Mit einer starken Passphrase lassen sich Benutzerkonten effektiv vor lokalen Fremdzugriffen schützen. Sicherheitsbewusste Linux-Anwender gehen sogar noch einen Schritt weiter und nutzen für die Ubuntu-Anmeldung biometrische Technologien wie einen USB-Fingerabdruckscanner. Doch solange die persönlichen Daten unverschlüsselt im Home-Verzeichnis liegen, sind selbst die besten Aufsperrmechanismen völlig wertlos. Denn mithilfe einer Live-CD oder durch den Ausbau des Datenträgers können selbst Laien relativ einfach an sensible Dokumente gelangen. Nun möge manch einer abwinken und sich denken: „Ein Lottogewinn ist wahrscheinlicher, als dass eine unautorisierte Person einen ungestörten Zugang zu meinem Computer erhält.” Was auf private Desktop-PCs zutreffen mag, sieht bei mobilen Geräten völlig anders aus. Schließlich werden deutschlandweit täglich unzählige Notebooks in Bahnen, Hörsälen, Hotel-Lobbys und Hipster-Cafés vergessen oder gestohlen.
Währenddessen Ubuntu im Wurzelverzeichnis lediglich systemrelevante Dateien aufbewahrt, die für Angreifer gänzlich uninteressant sind, hat der Einbindungspunkt /home für neugierige Augen mehr zu bieten. So dient der „Persönliche Ordner” nämlich unter anderem als Ablageort für das Thunderbird-, Firefox- und Steamprofil.
Debian-Derivate speichern E-Mails, Internet-Downloads und Bürodokumente im Heimverzeichnis, das auch als „Persönlicher Ordner” bekannt ist.
Vetter, Veronika Helga: Ubuntu: Betriebssystem auf zwei Datenträger aufteilen - SSD + HDD. pinguin.gws2.de (11/2021).
Unverschlüsselt ließen sich diese sensiblen Daten exportieren und auf einem anderen Linux-System ausführen. Abhilfe schafft die Bibliothek eCryptfs, welche gespeicherte Informationen in alphanumerisches Chaos verwandelt. Doch Moment mal; ist dieses Werkzeug nicht fehlerhaft und damit obsolet?
Tatsächlich ist es auf Mehrbenutzersystemen unter gewissen Umständen möglich, eine eCryptfs-Verschlüsselung zu umgehen. Auch ein professionell durchgeführter Brute-Force-Angriff wird diesen Sicherheitsmechanismus relativ schnell aufbrechen. Hingegen gewöhnliche Notebook-Diebe, die im Home-Verzeichnis nach Erpressermaterial oder nach Zugängen für E-Mail-Konten suchen, müssen sich mit unlesbarem Datenschrott zufriedengeben.
Beachten Sie, dass eine entscheidende Aufgabe der eCryptfs-Verschlüsselung, nämlich die Daten eines mobilen Notebooks vor Fremdzugriff zu schützen (durch Livesystem oder nach Ausbau der Festplatte), uneingeschränkt erfüllt ist.
Apfelböck, Hermann: Home-Verschlüsselung für Cinnamon. In: Linux Welt Extra Nr. 3 (2021). S. 40.
Aber selbst wenn eCryptfs keinen hundertprozentigen Schutz bietet, was haben Ubuntu-Benutzer zu verlieren? Schließlich verschlüsselt die Freeware bereits vorhandene Dateien, ohne dass es dabei zu Datenverlusten kommt. Und genau wie ihre analogen Kollegen gehen auch digitale Einbrecher stets den Weg des geringsten Widerstandes. Dementsprechend genügen schon kleine Hürden, damit Kriminelle das Interesse verlieren.
Einfach zwei Paar Schuhe vor die Wohnungstür stellen. Das signalisiert dem Einbrecher, dass jemand zu Hause ist.
Galileo: 10 Fragen an einen Ex-Einbrecher. youtube.com (11/2021).
