Das Ubuntu Handbuch | Anleitungen für Linux-Freunde

Ubuntu: Home-Verzeichnis nachträglich verschlüsseln - kein Datenverlust

Mit ei­ner star­ken Pass­phra­se las­sen sich Be­nut­zer­kon­ten ef­fek­tiv vor lo­ka­len Fremd­zu­grif­fen schüt­zen. Si­cher­heits­be­wuss­te Li­nux-An­wen­der ge­hen so­gar noch ei­nen Schritt wei­ter und nut­zen für die Ubun­tu-An­mel­dung bio­me­tri­sche Tech­no­lo­gien wie ei­nen USB-Fin­ger­ab­druck­scan­ner. Doch so­lan­ge die per­sön­li­chen Da­ten un­ver­schlüs­selt im Home-Ver­zeich­nis lie­gen, sind selbst die bes­ten Auf­sperr­me­cha­nis­men völ­lig wert­los. Denn mit­hil­fe ei­ner Live-CD oder durch den Aus­bau des Da­ten­trä­gers kön­nen selbst Lai­en re­la­tiv ein­fach an sen­si­ble Do­ku­men­te ge­lan­gen. Nun mö­ge manch ei­ner ab­win­ken und sich den­ken: „Ein Lot­to­ge­winn ist wahr­schein­li­cher, als dass ei­ne un­au­to­ri­sier­te Per­son ei­nen un­ge­stör­ten Zu­gang zu mei­nem Com­pu­ter er­hält.” Was auf pri­va­te Desk­top-PCs zu­tref­fen mag, sieht bei mo­bi­len Ge­rä­ten völ­lig an­ders aus. Schließ­lich wer­den deutsch­land­weit täg­lich un­zäh­li­ge Note­books in Bah­nen, Hör­sä­len, Ho­tel-Lob­bys und Hips­ter-Ca­fés ver­ges­sen oder ge­stoh­len.

Ubuntu: Wie persönliche Daten auf einem Notebook schützen? Durch den Ausbau des Datenträgers oder mithilfe eines Live-Systems können Laptop-Diebe auf die Programmprofile der Benutzer zugreifen. Lösung: Das Home-Verzeichnis mit eCryptfs-utils verschlüsseln. Kostenlose Bildanleitung von Pinguin: Das ist ein österreichischer Bayer, der Angst vor muslimischen U-Bahn-Schubsern hat

Wäh­rend­des­sen Ubun­tu im Wur­zel­ver­zeich­nis le­dig­lich sys­tem­re­le­van­te Da­tei­en auf­be­wahrt, die für An­grei­fer gänz­lich un­in­ter­es­sant sind, hat der Ein­bin­dungs­punkt /home für neu­gie­ri­ge Au­gen mehr zu bie­ten. So dient der „Per­sön­li­che Ord­ner” näm­lich un­ter an­de­rem als Ab­la­ge­ort für das Thun­der­bird-, Fire­fox- und Steam­pro­fil.

De­bi­an-De­ri­va­te spei­chern E-Mails, In­ter­net-Down­loads und Bü­ro­do­ku­men­te im Heim­ver­zeich­nis, das auch als „Per­sön­li­cher Ord­ner” be­kannt ist.

Vet­ter, Ve­ro­ni­ka Hel­ga: Ubun­tu: Be­triebs­sys­tem auf zwei Da­ten­trä­ger auf­tei­len - SSD + HDD. pinguin.gws2.de (11/2021).

Un­ver­schlüs­selt lie­ßen sich die­se sen­si­blen Da­ten ex­por­tie­ren und auf ei­nem an­de­ren Li­nux-Sys­tem aus­füh­ren. Ab­hil­fe schafft die Bi­blio­thek eCryptfs, wel­che ge­spei­cher­te In­for­ma­tio­nen in al­pha­nu­me­ri­sches Cha­os ver­wan­delt. Doch Mo­ment mal; ist die­ses Werk­zeug nicht feh­ler­haft und da­mit ob­so­let?

GuteFrage.net: Wie sicher ist eCryptfs unter Ubuntu? Antwort: Das Bordmittel erhöht die Datensicherheit wenn ein Notebook verloren gegangen oder gestohlen worden ist. Es ist eine sehr gute Möglichkeit, sein Home-Verzeichnis im Nachhinein zu verschlüsseln

Tat­säch­lich ist es auf Mehr­be­nut­zer­sys­te­men un­ter ge­wis­sen Um­stän­den mög­lich, ei­ne eCryptfs-Ver­schlüs­se­lung zu um­ge­hen. Auch ein pro­fes­sio­nell durch­ge­führ­ter Bru­te-For­ce-An­griff wird die­sen Si­cher­heits­me­cha­nis­mus re­la­tiv schnell auf­bre­chen. Hin­ge­gen ge­wöhn­li­che Note­book-Die­be, die im Home-Ver­zeich­nis nach Er­pres­ser­ma­te­ri­al oder nach Zu­gän­gen für E-Mail-Kon­ten su­chen, müs­sen sich mit un­les­ba­rem Da­ten­schrott zu­frie­den­ge­ben.

Be­ach­ten Sie, dass ei­ne ent­schei­den­de Auf­ga­be der eCryptfs-Ver­schlüs­se­lung, näm­lich die Da­ten ei­nes mo­bi­len Note­books vor Fremd­zu­griff zu schüt­zen (durch Live­sys­tem oder nach Aus­bau der Fest­plat­te), un­ein­ge­schränkt er­füllt ist.

Ap­fel­böck, Her­mann: Home-Ver­schlüs­se­lung für Cin­na­mon. In: Li­nux Welt Ex­tra Nr. 3 (2021). S. 40.

Aber selbst wenn eCryptfs kei­nen hun­dert­pro­zen­ti­gen Schutz bie­tet, was ha­ben Ubun­tu-Be­nut­zer zu ver­lie­ren? Schließ­lich ver­schlüs­selt die Free­ware be­reits vor­han­de­ne Da­tei­en, oh­ne dass es da­bei zu Da­ten­ver­lus­ten kommt. Und ge­nau wie ih­re ana­lo­gen Kol­le­gen ge­hen auch di­gi­ta­le Ein­bre­cher stets den Weg des ge­rings­ten Wi­der­stan­des. Dem­entspre­chend ge­nü­gen schon klei­ne Hür­den, da­mit Kri­mi­nel­le das In­ter­es­se ver­lie­ren.

Ein­fach zwei Paar Schu­he vor die Woh­nungs­tür stel­len. Das si­gna­li­siert dem Ein­bre­cher, dass je­mand zu Hau­se ist.

Ga­li­leo: 10 Fra­gen an ei­nen Ex-Ein­bre­cher. youtube.com (11/2021).

Screenshot vom Ubuntu-Menü "Festplattenbelegung": Das Home-Verzeichnis ist durch ein verschlüsseltes eCryptfs-Dateisystem geschützt. Externe Angreifer haben keine Berechtigung, auf die Daten des Benutzers zuzugreifen. Gnome-Desktop 3.36.8

Die Vorbereitung

Sze­na­rio: Als ich vor Kur­zem Ubun­tu auf ei­nem zu­künf­ti­gen Bü­ro­rech­ner auf­spiel­te, muss­te ich ei­ne weg­wei­sen­de Ent­schei­dung fäl­len. So war es im In­stal­la­ti­ons­as­sis­ten­ten Ubi­qui­ty mit­hil­fe ei­ner Schalt­flä­che na­mens „Er­wei­ter­te Funktionen„¹ mög­lich, ein voll ver­schlüs­sel­tes Be­triebs­sys­tem zu er­zeu­gen. Aber hät­te ich die­se Op­ti­on ge­wählt, dann wä­ren al­le Ein­bin­dungs­punk­te auf ein und dem­sel­ben Da­ten­trä­ger er­stellt wor­den. Al­ler­dings woll­te ich, dass mei­ne Pro­gramm­pro­fi­le auf ei­ner se­pa­ra­ten Fest­plat­te lie­gen, wes­halb ich die au­to­ma­ti­sier­te Ab­si­che­rung nicht in An­spruch nahm und statt­des­sen die Spei­cher­or­te ma­nu­ell fest­leg­te. Auf­grund mei­nes Ei­gen­sinns be­sitzt das Ge­rät jetzt kein ge­schütz­tes Home-Ver­zeich­nis, was ge­ra­de bei ei­nem Of­fice-PC ein äu­ßerst fahr­läs­si­ger Zu­stand ist. Doch als fort­ge­schrit­te­ner Li­nux-An­wen­der weiß ich na­tür­lich, wie ich nach­träg­lich die In­hal­te mei­nes Be­nut­zer­kon­tos vor frem­den Bli­cken be­wah­ren kann.

Screenshot von der Ubuntu-Konsole: Befehl "sudo useradd". Antwort auf die Frage: "Wie wird ein neuer Admin-Account erstellt?". Umgebung - Gnome Desktop 3.36.8

So öff­ne ich zu­al­ler­erst ein Ter­mi­nal-Fens­ter, da ich ei­nen tem­po­rä­ren Pseu­do­be­nut­zer er­schaf­fen muss, der oben­drein noch Ad­mi­nis­tra­to­ren­rech­te be­sitzt. Um ein neu­es Kon­to zu er­stel­len, wel­ches auf den Na­men „temp” hört und al­le nö­ti­gen Vor­aus­set­zun­gen er­füllt, neh­me ich den fol­gen­den Be­fehl zur Hil­fe:

sudo useradd temp -s /bin/bash -g sudo -m

Nach­dem ich mein Ubun­tu-Sys­tem um ei­nen wei­te­ren An­wen­der er­gänzt ha­be, be­nö­tigt die­ser na­tür­lich noch ein Pass­wort, das ich mit dem nach­ste­hen­den Kom­man­do zu­wei­se:

sudo passwd temp

Gleich dar­auf mel­de ich mich ab, so­dass ich mich un­mit­tel­bar da­nach mit dem frisch er­zeug­ten Fake-Pro­fil ein­log­gen kann.

Ubuntu Tray in der Version 20.04.3 LTS. Gnome-Desktop 3.36.8. Menüpunkt "Abmelden" - "Flugmodus ist eingeschaltet"

Als Nächs­tes öff­ne ich er­neut ei­ne Kom­man­do­zei­le, da ich nun das Ver­schlüs­se­lungs­werk­zeug eCryptfs in­stal­lie­ren möch­te:

sudo apt-get update && sudo apt-get install ecryptfs-utils

Di­rekt im An­schluss be­gin­ne ich da­mit, die Pro­gramm­pro­fi­le des Haupt­kon­tos „pin­gu­in” un­les­bar zu ma­chen:

sudo ecryptfs-migrate-home -u pinguin

Nach­dem ich den obi­gen Be­fehl aus­ge­führt ha­be, muss ich zu­nächst das An­mel­de­kenn­wort des Pseu­do­be­nut­zers ein­tip­pen.

Ubuntu: How to encrypt /home in hindsight? Terminal command with text output from the Linux package ecryptfs-utils

In­fol­ge­des­sen über­prüft die Soft­ware, ob für die Ope­ra­ti­on aus­rei­chend frei­er Spei­cher­platz zur Ver­fü­gung steht.

Die Verschlüsselung

Kurz dar­auf for­dert das Ter­mi­nal-Fens­ter die Pass­phra­se für das Kon­to, das im Fol­gen­den ver­schlüs­selt wer­den soll. Nach er­folg­rei­cher Au­then­ti­fi­zie­rung be­ginnt die Ab­si­che­rung des Home-Ver­zeich­nis­ses, was je nach Be­le­gung zwi­schen fünf und 30 Mi­nu­ten dau­ern kann.

Screenshot after encryption: Some Important Notes! A restart will damage the migration! Ubuntu library ecryptfs-utils version 111-0

So­bald der Vor­gang ab­ge­schlos­sen wur­de, teilt mir ei­ne In­for­ma­ti­on in der Kon­so­le mit, dass ich das Sys­tem jetzt auf kei­nen Fall neu star­ten darf. Viel­mehr soll ich mich ab­mel­den und mit dem Haupt­be­nut­zer „pin­gu­in” ein­log­gen, um den Chif­frie­rungs­pro­zess end­gül­tig zu be­en­den.

Die Aufräumarbeiten

Zu­rück im ver­schlüs­sel­ten An­wen­der­kon­to öff­ne ich als Ers­tes den Da­tei­ma­na­ger Nau­ti­lus. Hier­über na­vi­gie­re ich dann mit­hil­fe des Rei­ters „An­de­re Or­te” und dem Aus­wahl­punkt „Rech­ner” in den Pro­fil­ord­ner „home”.

Ubuntu: Wie komme ich zum Home-Verzeichnis? Antwort: Im Dateimanager Nautilus über den Reiter "Andere Orte" und dann auf "Rechner" klicken

Doch was ist das? Noch wäh­rend ich mich durch die Ver­zeich­nis­se kli­cke, ploppt plötz­lich ein Hin­weis­fens­ter auf. In die­sem Me­nü muss ich mich zwi­schen zwei Op­tio­nen ent­schei­den:

  1. Die­se Ak­ti­on jetzt aus­füh­ren: Hier­über be­kom­me ich ei­ne al­pha­nu­me­ri­sche Pass­phra­se dar­ge­stellt, die bei ei­ner Sys­tem­wie­der­her­stel­lung von­nö­ten ist. Oh­ne die­sen Zu­gangs­code kann ich mei­ne per­sön­li­chen Do­ku­men­te nicht mehr aus ei­nem de­fek­ten Ubun­tu her­aus­lö­sen.
  2. Schlie­ßen: Auf­grund des Um­stan­des, dass ei­ne Da­ten­ret­tung in den sel­tens­ten Fäl­len ge­lingt, las­se ich die In­for­ma­ti­on un­ge­le­sen über die zwei­te Schalt­flä­che ver­schwin­den.

Denn ei­nes soll­te je­dem klar sein: Ei­ne Ver­schlüs­se­lung er­setzt kei­ne re­gel­mä­ßi­gen Back­ups.

Ubuntu mit eCryptfs: Hinweise zur Aktualisierung - Ihre Verschlüsselungsphrase notieren

Nun fragt sich der ein oder an­de­re Li­nux-An­fän­ger be­stimmt, wie er ver­schlüs­sel­te Da­tei­en auf ei­ne ex­ter­ne Fest­plat­te oder auf ei­nen USB-Stick ko­pie­ren soll. Doch das funk­tio­niert na­tür­lich wie ge­habt, da das Home-Ver­zeich­nis ei­nes an­ge­mel­de­ten Be­nut­zers of­fen liegt und erst beim Her­un­ter­fah­ren des Be­triebs­sys­tems ab­ge­rie­gelt wird.

GuteFrage.net: Home-Verzeichnis mit eCryptfs verschlüsselt - Backup-Ordner lässt sich nicht löschen. Antwort: Du musst den RM-Befehl im Terminal-Fenster anwenden, um die ungesicherte Benutzerkopie zu entfernen

Im Ord­ner „home” se­he ich nun drei Pro­fi­le, wo­von zwei über­flüs­sig sind. Aus die­sem Grund ent­fer­ne ich zu­nächst die Ko­pie² mei­nes ur­sprüng­li­chen Haupt­kon­tos, die eCryptfs vor dem Ver­schlüs­se­lungs­pro­zess zur Si­cher­heit er­stellt hat. In mei­nem Fall möch­te sich Ubun­tu aber nicht von die­sem Bal­last tren­nen, wes­halb ich den ef­fi­zi­en­ten RM-Be­fehl zum Lö­schen ver­wen­de.

Splitscreen von Ubuntu 20.04.3 LTS: Ein überflüssiges Benutzerkonto auf dem schnellsten Wege löschen. Konsolenbefehl im Gnome-Desktop 3.36.8

Zu gu­ter Letzt eli­mi­nie­re ich eben­falls den Pseu­do­be­nut­zer, den ich kurz­fris­tig für die Ver­schlüs­se­lung mei­nes per­sön­li­chen Pro­fils an­le­gen muss­te. Hier­für nut­ze ich das klas­si­sche Kom­man­do, wel­ches die Da­ten des Kon­tos „temp” in Luft auf­löst:

sudo deluser --remove-home temp

Di­rekt im An­schluss be­fin­det sich mein Sys­tem wie­der im Aus­gangs­zu­stand. Der ein­zi­ge Un­ter­schied zu vor­her be­steht dar­in, dass Un­be­fug­te nun nicht mehr auf mei­ne sen­si­blen Do­ku­men­te zu­grei­fen kön­nen.

Ver­wand­te The­men:

Back­up-Fest­plat­te ver­schlüs­seln - Ver­aCrypt ver­wen­den
Kle­be­strei­fen auf der Lap­top-Lin­se? Web­cam lie­ber gleich de­ak­ti­vie­ren

¹N­orth, An­drew: In­stal­ling an en­cryp­ted ver­si­on of Ubun­tu 20.04. youtube.com (11/2021).
²How­den, An­drew: En­cryp­t­ing the Home Fol­der. youtube.com (11/2021).

Kategorie: Anleitungen
  • Kurt Liding sagt:

    Gu­ten Tag, lan­ge ha­be ich auf die­se An­lei­tung ge­war­tet. Wür­den Sie sa­gen, dass sich die­se Art der Ver­schlüs­se­lung auch für ei­nen sta­tio­nä­ren Com­pu­ter lohnt? Ich nut­ze Ubun­tu 18.04 seit nun­mehr vier Jah­ren und ha­be die Be­fürch­tung, dass ich mir durch ei­ne der­ar­ti­ge Än­de­rung mein Sys­tem zer­stö­re. Auf der an­de­ren Sei­te wür­de mich ei­ne wei­te­re Ab­si­che­rung mei­ner Da­ten freu­en. Mit der Bit­te um Ant­wort ver­blei­be ich mit freund­li­chen Grü­ßen.

    • Helpdesk sagt:

      Lie­ber Herr Li­ding! Sie kön­nen Ih­re Be­nut­zer­da­ten oh­ne Wei­te­res ver­schlüs­seln. Ob es sich lohnt, hängt von Ih­rer Wohn­si­tua­ti­on ab. Hal­ten Sie sich an die obi­ge Bild­an­lei­tung, dann müs­sen Sie we­der Da­ten­ver­lus­te noch sons­ti­ge De­fek­te fürch­ten. Viel Er­folg!

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert *

*