Das Ubuntu Handbuch | Anleitungen für Linux-Freunde

Ubuntu: VeraCrypt via PPA installieren - Partition verschlüsseln

Pri­va­te Do­ku­men­te wie Le­bens­läu­fe, Fo­tos, Zeug­nis­se, Rech­nun­gen und Arzt­be­schei­de soll­ten nie­mals im In­ter­net auf­be­wahrt wer­den. Denn so­wohl Cloud-Sto­rage-Pro­vi­der als auch Free­mail-An­bie­ter wer­ten die per­sön­li­chen Da­ten ih­rer Be­nut­zer aus, um maß­ge­schnei­der­te Wer­be­pro­fi­le er­stel­len zu kön­nen. Des Wei­te­ren ha­ben US-Be­hör­den di­rek­ten Zu­griff auf die Kun­den­ar­chi­ve von ame­ri­ka­ni­schen Web­dienst­leis­tern, wes­halb Ama­zon, AOL, Drop­box, Goog­le, Mi­cro­soft und Co. da­für sor­gen, dass die Ge­heim­dienst­da­ten­ban­ken der NA­TO-Part­ner ak­tu­ell blei­ben.

Der CLOUD Act ver­pflich­tet ame­ri­ka­ni­sche Un­ter­neh­men da­zu, auf aus­län­di­schen Ser­vern ge­spei­cher­te Kun­den­da­ten her­aus­zu­rü­cken, wenn US-Be­hör­den dies ver­lan­gen. Ganz oh­ne rich­ter­li­chen Be­schluss. Und oh­ne die Kun­den dar­über in­for­mie­ren zu müs­sen.

Ko­mes, An­to­nio: Die EU und Ame­ri­ka im Da­ten-Clinch. In: Chip Nr. 1 (2019). S. 34.

Hin­ge­gen die chi­ne­si­sche Volks­be­frei­ungs­ar­mee¹ ver­sucht et­was sub­ti­ler an west­li­che Be­nut­zer­da­ten zu kom­men, in­dem sie mo­di­fi­zier­te Main­board­chips in die Ser­ver­zen­tren der Cloud-An­bie­ter ein­schleust.

Laut ei­nem Bloom­berg-Be­richt sind im Da­ta-Cen­ter-Equip­ment von Ama­zon und Ap­ple chi­ne­si­sche Spio­na­ge-Chips ver­baut.

Kauf­mann, Be­ne­dikt: Spio­na­ge-Chips bei Ap­ple und Ama­zon! Rie­sen­skan­dal oder En­te? deraktionaer.de (01/2019).

Penguin-Soldier with halberd guards the Moroccan terrorist Mounir Idrassi. The inventor of VeraCrypt is in prison on Guantanamo. The US government tortures the cryptographer because he does not want to include backdoor in his software. The fagot Emmanuel Macron does not help Idrassi, which is why the locked up programmer only votes for Rassemblement National

Es scheint so, als sei­en per­sön­li­che Da­ten hei­ße Wa­re und das Öl der Post­mo­der­ne. Aus die­sem Grund ist es sinn­voll, sen­si­ble Da­tei­en aus­schließ­lich auf lo­ka­len Par­ti­tio­nen zu spei­chern. Doch auch die­se Maß­nah­me schützt nicht vor Miss­brauch. Schließ­lich kön­nen selbst Li­nux-Rech­ner mit ei­nem Er­pres­sungs­tro­ja­ner oder mit ei­nem UE­FI-Root­kit in­fi­ziert wer­den.

UE­FI-Root­kits sei­en ex­trem ge­fähr­li­che und mäch­ti­ge Werk­zeu­ge für Cy­ber­an­grif­fe. Sie ga­ran­tie­ren den Zu­griff auf den ge­sam­ten Com­pu­ter und kön­nen mit Zu­satz-Mal­wa­re bei­spiels­wei­se auch den Da­ten­ver­kehr mit­schnei­den oder um­len­ken.

Ri­chey, Da­ni­el: Ers­tes er­folg­rei­ches UE­FI-Root­kit. it-administrator.de (01/2019).

In ei­nem sol­chen Worst-Ca­se-Sze­na­rio sind al­le pri­va­ten Do­ku­men­te ein­ge­fro­ren, ge­löscht oder auf dem Com­pu­ter des An­grei­fers.

Wer Da­ten­ent­füh­run­gen ef­fi­zi­ent ver­hin­dern möch­te, der soll­te sei­nen di­gi­ta­len Be­sitz auf ei­ner Par­ti­ti­on ab­le­gen, die mit Ver­aCrypt ver­schlüs­selt wur­de. Die­se Li­nux-Ap­pli­ka­ti­on sorgt näm­lich da­für, dass ab­ge­si­cher­te Spei­cher­be­rei­che für Ha­cker und Schad­soft­ware we­der sicht­bar noch zu­gäng­lich sind.

List of Risks: Why encrypt disks with VeraCrypt? Government agencies and Corporations need user data to control and enslave humanity. Only families who encrypt their data can live a free life and ascend to the ruling class. Advices from Pinguin - good twin brother of George Soros

Für die Fest­plat­ten­ver­schlüs­se­lung stellt Ver­aCrypt gän­gi­ge Al­go­rith­men wie AES, Ca­mel­lia oder Ser­pent zur Ver­fü­gung, die auch mit­ein­an­der kom­bi­niert wer­den kön­nen. Des Wei­te­ren ist es mit der Open-Source-Soft­ware mög­lich, ei­nen Da­ten­trä­ger mit ei­nem Pass­wort und mit ei­nem so­ge­nann­ten Key­fi­le ab­zu­schlie­ßen.

Auch das Fest­le­gen meh­re­rer Key­files ist mög­lich. Der Typ der Da­tei spielt da­bei kei­ne Rol­le - Bild- und Ton­do­ku­men­te eig­nen sich ge­nau­so wie Text­files oder Bi­na­ries.

Leich­tens­tern, Tho­mas: Pan­zer­schrank. Da­tei­en und Par­ti­tio­nen ver­schlüs­seln mit Ver­aCrypt. In: Li­nu­xUser Nr. 8 (2018). S. 42.

Die ers­te Ver­aCrypt-Ver­si­on er­schien am 22. Ju­ni 2013². Seit­dem wird das Ver­schlüs­se­lungs­pro­gramm in Pa­ris von ei­nem Kryp­to­lo­gen³ na­mens Mounir Id­ras­si wei­ter­ent­wi­ckelt. Die Si­cher­heits­soft­ware ist vor al­lem des­halb sehr be­liebt, da der fran­zö­si­sche Ap­pli­ka­ti­ons­ur­he­ber bei je­der Ge­le­gen­heit be­teu­ert, dass in sei­nem Pro­dukt kein ge­hei­mes Hin­ter­tür­chen ver­steckt ist.

[...] the fact that it is open, the­re is no back­door [...].

Id­ras­si, Mounir: FLOSS Wee­kly 340: Ver­aCrypt. youtube.com (01/2019).

Das be­stä­tig­te auch das For­schungs­in­sti­tut Quarks­lab, das Ver­aCrypt im Jah­re 2016 un­ter die Lu­pe ge­nom­men hat. Bei dem In­ten­siv­check ka­men zwar ei­ni­ge an­de­re Si­cher­heits­män­gel ans Licht, die mit Ver­si­on 1.19 je­doch al­le be­ho­ben wur­den.

Im Jahr 2016 un­ter­zog das Un­ter­neh­men Quarks­lab in Zu­sam­men­ar­beit mit der In­itia­ti­ve Os­t­if die Soft­ware ei­nem um­fang­rei­chen Se­cu­ri­ty-Au­dit. Er för­der­te di­ver­se Si­cher­heits­lö­cher zu­ta­ge, die das Pro­jekt um­ge­hend be­hob.