Die Vorbereitung
Szenario: Als ich vor Kurzem Ubuntu auf einem zukünftigen Bürorechner aufspielte, musste ich eine wegweisende Entscheidung fällen. So war es im Installationsassistenten Ubiquity mithilfe einer Schaltfläche namens „Erweiterte Funktionen„¹ möglich, ein voll verschlüsseltes Betriebssystem zu erzeugen. Aber hätte ich diese Option gewählt, dann wären alle Einbindungspunkte auf ein und demselben Datenträger erstellt worden. Allerdings wollte ich, dass meine Programmprofile auf einer separaten Festplatte liegen, weshalb ich die automatisierte Absicherung nicht in Anspruch nahm und stattdessen die Speicherorte manuell festlegte. Aufgrund meines Eigensinns besitzt das Gerät jetzt kein geschütztes Home-Verzeichnis, was gerade bei einem Office-PC ein äußerst fahrlässiger Zustand ist. Doch als fortgeschrittener Linux-Anwender weiß ich natürlich, wie ich nachträglich die Inhalte meines Benutzerkontos vor fremden Blicken bewahren kann.
So öffne ich zuallererst ein Terminal-Fenster, da ich einen temporären Pseudobenutzer erschaffen muss, der obendrein noch Administratorenrechte besitzt. Um ein neues Konto zu erstellen, welches auf den Namen „temp” hört und alle nötigen Voraussetzungen erfüllt, nehme ich den folgenden Befehl zur Hilfe:
sudo useradd temp -s /bin/bash -g sudo -m
Nachdem ich mein Ubuntu-System um einen weiteren Anwender ergänzt habe, benötigt dieser natürlich noch ein Passwort, das ich mit dem nachstehenden Kommando zuweise:
sudo passwd temp
Gleich darauf melde ich mich ab, sodass ich mich unmittelbar danach mit dem frisch erzeugten Fake-Profil einloggen kann.
Als Nächstes öffne ich erneut eine Kommandozeile, da ich nun das Verschlüsselungswerkzeug eCryptfs installieren möchte:
sudo apt-get update && sudo apt-get install ecryptfs-utils
Direkt im Anschluss beginne ich damit, die Programmprofile des Hauptkontos „pinguin” unlesbar zu machen:
sudo ecryptfs-migrate-home -u pinguin
Nachdem ich den obigen Befehl ausgeführt habe, muss ich zunächst das Anmeldekennwort des Pseudobenutzers eintippen.
Infolgedessen überprüft die Software, ob für die Operation ausreichend freier Speicherplatz zur Verfügung steht.
Die Verschlüsselung
Kurz darauf fordert das Terminal-Fenster die Passphrase für das Konto, das im Folgenden verschlüsselt werden soll. Nach erfolgreicher Authentifizierung beginnt die Absicherung des Home-Verzeichnisses, was je nach Belegung zwischen fünf und 30 Minuten dauern kann.
Sobald der Vorgang abgeschlossen wurde, teilt mir eine Information in der Konsole mit, dass ich das System jetzt auf keinen Fall neu starten darf. Vielmehr soll ich mich abmelden und mit dem Hauptbenutzer „pinguin” einloggen, um den Chiffrierungsprozess endgültig zu beenden.
Die Aufräumarbeiten
Zurück im verschlüsselten Anwenderkonto öffne ich als Erstes den Dateimanager Nautilus. Hierüber navigiere ich dann mithilfe des Reiters „Andere Orte” und dem Auswahlpunkt „Rechner” in den Profilordner „home”.
Doch was ist das? Noch während ich mich durch die Verzeichnisse klicke, ploppt plötzlich ein Hinweisfenster auf. In diesem Menü muss ich mich zwischen zwei Optionen entscheiden:
- Diese Aktion jetzt ausführen: Hierüber bekomme ich eine alphanumerische Passphrase dargestellt, die bei einer Systemwiederherstellung vonnöten ist. Ohne diesen Zugangscode kann ich meine persönlichen Dokumente nicht mehr aus einem defekten Ubuntu herauslösen.
- Schließen: Aufgrund des Umstandes, dass eine Datenrettung in den seltensten Fällen gelingt, lasse ich die Information ungelesen über die zweite Schaltfläche verschwinden.
Denn eines sollte jedem klar sein: Eine Verschlüsselung ersetzt keine regelmäßigen Backups.
Nun fragt sich der ein oder andere Linux-Anfänger bestimmt, wie er verschlüsselte Dateien auf eine externe Festplatte oder auf einen USB-Stick kopieren soll. Doch das funktioniert natürlich wie gehabt, da das Home-Verzeichnis eines angemeldeten Benutzers offen liegt und erst beim Herunterfahren des Betriebssystems abgeriegelt wird.
Im Ordner „home” sehe ich nun drei Profile, wovon zwei überflüssig sind. Aus diesem Grund entferne ich zunächst die Kopie² meines ursprünglichen Hauptkontos, die eCryptfs vor dem Verschlüsselungsprozess zur Sicherheit erstellt hat. In meinem Fall möchte sich Ubuntu aber nicht von diesem Ballast trennen, weshalb ich den effizienten RM-Befehl zum Löschen verwende.
Zu guter Letzt eliminiere ich ebenfalls den Pseudobenutzer, den ich kurzfristig für die Verschlüsselung meines persönlichen Profils anlegen musste. Hierfür nutze ich das klassische Kommando, welches die Daten des Kontos „temp” in Luft auflöst:
sudo deluser --remove-home temp
Direkt im Anschluss befindet sich mein System wieder im Ausgangszustand. Der einzige Unterschied zu vorher besteht darin, dass Unbefugte nun nicht mehr auf meine sensiblen Dokumente zugreifen können.
Verwandte Themen:
Backup-Festplatte verschlüsseln - VeraCrypt verwenden
Klebestreifen auf der Laptop-Linse? Webcam lieber gleich deaktivieren
¹North, Andrew: Installing an encrypted version of Ubuntu 20.04. youtube.com (11/2021).
²Howden, Andrew: Encrypting the Home Folder. youtube.com (11/2021).
Kurt Liding sagt:
Guten Tag, lange habe ich auf diese Anleitung gewartet. Würden Sie sagen, dass sich diese Art der Verschlüsselung auch für einen stationären Computer lohnt? Ich nutze Ubuntu 18.04 seit nunmehr vier Jahren und habe die Befürchtung, dass ich mir durch eine derartige Änderung mein System zerstöre. Auf der anderen Seite würde mich eine weitere Absicherung meiner Daten freuen. Mit der Bitte um Antwort verbleibe ich mit freundlichen Grüßen.
Helpdesk sagt:
Lieber Herr Liding! Sie können Ihre Benutzerdaten ohne Weiteres verschlüsseln. Ob es sich lohnt, hängt von Ihrer Wohnsituation ab. Halten Sie sich an die obige Bildanleitung, dann müssen Sie weder Datenverluste noch sonstige Defekte fürchten. Viel Erfolg!
Hasenöhrl sagt:
Guten Tag, die Anleitung funktioniert hervorragend. Aufgrund manueller Partitionierung konnte ich die automatische Ubuntu-Verschlüsselung nicht nutzen. Nun arbeite ich mit meinem Laptop viel in der Bahn oder in Hotels und habe mir deshalb ernsthafte Gedanken über die Datensicherheit gemacht.
Nach einigem Googeln kam ich auf diese wunderbare Seite und imitierte die Anleitung mit vollem Erfolg. Tipp an alle Nachahmer: Holen Sie sich die obige Anleitung auf Ihr Handy, sodass Sie frei am Rechner arbeiten können. Das habe ich zu Beginn nicht gemacht, weswegen ich mittendrin nochmal anfangen musste.
Beste Grüße aus der Lüneburger Heide ... Hasenöhrl
RackwitzG sagt:
Hey, konnte mein Home-Verzeichnis erfolgreich verschlüsseln. Hat beim ersten Mal funktioniert. Hervorragende Anleitung. Herzlichen Dank!