten Sie das System durch resume. Melden Sie sich als Benutzer im System an, und starten Sie mittels startx die grafische Oberfläche.

Tipp 245: Verzeichnisse neuer Benutzer verschlüsseln

Sie können nicht nur Ihr eigenes Verzeichnis verschlüsseln. Um das persönliche Verzeichnis neuer Benutzer zu verschlüsseln, genügt im laufenden Betrieb der Befehl:

sudo adduser --encrypt-home <Benutzer>

Rheinwerk Computing - Zum Seitenanfang

15.5.2 Verschlüsselung anderer PartitionenZur nächsten ÜberschriftZur vorigen Überschrift

Es ist durchaus sinnvoll, weitere Bereiche des Systems zu verschlüsseln. Allgemein bieten sich folgende Partitionen an:

  • die Daten selbst, zum Beispiel die Partition mit den persönlichen Ordnern (/home)
  • die Auslagerungspartition (swap)
  • die temporären Dateien (/tmp)
  • die Dateien in /var, in denen zum Beispiel Druckaufträge zwischengespeichert sind

Um die oben genannten Partitionen zu verschlüsseln, brauchen Sie das Programm cryptsetup. Sie installieren es bequem über sudo apt-get install cryptsetup. Um einerseits unnötig viele Passworteingaben beim Systemstart zu vermeiden, andererseits aber die Datensicherung nicht zu erschweren, verwenden Sie eine Partition für /home und eine weitere gemeinsame für /tmp und /var. Sie brauchen dementsprechend beim Systemstart nur zwei zusätzliche Passwörter. Besteht für /home noch keine eigene Partition, so müssen Sie dies ändern. Für /tmp und /var müssen Sie ebenfalls eine Partition anlegen.

Anlegen der Partitionen für /home, /tmp und /var

Diese Schritte müssen von einer Live-CD aus erledigt werden, da die Systempartition betroffen ist. Sie verwenden dazu das grafische Partitionierungsprogramm GParted.

  • Beim Start
    Beim Start mit der Live-CD muss der Parameter live noswap eingegeben werden. Er verhindert die Nutzung von Swap-Partitionen, denn dies könnte die Bearbeitung der Partitionstabelle stören.
  • Verkleinerung der Systempartition
    Zuerst müssen Sie die Systempartition verkleinern. 5 GB sind meist angemessen, sofern nicht bereits mehr Platz auf dem Gerät belegt ist.
  • Verschieben der Swap-Partition
    Die Leistung leidet, wenn die Swap-Partition zu weit hinten auf der Festplatte liegt. Verschieben Sie sie daher direkt an das Ende der Systempartition.
  • Anlegen der neuen Partitionen
    Nun legen Sie zwei Partitionen an:
    • Für die gemeinsame Partition für /tmp und /var genügen etwa 1 bis 2 GB. Diese Partition sollte möglichst hinter dem Swap-Bereich liegen.
    • Für die spätere home -Partition können Sie den restlichen verfügbaren Platz ver"-wenden.

Normalerweise können Sie für beide Partitionen das ext3-Dateisystem wählen. Die Bezeichnungen der Systempartition und der neuen Partitionen sollten Sie sich notieren. Auch die nächsten Schritte werden mit der Live-CD erledigt. Starten Sie also noch nicht neu.

  • Daten umverteilen
    Die Daten, die derzeit noch auf der alten Partition liegen, müssen jetzt an den richtigen Ort verschoben werden. Diese Schritte führen Sie von einer Live-CD aus und im Terminal durch.
  • Partitionen einbinden
    /dev/hda1
    sei die Systempartition, /dev/hda5 die Partition für /tmp und /var, /dev/hda6 sei die neue home -Partition. Die Verzeichnisse zum Einbinden werden im Terminal erzeugt mit:
    sudo mkdir /mnt/{root,crypt,home}

    Die Partitionen werden eingehängt mit:

    sudo mount /dev/hda1 /mnt/root
    sudo mount /dev/hda5 /mnt/crypt
    sudo mount /dev/hda6 /mnt/home
  • Daten verschieben
    Falls sich das home -Verzeichnis noch nicht auf der separaten Partition befindet, kopieren Sie seinen Inhalt mit folgendem Befehl an die entsprechende Stelle:
    sudo cp -a /mnt/root/home/* /mnt/home/

    Die Verzeichnisse /var und /tmp werden wie folgt kopiert bzw. angelegt:

    sudo mkdir /mnt/crypt/tmp
    sudo chmod 1777 /mnt/crypt/tmp
    sudo cp -a /mnt/root/var /mnt/crypt/

    /tmp wird nicht kopiert, sondern neu angelegt, weil der Inhalt beim Systemstart ohnehin automatisch gelöscht wird. Den Inhalt der Partitionen können Sie sich wie folgt anzeigen lassen:

    ls /mnt/crypt
    ls /mnt/home

Dort sollten sich die Verzeichnisse /tmp und /var bzw. alle persönlichen Ordner der Benutzer befinden. Damit ist dieser Schritt erledigt. Nun sollten Sie wieder das normale System starten. Loggen Sie sich bitte nicht in der grafischen Oberfläche ein, sondern wechseln Sie mit der Tastenkombination Strg + Alt + F1 auf eine Konsole, und melden Sie sich dort an.

Konfiguration der Krypto-Partitionen

Die zu verschlüsselnden Partitionen sind in der Datei /etc/crypttab aufgelistet, die in einem Editor mit Root-Rechten bearbeitet werden kann. Die Swap-Partition wird hier ebenfalls angezeigt.