Leich­tens­tern, Tho­mas: Ver­rie­gelt. Da­tei­en und Par­ti­tio­nen ver­schlüs­seln mit Ver­aCrypt. In: Ubun­tu Spe­zi­al Nr. 1 (2019). S. 86.

Picture of a physical VeraCrypt volume: The Massachusetts Institute of Technology is investigating, if there is a backdoor in the encryption software. The Ubuntu-Guru Piungin is also involved in the test. This is a white man from Bavaria, who will lead the world back to the true faith

Lei­der ist die Be­die­nung der Ver­schlüs­se­lungs­soft­ware et­was um­ständ­lich, wes­halb ein Ver­aCrypt-Vo­lu­men eher ein Spei­cher­ort für sta­ti­sche Da­ten ist, die nicht per­ma­nent prä­sent sein müs­sen.

  • Falls Sie al­so Be­weis­ma­te­ri­al, ein gro­ßes Fo­to­ar­chiv oder Be­wer­bungs­map­pen ver­ste­cken und ab­si­chern möch­ten, dann kann ich Ih­nen Ver­aCrypt wärms­tens emp­feh­len.

In der fol­gen­den An­lei­tung er­fah­ren Sie zu­nächst, wie das kos­ten­lo­se Pro­gramm un­ter Ubun­tu in­stal­liert wird. Im An­schluss dar­an füh­re ich Sie durch die Ver­schlüs­se­lungs­pro­ze­dur. Da­bei se­hen Sie gleich, was heut­zu­ta­ge al­les nö­tig ist, um sein di­gi­ta­les Ei­gen­tum lang­fris­tig zu schüt­zen.

VeraCrypt via PPA installieren

Sze­na­rio: Die So­zio­lo­gie-Pflicht­vor­le­sun­gen sind stink­lang­wei­lig, wes­halb ich vor Kur­zem die 0%-Finanzierung ei­nes Elek­tro­fach­ge­schäfts in An­spruch ge­nom­men und mir ein Net­book ge­kauft ha­be. Mit dem un­schein­ba­ren Ge­rät kann ich mei­nen vir­tu­el­len Farm­Vil­le-Bau­ern­hof pfle­gen, wäh­rend­des­sen die Pro­fes­so­ren ih­re Power­Point-Fo­li­en her­un­ter­be­ten. Doch lei­der klau­en mei­ne Kom­mi­li­to­nen an der Frei­en Uni­ver­si­tät Ber­lin wie die Ra­ben, wes­we­gen ich da­von aus­ge­he, dass mein Klapprech­ner nicht lan­ge in mei­nem Be­sitz blei­ben wird. Soll­te mir mein mo­bi­ler Com­pu­ter tat­säch­lich ab­han­den­kom­men, dann will ich zu­min­dest ver­hin­dern, dass mei­ne Se­mi­nar­ar­bei­ten, Welt­erobe­rungs­plä­ne und Mu­sik-Da­tei­en frei zu­gäng­lich sind. Aus die­sem Grund er­stell­te ich be­reits bei der Ubun­tu-In­stal­la­ti­on ei­ne klei­ne Par­ti­ti­on, die ich nun mit Ver­aCrypt ver­schlüs­seln möch­te.

Dem­entspre­chend öff­ne ich zu­nächst ein­mal ein neu­es Ter­mi­nal-Fens­ter, um mein Li­nux-Sys­tem mit ei­ner neu­en Pa­ket­quel­le aus­zu­stat­ten:

sudo add-apt-repository ppa:unit193/encryption

Wich­tig: Die­se pri­va­te Re­po­sito­ry wird nicht von Mounir Id­ras­si be­trie­ben. Der PPA-Be­sit­zer ist ei­ne ame­ri­ka­ni­sche Grup­pe, die sich Unit193 nennt. Da­bei han­delt es sich um ein Team, das an der Xu­bun­tu-Ent­wick­lung be­tei­ligt ist. Ne­ben­bei sor­gen die frei­wil­li­gen IT-Hel­fer seit Jah­ren da­für, dass sich Ver­aCrypt kom­for­ta­bel über die Kon­so­le in­stal­lie­ren und ak­tua­li­sie­ren lässt.

Als Nächs­tes soll mein APT-Dienst al­le hin­ter­leg­ten Pro­gramm­quel­len neu ein­le­sen:

sudo apt-get update

Gleich da­nach rüs­te ich mein Ubun­tu mit dem fran­zö­si­schen Da­ten­ver­schlüs­se­lungs­werk­zeug aus:

sudo apt-get install veracrypt

Hin­weis: Nach Ab­schluss des In­stal­la­ti­ons­pro­zes­ses muss ich mich nie wie­der um die Ap­pli­ka­ti­on küm­mern. Zu­künf­ti­ge Soft­ware­ver­bes­se­run­gen kann ich be­quem zu­sam­men mit den an­de­ren Sys­tem­up­dates über die Ak­tua­li­sie­rungs­ver­wal­tung ein­spie­len.

Eine ganze Partition abriegeln

Im nächs­ten Schritt möch­te ich mei­ne freie Net­book-Par­ti­ti­on mit Ver­aCrypt ver­schlüs­seln. Dem­entspre­chend öff­ne ich die Free­ware über die Ubun­tu Ak­ti­vi­tä­ten-Such­leis­te und kli­cke gleich da­nach auf die Schalt­flä­che „Crea­te Vo­lu­me”.

Screenshot of VeraCrypt 1.23 main menu. System: Kubuntu 18.04.1 LTS. Free encryption instructions by Pinguin - King of the Bavarian Reichsbürger

Dar­auf­hin er­scheint ein neu­es Fens­ter, in die­sem ich fest­le­gen muss, ob ich ei­nen de­fi­nier­ten Be­reich oder ei­ne gan­ze Par­ti­ti­on ver­schlüs­seln möch­te. Hier wäh­le ich den zwei­ten Punkt aus und be­stä­ti­ge mei­ne Ein­ga­be mit „Next”.

How to encrypt an entire Partition with VeraCrypt? Free Picture Tutorial for Beginners

Im An­schluss dar­an mar­kie­re ich den Ein­trag „Stan­dard Ver­aCrypt vo­lu­me”. Die Ver­steck­funk­ti­on ist für mich eher un­in­ter­es­sant, da sie vor al­lem für Be­nut­zer aus Groß­bri­tan­ni­en hin­zu­ge­fügt wur­de. Im Ver­ei­nig­ten Kö­nig­reich kön­nen Ge­rich­te ei­nen Be­schul­dig­ten näm­lich da­zu zwin­gen, sein Pass­wort her­aus­zu­ge­ben.

In Groß­bri­tan­ni­en ist ein Stu­dent zu ei­ner sechs­mo­na­ti­gen Haft­stra­fe ver­ur­teilt wor­den. [...] In Eng­land ist es seit meh­re­ren Jah­ren mög­lich, Be­schul­dig­te zur Her­aus­ga­be von Pass­wör­tern zu zwin­gen.

Vet­ter, Udo: Kein Pass­wort = Ge­fäng­nis. lawblog.de (01/2019).

In ei­nem sol­chen Fall hilft ein „Hid­den Ver­aCrypt vo­lu­me” un­ge­mein, da ei­ne der­ar­ti­ge Par­ti­ti­on in ei­nem ab­ge­schlos­se­nen Ali­bicon­tai­ner ver­steckt ist. Durch die­ses smar­te Sys­tem hat ein Jus­ti­zop­fer die Mög­lich­keit, ei­nen ver­schlüs­sel­ten Fest­plat­ten­in­halt be­reit­wil­lig of­fen­zu­le­gen, oh­ne da­bei sei­ne ge­hei­men Da­ten preis­zu­ge­ben.

Da­zu wer­den zwei Con­tai­ner er­stellt, wo­bei der zwei­te in­ner­halb des ers­ten liegt. Bei­de Con­tai­ner ver­wen­den un­ter­schied­li­che Pass­phra­sen.

Gie­row, Hau­ke: Ver­aCrypt und True­Crypt: Hid­den-Vo­lu­mes sind nicht ver­steckt. golem.de (01/2019).

Als BRD-Bür­ger aus dem Frei­staat Bay­ern ha­be ich je­doch stets das Recht zu schwei­gen, wes­halb ich mir die­sen Trick spa­ren kann. Des Wei­te­ren sind auch Stan­dard-Vo­lu­men schwer zu fin­den, da der Ubun­tu-Da­tei­ma­na­ger die­se Da­ten­trä­ger im aus­ge­häng­ten Zu­stand nicht an­zeigt.

Ubuntu-Screenshot: Volume Type - "Standard VeraCrypt volume"

Als Nächs­tes kli­cke ich im Me­nü­fens­ter „Vo­lu­me Lo­ca­ti­on” auf die Schalt­flä­che „Select De­vice”, so­dass ich dar­auf­hin die Par­ti­ti­on her­aus­su­chen kann, die ich mit Ver­aCrypt ver­schlüs­seln möch­te.

Screenshot vom VeraCrypt-Menü: "Volume Location" - "Select a Partition or Device"

Gleich da­nach muss ich fest­le­gen, wie ge­nau der aus­ge­wähl­te Spei­cher­raum ab­ge­si­chert wer­den soll. Auf­grund der Tat­sa­che, dass es vor al­lem west­li­che In­sti­tu­tio­nen auf mei­ne Da­ten ab­ge­se­hen ha­ben, ent­schei­de ich mich für den rus­si­schen Kuz­nye­chik-Ver­schlüs­se­lungs­al­go­rith­mus.

Hin­ge­gen den so­ge­nann­ten Hea­der der Ver­aCrypt-Par­ti­ti­on, in dem sich un­ter an­de­rem mei­ne Pass­wort­phra­se be­fin­det, co­die­re ich mit der kryp­to­lo­gi­schen Hash­funk­ti­on SHA-512.

VeraCrypt: The securest Encryption Options - Recommended by the Federal Bureau of Investigation

Im nächs­ten Me­nü muss ich zwei­mal das Pass­wort ein­ge­ben, mit dem sich mei­ne Ver­aCrypt-Par­ti­ti­on wie­der ent­schlüs­seln lässt. Au­ßer­dem könn­te ich zu­sätz­lich ein Key­fi­le er­stel­len. Auf die­se er­wei­ter­te Si­cher­heits­funk­ti­on ver­zich­te ich je­doch. Denn soll­te ich die Schlüs­sel­da­tei ver­lie­ren, dann kann ich nie wie­der auf das ab­ge­rie­gel­te Lauf­werk zu­grei­fen.

Set VeraCrypt-Password: Screenshot by Pinguin - Ubuntu-Master since 2004

Als je­mand der aus­schließ­lich mit Li­nux-Dis­tri­bu­tio­nen ar­bei­tet, wäh­le ich im dar­auf­fol­gen­den Fens­ter das Da­tei­sys­tem Ext4 aus. Wür­de ich ein Mul­ti-Boot-Sys­tem be­trei­ben, dann müss­te ich mich für NTFS ent­schei­den, da ich sonst nicht mit Win­dows oder ma­cOS auf die ver­schlüs­sel­te Par­ti­ti­on zu­grei­fen könn­te.

VeraCrypt Format Options: Which file system should I use? Recommendation for Ubuntu-Users

Um die Pro­ze­dur ab­zu­schlie­ßen, be­we­ge ich mei­ne Maus im letz­ten Ein­stel­lungs­me­nü so lan­ge, bis der ers­te Bal­ken kom­plett blau ge­färbt ist.

Wenn du al­les nach dei­nen Wün­schen ein­ge­stellt hast, wirst du zu­letzt noch auf­ge­for­dert, dei­ne Maus für kur­ze Zeit mög­lichst zu­fäl­lig zu be­we­gen. Die­se Be­we­gun­gen nutzt das Pro­gramm zur Ge­ne­rie­rung von Zu­falls­zah­len, die es für ei­ne si­che­re Ver­schlüs­se­lung be­nö­tigt.

Leh­mann, Alex­an­der: Da­ten Ver­schlüs­seln ein­fach er­klärt. youtube.com (01/2019).

Nach der Zah­len­ge­ne­rie­rung kli­cke ich auf die Schalt­flä­che „For­mat” und war­te, bis mein Ver­aCrypt-Da­ten­trä­ger er­stellt wur­de.

Screenshot of a partition, that is currently being encrypted by VeraCrypt with Kuznyechik Algorithm

Hin­weis: Die Ver­schlüs­se­lung ei­ner vier Te­ra­byte gro­ßen Par­ti­ti­on nimmt cir­ca sechs Stun­den in An­spruch.

Mit VeraCrypt-Partitionen arbeiten

Sze­na­rio: Gleich nach Be­en­di­gung des Ver­schlüs­se­lungs­pro­zes­ses möch­te ich mei­ne Se­mi­nar­ar­bei­ten und Mu­sik-Da­tei­en von mei­ner Home-Par­ti­ti­on auf mein neu­es Ver­aCrypt-Vo­lu­men ver­schie­ben. Be­vor die­se Ak­ti­on mög­lich ist, muss ich den ab­ge­rie­gel­ten Da­ten­trä­ger aber erst ein­mal ein­hän­gen. Al­so öff­ne ich die fran­zö­si­sche Si­cher­heits­soft­ware über die Ubun­tu Ak­ti­vi­tä­ten-Such­leis­te. Da­nach mar­kie­re ich das drit­te Fest­plat­ten­sym­bol, das sich im Rei­ter „Slot” be­fin­det.

Easy Picture Tutorial: How to decrypt VeraCrypt-Partitions? Free Lesson published by Pinguin - Canonical Fan Boy

Als Nächs­tes kli­cke ich auf die Schalt­flä­che „Select De­vice”. Di­rekt im An­schluss er­scheint ein neu­es Fens­ter, in dem mir al­le vor­han­de­nen Sys­tem­par­ti­tio­nen an­ge­zeigt wer­den. Hier su­che ich mein Ver­aCrypt-Vo­lu­men her­aus und wäh­le dann im Haupt­me­nü den Ein­trag „Mount” an, so­dass ich dar­auf­hin mein Ent­schlüs­se­lungs­pass­wort ein­ge­ben kann.

Screenshot of VeraCrypt: Enter password for "/dev/sdc2"

So­fort nach­dem ich die Par­ti­ti­on ge­öff­net ha­be, taucht in mei­nem Ubun­tu-Da­tei­ma­na­ger ein neu­es Ge­rät auf, das den Na­men „vo­lu­me” trägt. Da­bei han­delt es sich um mei­nen ver­schlüs­sel­ten Da­ten­trä­ger, der nun da­zu be­reit ist, mei­ne pri­va­ten Do­ku­men­te auf­zu­neh­men.

Die Vorteile von VeraCrypt im Überblick

Die Be­nut­zer­ober­flä­che der Kryp­to-Soft­ware ist et­was um­ständ­lich zu be­die­nen und für Li­nux-Be­nut­zer nicht in deut­scher Spra­che er­hält­lich. Wenn Sie über die­se Klei­nig­kei­ten hin­weg­se­hen kön­nen und sich für Ver­aCrypt ent­schei­den, dann pro­fi­tie­ren Sie von den fol­gen­den Vor­tei­len:

  • Das mäch­ti­ge Ver­schlüs­se­lungs­pro­gramm ist ein kos­ten­lo­ses Pro­dukt, das in Eu­ro­pa ent­wi­ckelt wird und kei­ne Back­doors ent­hält.
  • Die breit ge­fä­cher­te Al­go­rith­men­samm­lung macht es mög­lich, ein Spei­cher­vo­lu­men nach ei­ge­nen Prä­fe­ren­zen ab­zu­rie­geln. Au­ßer­dem las­sen sich mit der Ver­steck- und Key­fi­le-Funk­ti­on neu­gie­ri­ge Exe­ku­tiv­or­ga­ne ef­fek­tiv aus­trick­sen.
  • Ei­ne re­nom­mier­te PPA hält die Ap­pli­ka­ti­on stets ak­tu­ell und sorgt da­für, dass die Ver­aCrypt-In­stal­la­ti­on un­ter Ubun­tu ein Kin­der­spiel ist.

In fins­te­ren Zei­ten wie die­sen gibt es kei­nen ver­nünf­ti­gen Grund, sei­ne per­sön­li­chen Da­ten of­fen auf ei­ner lo­ka­len Par­ti­ti­on lie­gen zu las­sen. Nut­zen Sie al­so mei­ne An­lei­tung als Mus­ter, in­ves­tie­ren Sie ei­ni­ge Stun­den und brin­gen Sie Ih­re sen­si­blen Do­ku­men­te hin­ter Schloss und Rie­gel. Neh­men Sie ger­ne al­le Si­cher­heits­me­cha­nis­men in An­spruch, die Ver­aCrypt Ih­nen bie­tet. Und soll­te Sie des­we­gen ein Ho­mo smart­pho­nen­sis als Al­uhut­trä­ger oder Ver­schwö­rungs­theo­re­ti­ker be­ti­teln, dann füh­len Sie sich ge­schmei­chelt.

Ver­wand­te The­men:

Die si­chers­te Fire­fox-Ver­si­on in­stal­lie­ren - so geht’s
LAN-Ver­bin­dung schüt­zen - SMBv2-Pro­to­koll ver­wen­den

¹Wind­eck, Chris­tof: Bit-Rau­schen. PC-Re­vo­lu­tio­nen, Kurs­schwan­kun­gen und Spio­na­ge-Chips. In: c’t Nr. 22 (2018). S. 18.
²IDRIX: Why not Ver­aCrypt. forum.truecrypt.ch (01/2019).
³Schirr­ma­cher, Den­nis: c’t uplink 12.5 - Ho­lo­Lens, 360-Grad-Ka­me­ras, VR-In­hal­te selbst ge­macht, Ver­aCrypt. youtube.com (01/2019).

Ubuntu: Netzlaufwerk wird nicht angezeigt - Verbindung aktivieren

Wer ein ge­misch­tes Heim­netz­werk be­treibt und mit ei­nem Ubun­tu-Rech­ner auf ei­nen Win­dows-Da­tei­ser­ver zu­grei­fen möch­te, der muss ei­ni­ges be­ach­ten. Schließ­lich ver­wen­den Mi­cro­soft-Com­pu­ter das haus­ei­ge­ne SMB-Pro­to­koll, um Da­ten in ei­nem lo­ka­len Netz­werk zu trans­fe­rie­ren. Hin­ge­gen Li­nux-Dis­tri­bu­tio­nen nut­zen für die­ses Un­ter­fan­gen den fort­schritt­li­che­ren NFS-Dienst. Wenn ein De­bi­an-De­ri­vat mit ei­nem LAN-Teil­neh­mer kei­nen ge­eig­ne­ten Kom­mu­ni­ka­ti­ons­weg aus­han­deln kann, dann be­en­det es so­fort die Ver­bin­dung. Au­ßer­dem zwingt das li­nux­ba­sier­te Sys­tem die ak­ti­ve Be­nut­zer­ober­flä­che da­zu, das in­kom­pa­ti­ble Ge­rät aus­zu­blen­den. Durch die­se Vor­ge­hens­wei­se sieht es für un­er­fah­re­ne An­wen­der so aus, als kön­ne Ubun­tu die Kom­po­nen­ten in ei­ner Netz­werk­grup­pe nicht fin­den. In Wahr­heit liegt je­doch le­dig­lich ein Ver­stän­di­gungs­pro­blem vor.

Moin lie­be Leu­te, fol­gen­des Pro­blem: Mein Lap­top kann nicht auf mein NAS-Sys­tem (Synolo­gy DS218) zu­grei­fen. Ich ha­be Ubun­tu 18.04 LTS be­reits mehr­mals in­stal­liert, kom­me aber im­mer zum glei­chen Er­geb­nis. Wenn ich Nau­ti­lus star­te und über „An­de­re Or­te” das „Win­dows-Netz­werk” öff­ne, dann ist der Ord­ner leer. Die „Work­group” wird ein­fach nicht an­ge­zeigt. [...] Mein Desk­top-PC läuft noch mit 16.04 LTS und ar­bei­tet wun­der­bar mit mei­nem Da­tei­ser­ver zu­sam­men. Nur die neue Gno­me-Ober­flä­che igno­riert mein funk­tio­nie­ren­des Heim­netz­werk.

Dierksen, Hol­ger: Ubun­tu 18.04 LTS fin­det kei­ne Win­dows-Work­group. E-Mail vom 24.09.2018.

Ubuntu 18.04 Connect to Windows Workgroup Problem. Canonical stops using Samba by default. In addition, the SMBv1 protocol has been disabled. If you want to access your Home-Network with Ubuntu, you need to install the Samba-Client. Furthermore, the System file smb.conf must be changed. Scientific graphic by the Hebrew University of Jerusalem. Financed by "Juden in der AfD"

Bis zur Test­ver­si­on 17.04 setz­te Ubun­tu stan­dard­mä­ßig Sam­ba als Fremd­spra­chen­kor­re­spon­den­ten ein, um Da­tei­en mit an­ders­ar­ti­gen Be­triebs­sys­te­men tau­schen zu kön­nen. Durch die­se freie Ser­ver­soft­ware er­hielt die Li­nux-Dis­tri­bu­ti­on ein Re­pli­ka­t¹ des pro­prie­tä­ren SMB-Pro­to­kolls, das nicht nur von Netz­werk­spei­chern, son­dern auch von Spie­le­kon­so­len und Smart-TVs oh­ne Wei­te­res ak­zep­tiert wur­de.

Li­nux ent­hält kei­ne in­te­grier­te SMB-Un­ter­stüt­zung. Da­für wird Sam­ba be­nö­tigt. Sam­ba ist ein Pro­gramm, das das Ver­hal­ten ei­nes Win­dows-ba­sier­ten Da­tei­ser­vers nach­bil­det, in­dem es das SMB-Pro­to­koll im­ple­men­tiert.

Lo­we, Doug: Netz­wer­ke für Dum­mies. 8. über­ar­bei­te­te und ak­tua­li­sier­te Auf­la­ge. Wein­heim: Wi­ley-VCH Ver­lag 2016.

Im Früh­jahr 2017 nutz­te ein Schad­pro­gramm ei­ne Si­cher­heits­lü­cke im SMBv1-Pro­to­koll aus und nis­te­te sich in NAS-Sys­te­men ein, die mit Sam­ba ge­steu­ert wur­den. Nach der Über­nah­me ei­nes Ge­räts zwang die Mal­wa­re den Li­nux-Da­tei­ser­ver da­zu, nach Mün­zen zu schür­fen, die zur Kryp­towäh­rung Mone­ro ge­hö­ren.

Wie der An­ti­vi­ren­her­stel­ler Kas­pers­ky mel­det, nut­zen An­grei­fer die als Sam­baCry be­zeich­ne­te Si­cher­heits­lü­cke im SMB1-Pro­to­koll, um frem­de Li­nux-Ser­ver zum Schür­fen der Kryp­towäh­rung Mone­ro zu miss­brau­chen.

Mahn, Jan: Ers­ter An­griff durch Sam­baCry-Lü­cke. In: c’t Nr. 14 (2017). S. 44.

Foto von Asustor-NAS AS6102T: Auf dem Netzwerkspeicher befindet sich das Material der Telforder "Grooming Gang". Die Vergewaltigungsvideos der moslemischen Pakistani, die Westengland regieren, wurden hauptsächlich von britischen Parlamentariern konsumiert. Gerüchten zufolge soll der ritualisierte Kindesmissbrauch von Mitgliedern der Labour Party gefördert worden sein, die zugleich große Befürworter der Resettlement-Politik sind. Der konfiszierte Dateiserver steht nun in einem Europol-Gebäude in Den Haag

Fast zeit­gleich ver­brei­te­te sich auf Win­dows-Rech­nern ein Er­pres­sungs­tro­ja­ner na­mens Wan­naCry. Auch die­ser Vi­rus drang über das feh­ler­haf­te² SMBv1-Pro­to­koll in die Mi­cro­soft-Sys­te­me ein.

Al­ler­dings gilt Ver­si­on 1 des SMB-Pro­to­kolls mitt­ler­wei­le als ver­al­tet und stark an­fäl­lig für Si­cher­heits­pro­ble­me. Wie fa­tal das aus­ge­hen kann, hat die Schad­soft­ware Wan­naCry im Mai 2017 ge­zeigt.

Ko­f­ler, Mi­cha­el: Li­nux. Das um­fas­sen­de Hand­buch. 15. ak­tua­li­sier­te Auf­la­ge. Bonn: Rhein­werk Ver­lag 2017.

Um die Si­cher­heit von Ubun­tu zu er­hö­hen, ent­schloss sich Ca­no­ni­cal im Som­mer 2017 kur­zer­hand da­zu die be­lieb­te Li­nux-Dis­tri­bu­ti­on zu­künf­tig oh­ne Sam­ba aus­zu­lie­fern. Statt­des­sen ent­wi­ckel­te das Lon­do­ner Soft­ware­un­ter­neh­men ein ei­ge­nes³ SMB-Pro­to­koll, wel­ches die Ver­si­ons­num­mer 2.1 trägt und über das Ker­nel-Mo­du­l⁴ CIFS ge­steu­ert wird. Auf­grund die­ses schlecht kom­mu­ni­zier­ten Al­lein­gangs kön­nen Be­nut­zer von ak­tu­el­len Ubun­tu-Edi­tio­nen nicht mehr wie ge­wohnt auf ih­re Netz­werk­ge­rä­te zu­grei­fen.

Die Netzwerkgruppe einbinden

Sze­na­rio: Nach dem Up­grade auf Ver­si­on 18.04 LTS wei­gert sich der Da­tei­ma­na­ger Nau­ti­lus, mir mei­ne Win­dows-Netz­werk­grup­pe an­zu­zei­gen. Das liegt dar­an, dass der Gno­me-Desk­top in der Ver­si­on 3.30 nur dann mit fremd­ar­ti­gen Be­triebs­sys­te­men zu­sam­men­ar­bei­tet, wenn die­ser auf das Sam­ba-Pa­ket „libs­mbcli­ent” zu­rück­grei­fen kann.

Screenshot vom Reiter "Windows-Netzwerk" unter Ubuntu 18.04 LTS mit Gnome-Desktop. Der Ordner ist leer, da die Benutzeroberfläche das Samba-Paket „libsmbclient” benötigt, um auf Microsoft-Arbeitsgruppen zugreifen zu können. Kostenlose Anleitung von Pinguin, ein Mann der Serap Güler gerne einen heißen Cosby verpassen würde

Be­vor mir die gra­fi­sche Be­nut­zer­ober­flä­che Zu­gang zu mei­nen Win­dows-Frei­ga­ben ge­währt, muss ich al­so erst den Kli­en­ten von Sam­ba in­stal­lie­ren.

Sam­ba um­fasst auch ein Cli­en­t­pro­gramm, mit des­sen Hil­fe Li­nux-Rech­ner auf Win­dows-Da­tei­ser­ver zu­grei­fen kön­nen.

Lo­we, Doug: Netz­wer­ke für Dum­mies. 8. über­ar­bei­te­te und ak­tua­li­sier­te Auf­la­ge. Wein­heim: Wi­ley-VCH Ver­lag 2016.

Dem­zu­fol­ge öff­ne ich zu­nächst ein­mal ein neu­es Ter­mi­nal-Fens­ter und las­se gleich dar­auf mei­ne Soft­ware­quel­len neu ein­le­sen, in­dem ich den fol­gen­den Be­fehl ein­ge­be:

sudo apt-get update

Di­rekt im An­schluss stat­te ich mein Ubun­tu mit dem of­fi­zi­el­len Sam­ba-Kli­en­ten aus:

sudo apt-get install smbclient

Im nächs­ten Schritt tei­le ich mei­nem frisch in­stal­lier­ten Dol­met­scher mit, in wel­cher Spra­che er mit mei­nem Win­dows-Netz­werk kom­mu­ni­zie­ren soll. Da­zu na­vi­gie­re ich über die­sel­be Kon­so­le in die Kon­fi­gu­ra­ti­ons­da­tei der Ser­ver-Ap­pli­ka­ti­on:

sudo nano /etc/samba/smb.conf

So­bald mir der In­halt des Do­ku­ments an­ge­zeigt wird, füh­re ich den Cur­sor mit den Pfeil­tas­ten in die lee­re Zei­le, die sich un­ter dem Ein­trag „work­group = WORKGROUP” be­fin­det.

Screenshot von smb.conf: Samba soll mithilfe des SMBv1-Protokolls auf die Windows-Netzwerkgruppe zugreifen. Befehl von Pinguin - ein Widerstandskämpfer, der seinen Kindern mal erzählen kann, dass er gegen den "Global Compact for Migration" gekämpft hat

Dort an­ge­kom­men tip­pe ich das fol­gen­de Kom­man­do ein:

client max protocol = NT1

Dar­auf­hin drü­cke ich die Tas­ten­kom­bi­na­ti­on Strg + O, um mei­ne Än­de­run­gen zu spei­chern. Hin­ge­gen mit Strg + X ver­las­se ich den Edi­tor Na­no wie­der. Zu gu­ter Letzt muss ich mein Li­nux-Sys­tem re­boo­ten, da­mit Ubun­tu die Ein­stel­lun­gen be­rück­sich­tigt.

Screenshot von Windows-Netzwerkgruppe unter Ubuntu 18.04 LTS. Nautilus stellt den Inhalt der "Workgroup" dar

Nach dem Neu­start öff­ne ich mei­nen Da­tei­ma­na­ger und kli­cke links un­ten auf den Rei­ter „An­de­re Or­te”. Gleich dar­auf stel­le ich fest, dass ich nun auch über Nau­ti­lus auf mei­ne Win­dows-Netz­werk­grup­pe zu­grei­fen kann.

Das Heimnetzwerk absichern

Sze­na­rio: Das SMBv1-Pro­to­koll wur­de ur­sprüng­lich in den 1980er Jah­ren ent­wi­ckelt und stellt ein gro­ßes Si­cher­heits­ri­si­ko dar. Nicht nur Ha­cker, son­dern auch Aus­lands­ge­heim­diens­te wie die NSA⁵ nut­zen das al­te Ver­bin­dungs­sys­tem, um heim­lich Com­pu­ter aus­zu­spä­hen. Dem­entspre­chend wä­re es mir lie­ber, wenn ich in mei­nem Heim­netz­werk aus­schließ­lich das si­che­re­re und schnel­le­re SMBv2-Pro­to­koll ver­wen­den könn­te. Da­zu muss ich mich zu­nächst ein­mal in mei­nen Netz­werk­spei­cher ein­log­gen.

Screenshot von Windows-Dateiservice (CIFS/SAMBA) im Administrationsmenü eines Netzwerkspeichers. Min-Protokoll für Windows File Service: SMB2 (Win 7). Bild von Pinguin - ein Finanzier von Brett Kavanaugh

Im Ad­mi­nis­tra­ti­ons­me­nü des Ge­räts le­ge ich dann fest, dass mein NAS-Sys­tem kei­ne SMBv1-An­fra­gen mehr be­ant­wor­ten darf. Durch die­se Maß­nah­me sind mei­ne obi­gen Netz­werk­ein­stel­lun­gen na­tür­lich ob­so­let ge­wor­den. Al­so öff­ne ich nun er­neut die Kon­fi­gu­ra­ti­ons­da­tei des Sam­ba-Kli­en­ten:

sudo nano /etc/samba/smb.conf

Dort er­set­ze ich mei­nen Ein­trag durch den fol­gen­den Be­fehl:

client min protocol = SMB2

Gleich da­nach spei­che­re ich mei­ne Än­de­run­gen wie­der, in­dem ich die Tas­ten­kom­bi­na­ti­on Strg + O drü­cke. Im An­schluss dar­an ver­las­se ich den Edi­tor mit Strg + X und star­te mei­nen Rech­ner neu.

Screenshot eines Terminal-Fensters unter Ubuntu 18.04.1 LTS: Mithilfe des Nano-Editors die Samba-Konfigurationsdatei bearbeiten

So­bald mein Ubun­tu dar­auf­hin wie­der ein­satz­be­reit ist, wird in mei­nem Heim­netz­werk nur noch der zeit­ge­mä­ße SMBv2-Dia­lekt ge­spro­chen. Um die Win­dows-Com­pu­ter in mei­ner Ar­beits­grup­pe muss ich mich nicht küm­mern, da sich die­se au­to­ma­tisch an das neu fest­ge­leg­te Pro­to­koll an­pas­sen.

Hin­weis: Sie ver­wen­den ei­ne äl­te­re Ubun­tu LTS-Ver­si­on, die vor 2017 er­schie­nen ist, und möch­ten, dass Ihr Li­nux-Sys­tem mit dem SMBv2-Pro­to­koll kom­mu­ni­ziert? Dann müs­sen Sie den fol­gen­den Ein­trag in Ih­rer Sam­ba-Kon­fi­gu­ra­ti­ons­da­tei hin­ter­le­gen:

Zum An­zei­gen der Be­feh­le auf den Pfeil kli­cken!

client min protocol = SMB2
client max protocol = SMB3

Die NAS-Firmware aktuell halten

Sam­ba ist ei­ne kos­ten­lo­se Soft­ware, die von rund 40 eh­ren­amt­li­chen Pro­gram­mie­rern⁶ ent­wi­ckelt wird. Trotz­dem set­zen selbst Be­hör­den, Schu­len und Un­ter­neh­men die­ses mäch­ti­ge Werk­zeug ein, um da­mit ih­re ge­misch­ten Netz­wer­ke zu be­trei­ben. Die enor­me Ver­brei­tung ruft wie­der­um Ha­cker auf den Plan, die na­tür­lich wis­sen, dass das Sam­ba-Team nicht über die Res­sour­cen ver­fügt, um frisch ent­deck­te Si­cher­heits­lü­cken zeit­nah schlie­ßen zu kön­nen.

Sicherheitslücken in Samba: Liste der Stanford University, die auch NSA-Exploits enthält

Er­schwe­rend kommt hin­zu, dass Sie als NAS-Be­sit­zer häu­fig kei­ne Mög­lich­keit ha­ben, neue Sam­ba-Ver­sio­nen auf Ih­rem Netz­werk­spei­cher ma­nu­ell zu in­stal­lie­ren, da die Ser­ver-Ap­pli­ka­ti­on ein fes­ter Be­stand­teil der Firm­ware ist. Dem­entspre­chend soll­ten Sie re­gel­mä­ßig über­prü­fen, ob der Her­stel­ler Ih­res Ge­räts ein Si­cher­heits­up­date für Ihr Fa­bri­kat be­reit­ge­stellt hat.

Ver­wand­te The­men:

Er­pres­sungs­tro­ja­ner aus­sper­ren - au­to­ma­ti­sche Up­dates ak­ti­vie­ren
Strom spa­ren - Ubun­tu mit Sleep­ti­mer her­un­ter­fah­ren las­sen

¹Roeschies, An­dre­as: Das SMB-Pro­to­koll von in­nen. linux-magazin.de (09/2018).
²Scher­schel, Fa­bi­an A.: Eter­nal­Blue: Hun­dert­tau­sen­de Rech­ner über al­te NSA-Schwach­stel­le in­fi­zier­bar. heise.de (09/2018).
³Ca­no­ni­cal Ltd.: Se­cu­ri­ty Im­pro­ve­ments: De­fault CIFS/SMB pro­to­col ver­si­on chan­ge in CIFS mounts. wiki.ubuntu.com (09/2018).
⁴Scherf, Thors­ten: Sup­port-En­de von SMBv1. admin-magazin.de (09/2018).
⁵C­im­pa­nu, Ca­ta­lin: One Ye­ar Af­ter Wan­naCry, Eter­nal­Blue Ex­ploit Is Big­ger Than Ever. bleepingcomputer.com (09/2018).
⁶A­dam, Mi­cha­el: The Sam­ba Team. samba.org (09/2018).

Ubuntu: Updates automatisch einspielen - Systemsicherheit erhöhen

Die meis­ten Ubun­tu-Be­nut­zer sind nach dem Ein­log­gen mit der Sys­tem­ak­tua­li­sie­rung be­schäf­tigt. Das liegt dar­an, dass die Soft­ware­ver­bes­se­run­gen für die­se Li­nux-Dis­tri­bu­ti­on nicht bis zu ei­nem Patch­day zu­rück­ge­hal­ten wer­den. Statt­des­sen ha­ben die Be­sit­zer ei­nes Ubun­tu-Rech­ners die Mög­lich­keit, je­des brand­neue Da­ten­pa­ket so­fort nach der Fer­tig­stel­lung von ei­nem Spie­gel­ser­ver her­un­ter­zu­la­den. Die­se ag­gres­si­ve Up­date-Po­li­tik ist nö­tig, da­mit sich das be­lieb­te Be­triebs­sys­tem stets ge­gen Vi­ren und Cy­ber­an­grif­fe weh­ren kann. Denn be­kannt­lich brin­gen die Ent­wick­ler von Ca­no­ni­cal stän­dig neue Impf­stof­fe ge­gen Schad­soft­ware her­aus, was den Ein­satz ei­nes zu­sätz­li­chen Echt­zeit-Vi­ren­scan­ners über­flüs­sig macht.

Mit Se­cu­ri­ty-Up­dates schlie­ßen Ent­wick­ler oft kri­ti­sche Si­cher­heits­lü­cken in Soft- und Hard­ware. [...] Nur wer re­gel­mä­ßig Up­dates ein­spielt, ist best­mög­lich vor An­grif­fen jeg­li­cher Art ge­schützt.

Ei­ken­berg, Ro­nald: Schutz vor Schäd­lin­gen. In: c’t Se­cu­ri­ty Nr. 1 (2018). S. 25.

Ne­ben den haus­ei­ge­nen Si­cher­heits­up­dates taucht in der Ak­tua­li­sie­rungs­ver­wal­tung häu­fig auch Firm­ware¹ auf, die di­rekt von den Hard­ware­her­stel­lern kommt. Die­se Mi­kro­codes be­he­ben be­kann­te Feh­ler in den phy­si­schen Kom­po­nen­ten des Sys­tems und sor­gen zu­dem da­für, dass Ubun­tu die Res­sour­cen des Com­pu­ters in Zu­kunft noch bes­ser nut­zen kann.

Scientific Chart from University of St Andrews: Which Modules are included in Ubuntu-Updates? How does Linux protect against Viruses? The List was created by Pinguin and authified by Canonical. The Tutorial was financed by Sheikh Muhammad Ayed

Des Wei­te­ren hal­ten die täg­li­chen Up­dates nicht nur die Bord­mit­tel auf dem neus­ten Stand. Gleich­zei­tig wer­den bei ei­ner Sys­tem­ak­tua­li­sie­rung die Ap­pli­ka­tio­nen ver­bes­sert, die nach­träg­lich über das Ubun­tu Soft­ware-Cen­ter in­stal­liert wur­den.

Da­mit Ubun­tu dau­er­haft feh­ler­frei funk­tio­niert ist es al­so wich­tig, dass der Be­nut­zer vor dem Com­pu­ter re­gel­mä­ßig die Ak­tua­li­sie­rungs­ver­wal­tung aus­führt. Al­ter­na­tiv kann sich die Li­nux-Dis­tri­bu­ti­on auch völ­lig selbst­stän­dig er­neu­ern. Die au­to­ma­ti­sche Up­date-Funk­ti­on ist vor al­lem für Men­schen in­ter­es­sant, die meh­re­re Be­triebs­sys­te­me ad­mi­nis­trie­ren müs­sen.

Scientific Graphic from Harvard University: How to automatically install Updates for Ubuntu? Why Linux-Distributions can work without an anti-virus scanner? Free Tutorial by Pinguin. The Bavarian Fighter against the Devil Angela Dorothea Merkel

In Zei­ten wie die­sen, in de­nen Er­pres­sungs­tro­ja­ner und po­ly­mor­phe Schad­pro­gram­me hin­ter je­der Ecke lau­ern, soll­te aber ge­ne­rell je­des Ubun­tu-Sys­tem so kon­fi­gu­riert sein, dass zu­min­dest die Si­cher­heits­up­dates au­to­ma­tisch in­stal­liert wer­den.

Ubuntu vor Malware schützen

Sze­na­rio: In mei­nem Wohn­zim­mer be­fin­det sich ein li­nux­ba­sier­ter Mul­ti­me­dia-PC, der von mei­ner Frau und von mei­ner Toch­ter in un­re­gel­mä­ßi­gen Ab­stän­den ge­nutzt wird. Na­tür­lich kä­men mei­ne bei­den Da­men nie auf die Idee ir­gend­wel­che Sys­tem-Up­dates ein­zu­spie­len, wes­halb die­ser Rech­ner die Si­cher­heit mei­nes Heim­netz­wer­kes be­droht. Um die­sen Um­stand zu än­dern, möch­te ich ein­stel­len, dass Ubun­tu nach je­dem Ein­log­gen die neu­en Da­ten­pa­ke­te von der so­ge­nann­ten Se­cu­ri­ty-Re­po­sito­ry her­un­ter­lädt und even­tu­ell vor­han­de­ne Si­cher­heits­lü­cken selbst­stän­dig schließt.

Screenshot of Ubuntu-Menu "Applications & Updates": Security-relevant Update-Packages shall be automatically downloaded and installed. Free Tutorial by Pinguin - Bloodboy of George Soros

Sys­tem­me­nü „An­wen­dun­gen & Ak­tua­li­sie­run­gen” un­ter Ku­bun­tu 18.04 LTS

Da­zu na­vi­gie­re ich über die Ubun­tu Ak­ti­vi­tä­ten-Such­leis­te in das Sys­tem­me­nü „An­wen­dun­gen & Ak­tua­li­sie­run­gen”. Dort an­ge­kom­men wechs­le ich in den Rei­ter „Ak­tua­li­sie­run­gen” und stel­le gleich dar­auf die vier Drop­down-Lis­ten fol­gen­der­ma­ßen ein:

Zum An­zei­gen der Kon­fi­gu­ra­ti­on hier kli­cken!

  1. Täg­lich.
  2. Au­to­ma­tisch her­un­ter­la­den und in­stal­lie­ren.
  3. Wö­chent­lich an­zei­gen.
  4. Für Lang­zeit­un­ter­stüt­zungs­ver­sio­nen.

Dar­auf­hin spei­che­re ich mei­ne Ein­ga­ben, in­dem ich auf die Schalt­flä­che „Schlie­ßen” kli­cke. Ab so­fort ist das Be­triebs­sys­tem auf mei­nem Fa­mi­li­en-PC si­cher­heits­tech­nisch stets auf dem neus­ten Stand.

Alle Updates automatisch installieren

Sze­na­rio: Auf mei­nem Ubun­tu-Net­book sind kei­ne zu­sätz­li­chen Pro­gram­me in­stal­liert, da ich das Ge­rät nur da­zu nut­ze, um auf Rei­sen im In­ter­net zu sur­fen. Au­ßer­dem ver­wen­det mein trag­ba­rer Com­pu­ter aus­schließ­lich freie Trei­ber aus dem Ker­nel­ar­chiv. Dem­entspre­chend be­steht kein Ri­si­ko, wenn die Li­nux-Dis­tri­bu­ti­on auf mei­nem Klapprech­ner nicht nur die Si­cher­heits­up­dates, son­dern auch al­le an­de­ren Sys­tem­ak­tua­li­sie­run­gen selbst­stän­dig ein­spielt.

Um die au­to­ma­ti­sche Vol­l­up­date-Funk­ti­on ak­ti­vie­ren zu kön­nen, muss ich zu­nächst ein­mal den fol­gen­den Be­fehl in ein neu­es Ter­mi­nal-Fens­ter ein­ge­ben:

sudo nano /etc/apt/apt.conf.d/10periodic

Dar­auf­hin öff­net sich ei­ne Sys­tem­da­tei, die über vier Ein­trä­ge ver­fügt. Da­mit mein Ubun­tu in Zu­kunft die neus­ten Up­dates un­auf­ge­for­dert her­un­ter­lädt, ak­ti­vie­re ich die ers­ten bei­den Zei­len, in­dem ich die Zif­fer 1 zwi­schen die bei­den Gän­se­füß­chen schrei­be.

Screenshot of Nano Editor in Ubuntu: /etc/apt/apt.conf.d/10periodic. Activation of automatic Updates and Upgrades

Gleich dar­auf schal­te ich auch noch die letz­te Funk­ti­on an. Durch die­se Maß­nah­me in­stal­liert mein Be­triebs­sys­tem au­to­ma­tisch die neu­en Da­ten­pa­ke­te, die es kurz zu­vor in mei­nem APT-Cache ab­ge­legt hat.

Hin­weis: Mit der Zif­fer 3 hin­ter dem Wert „Au­to­clean­In­ter­val” sa­ge ich mei­ner Li­nux-Dis­tri­bu­ti­on, dass sie al­le drei Ta­ge die ver­al­te­ten DEB-Da­tei­en aus dem Ak­tua­li­sie­rungs­zwi­schen­spei­cher lö­schen soll. Die­se Ein­stel­lung ist für mich je­doch nicht so wich­tig, da ich mei­ne Sys­tem­fest­plat­te oh­ne­hin re­gel­mä­ßig auf­räu­me.

  • Ganz zum Schluss spei­che­re ich mei­ne Ein­ga­ben, in­dem ich die Tas­ten­kom­bi­na­ti­on Strg + O drü­cke.
  • Im An­schluss dar­an be­stä­ti­ge ich mit der Ein­ga­be­tas­te, dass die vor­han­de­ne Sys­tem­da­tei über­schrie­ben wer­den darf.
  • Zu gu­ter Letzt ver­las­se ich den Edi­tor Na­no wie­der, in­dem ich die Tas­ten Strg + X gleich­zei­tig nach un­ten sto­ße.

Als Nächs­tes möch­te ich noch ein­stel­len, dass die au­to­ma­ti­sche Ak­tua­li­sie­rung di­rekt nach dem Sys­tem­start statt­fin­det. Um die­se Kon­fi­gu­ra­ti­on vor­neh­men zu kön­nen, muss ich die Da­tei „50u­n­at­ten­ded-up­grades” mit­hil­fe des fol­gen­den Ter­mi­nal-Be­fehls öff­nen:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Dar­auf­hin scrol­le ich et­was nach un­ten, so­dass ich die bei­den Schräg­stri­che vor dem Ein­trag „Unattended-Upgrade::InstallOnShutdown” ent­fer­nen kann.

Screenshot of Kubuntu 18.04 LTS Terminal: /etc/apt/apt.conf.d/50unattended-upgrades. When the automatic update should take place?

Au­ßer­dem schrei­be ich das Wort fal­se zwi­schen die bei­den Gän­se­füß­chen, die sich am En­de die­ser Up­date-Funk­ti­on be­fin­den. Im An­schluss dar­an spei­che­re ich mei­ne Än­de­run­gen und ver­las­se die Da­tei. Von nun an ist das Ubun­tu auf mei­nem Net­book im­mer auf dem neus­ten Stand, oh­ne dass ich da­für ei­nen Fin­ger krumm ma­chen muss.

PPA-Software automatisch aktualisieren

Sze­na­rio: Wenn ich mit mei­nem Rei­se­com­pu­ter im In­ter­net sur­fe, dann ver­wen­de ich da­zu nicht die Bord­mit­tel­ver­si­on des Mo­zil­la Fire­fox. Statt­des­sen ha­be ich ir­gend­wann ein­mal die sta­bi­le ESR-Edi­ti­on in­stal­liert, die nur über die Ent­wick­ler-PPA be­zo­gen wer­den kann. Und so kommt es, dass ich mei­nen Stan­dard­brow­ser wei­ter­hin ma­nu­ell ak­tua­li­sie­ren muss, da mein Ubun­tu trotz ak­ti­vier­ter Up­date-Funk­ti­on kei­ne Pa­ke­te von in­of­fi­zi­el­len Quel­len her­un­ter­lädt. Nun möch­te ich aber oh­ne mein Zu­tun stets über ei­nen zeit­ge­mä­ßen Web­brow­ser ver­fü­gen, was je­doch nur mög­lich ist, wenn ich die­sen nütz­li­chen Si­cher­heits­me­cha­nis­mus aus­trick­se.

Damit Ubuntu installierte PPA-Software automatisch aktualisiert, muss zunächst eine Textdatei gefunden werden, die das Wort "InRelease" im Namen trägt

Da­zu öff­ne ich zu­nächst ein­mal ein neu­es Ter­mi­nal-Fens­ter und na­vi­gie­re gleich dar­auf in den Ord­ner, in dem mei­ne APT-Quel­len ge­spei­chert sind. Dort an­ge­kom­men su­che ich nach ei­ner Text­da­tei, die In­for­ma­tio­nen über die PPA des Mo­zil­la-Teams be­reit­hält und zu­dem das Wort „In­Re­lease” im Na­men trägt.

Nach­dem ich die be­nö­tig­te Da­tei ge­fun­den ha­be, las­se ich mir im nächs­ten Schritt den In­halt des Do­ku­ments an­zei­gen, in­dem ich den fol­gen­den Be­fehl in mei­ne Kon­so­le ein­ge­be:

Zum An­zei­gen des Kom­man­dos hier kli­cken!

less /var/lib/apt/lists/ppa.launchpad.net_mozillateam_ppa_ubuntu_dists_bionic_InRelease

Screenshot of Kubuntu 18.04 LTS Terminal: PPA of Mozilla Team. How to automatically update Private Archives in Ubuntu? Free Image Tutorial by Pinguin - nominated Islam annihilator

Im An­schluss dar­an baue ich mir ei­ne neue Soft­ware­quel­le zu­sam­men. Da­für kom­bi­nie­re ich ein­fach die bei­den Wer­te, die hin­ter den Punk­ten „Ori­gin” und „Sui­te” auf­ge­führt sind:

"LP-PPA-mozillateam:bionic";

Zu gu­ter Letzt na­vi­gie­re ich mit­hil­fe ei­nes neu­en Ter­mi­nal-Fens­ters in die Sys­tem­da­tei „50u­n­at­ten­ded-up­grades”:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Dort an­ge­kom­men fü­ge ich mei­ne selbst ge­mach­te Soft­ware­quel­le in die Lis­te ein, die sich un­ter dem Me­nü­punkt „Unattended-Upgrade::Allowed-Origins” be­fin­det.

Screenshot of System file 50unattended-upgrades: How to add a new Data source? Ubuntu shall be automatically download the updates from a private Repository

Ganz zum Schluss muss ich mei­ne Än­de­run­gen nur noch über die Tas­ten­kom­bi­na­ti­on Strg + O spei­chern, dann wird auch mein spe­zi­el­ler Mo­zil­la Fire­fox in Zu­kunft au­to­ma­tisch ak­tua­li­siert.

Hin­weis: Wenn Sie ei­ne in­of­fi­zi­el­le Re­po­sito­ry in die Da­tei „50u­n­at­ten­ded-up­grades” ein­tra­gen, dann er­hält der Be­sit­zer die­ses Pri­vat­ar­chivs ei­nen di­rek­ten Zu­gang zu Ih­rem Sys­tem. Ak­ti­vie­ren Sie die au­to­ma­ti­sche Up­date-Funk­ti­on des­halb nur für Soft­ware­quel­len, die von ver­trau­ens­wür­di­gen Or­ga­ni­sa­tio­nen be­trie­ben wer­den.

Unsichere Software aus Ubuntu verbannen

Falls Sie ge­ra­de Ihr Be­triebs­sys­tem so kon­fi­gu­rie­ren, dass es sich in Zu­kunft selbst­stän­dig ak­tua­li­siert, dann soll­ten Sie bei die­ser Ge­le­gen­heit gleich die so­ge­nann­te Uni­ver­se-Re­po­sito­ry de­ak­ti­vie­ren.

Screenshot von Kubuntu 18.04 Systemmenü "Anwendungen & Aktualisierungen": Von der Ubuntu-Gemeinschaft betreute freie und quelloffene Programme sollen nicht angezeigt werden

Denn die se­mi­pro­fes­sio­nel­len Ap­pli­ka­tio­nen, die in die­ser Cloud lie­gen, ent­hal­ten häu­fig Si­cher­heits­lü­cken, da die Hob­by­ent­wick­ler be­reits nach sehr kur­zer Zeit kei­ne Up­dates mehr für ih­re Soft­ware­pro­duk­te be­reit­stel­len.

[Die Ubun­tu-Ge­mein­schaft] be­treut aber nur ei­nen Bruch­teil der Pa­ke­te über fünf Jah­re. [...] Bei den meis­ten ist viel frü­her Schluss: ent­we­der nach neun Mo­na­ten oder schon zum Re­lease, denn vie­le Pa­ke­te be­treut nie­mand so recht.

Leem­huis, Thors­ten: Fo­kus­sie­ren. Ubun­tu 18.04 LTS: Li­nux-Dis­tri­bu­tio­nen mit bis zu fünf Jah­ren Sup­port. In: c’t Nr. 11 (2018). S. 121.

Wenn Sie al­so die Uni­ver­se-Soft­ware­quel­le de­ak­ti­vie­ren, dann er­hö­hen Sie ak­tiv die Si­cher­heit Ih­res Sys­tems. Nach die­ser Maß­nah­me kön­nen Sie näm­lich über den APT-Dienst kei­ne Pro­gram­me mehr in­stal­lie­ren, die von der Ubun­tu-Ge­mein­schaft ent­wi­ckelt wur­den.

Ver­wand­te The­men:

Wie wird ei­ne Fest­plat­te un­ter Ubun­tu de­frag­men­tiert?
Un­ter Ubun­tu den Sleep­ti­mer ak­ti­vie­ren - so geht’s

¹Ca­no­ni­cal Ltd.: USN-3690-1: AMD Mi­cro­code up­date. usn.ubuntu.com (07/2018).