# <target device><source device><key file><options>
crypt /dev/hda5
home /dev/hda6
swap0 /dev/hda2 /dev/urandom swap

An erster Stelle tragen Sie den gewünschten Namen des verschlüsselten Geräts ein, an zweiter Stelle die zu verschlüsselnde Partition bzw. das zu verschlüsselnde Volume, falls Sie LVM verwenden. Die weiteren Optionen für den Swap geben an, dass als Schlüssel eine Zufallszahl verwendet und das verschlüsselte Gerät nach Einrichtung als Swap formatiert werden soll.

Umwandlung der unverschlüsselten Partitionen

Beim ersten Mal legen Sie das Kryptogerät noch von Hand an, um eine doppelte Passwortabfrage zu erhalten. Später, beim automatischen Start der Verschlüsselung, wird das Passwort natürlich nur einmal pro Partition abgefragt. Das wäre jetzt im Fall eines Vertippers fatal, also:

sudo cryptsetup create -y crypt /dev/hda5
sudo cryptsetup create -y home /dev/hda6

Jetzt kommt der abenteuerliche Teil: Die folgenden Befehle wandeln die bestehenden Partitionen um. Diese dürfen dabei nicht eingebunden sein. Die enthaltenen Dateisysteme samt Inhalt sind danach über das verschlüsselte Gerät unversehrt zugänglich.

sudo dd if=/dev/hda5 of=/dev/mapper/crypt
sudo dd if=/dev/hda6 of=/dev/mapper/home

Nun sollte bei einem Zugriff auf die »Original«-Partition nur noch Datenmüll zu sehen sein. Die alten Inhalte sind über /dev/mapper/home zugänglich. Sie testen nun die Korrektheit der umgewandelten Partition mit:

sudo fsck /dev/mapper/crypt
sudo fsck /dev/mapper/home

Zur Sicherheit können Sie die Partition bereits einbinden, um ihre Inhalte zu betrachten:

sudo mount /dev/mapper/crypt /mnt
sudo mount /dev/mapper/home /home

Eintrag der neuen Dateisysteme

In der fstab (die Sie via sudo gedit /etc/fstab bearbeiten) sollten Sie nun noch Einträge für die neuen oder geänderten Partitionen wie folgt erstellen bzw. anpassen:

/dev/mapper/swap  none    swap  sw        0    0
/dev/mapper/crypt /crypt ext3 defaults 0 2
/dev/mapper/home /home ext3 defaults 0 2

Das Verzeichnis /crypt existiert noch nicht, Sie müssen es anlegen:

sudo mkdir /crypt

Nun müssen die alten Daten aus dem Weg geräumt werden, damit auf die neuen, verschlüsselten Daten zugegriffen werden kann. Hierzu starten Sie noch einmal eine Live-CD und binden die Systempartition ein:

mount /dev/hda1 /mnt

Zur Sicherheit benennen Sie die alten, unverschlüsselten Daten erst einmal um, anstatt sie gleich zu löschen. Sollte irgendetwas doch nicht funktionieren, ist der Weg zurück so besonders einfach. Lediglich das beim Systemstart ohnehin leere Verzeichnis /tmp wird sogleich gelöscht. Dann werden leere Verzeichnisse bzw. Links auf die verschlüsselten Daten erstellt:

sudo mv /mnt/home /mnt/noenc-home
sudo mkdir /mnt/home
sudo rm -rf /mnt/tmp
sudo ln -s /crypt/tmp /mnt/tmp
sudo mv /mnt/var /mnt/noenc-var
sudo ln -s /crypt/var /mnt/var

Beim nächsten Start des installierten Systems wird nach dem Passwort für die verschlüsselten Partitionen gefragt. Wenn Sie sich vertippen, haben Sie Pech gehabt und landen auf einer Konsole. Sie können die Passworteingaben wiederholen, wenn Sie hier /etc/init.d/cryptdisks restart eingeben. Nach dem Betätigen von Strg + D wird der Systemstart dann fortgesetzt. Funktioniert alles, müssen Sie die zuvor umbenannten Daten noch löschen:

sudo rm -rf /noenc*

Datenspuren vernichten

Im Prinzip könnten nun auf der Systempartition noch die Daten aus den verschobenen Verzeichnissen zu finden sein. Diese überschreiben Sie, indem Sie den gesamten leeren Platz auf der Partition mit Zufallszahlen auffüllen. Dies funktioniert mit Hilfe einer Live-CD. Die Systempartition binden Sie mit

sudo mount /dev/hda1 /mnt

ein. Danach schreiben Sie mit dem Befehl

sudo dd if=/dev/urandom of=/mnt/zufall && \
sudo rm /mnt/zufall

Zufallszahlen in eine Datei, und zwar so lange, bis der Platz erschöpft ist. Danach löschen Sie diese Datei wieder. Nun befinden sich alle sensiblen Daten auf verschlüsselten Partitionen.



Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück
  Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Ubuntu GNU/Linux 12.04 LTS

Ubuntu GNU/Linux 12.04 LTS
Jetzt Buch bestellen


 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: Ubuntu 14.04 LTS






 Ubuntu 14.04 LTS


Zum Rheinwerk-Shop: Linux Handbuch






 Linux Handbuch


Zum Rheinwerk-Shop: Raspberry Pi






 Raspberry Pi


Zum Rheinwerk-Shop: Ubuntu Server






 Ubuntu Server


Zum Rheinwerk-Shop: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker


 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo





Copyright © Rheinwerk Verlag GmbH 2012
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern