Kapitel 34. Sicherheit unter Linux / 34.3. Partitionen und Dateien verschlüsseln | ||||
|---|---|---|---|---|
 | 34.2. SSH – sicher vernetzt arbeiten | 34.4. Sicherheit ist Vertrauenssache |  | |
Kapitel 34. Sicherheit unter Linux / 34.3. Partitionen und Dateien verschlüsseln | ||||
|---|---|---|---|---|
| 34.2. SSH – sicher vernetzt arbeiten | 34.4. Sicherheit ist Vertrauenssache | | |
Sensible Daten, die kein unberechtigter Dritter einsehen sollte, hat jeder Nutzer. Je vernetzter und mobiler Sie arbeiten, desto sorgfältiger sollten Sie Ihre Daten vor fremden Blicken schützen. Die Verschlüsselung von Dateien oder von ganzen Partitionen macht immer dann Sinn, wenn Dritte entweder über eine Netzwerkverbindung oder physikalisch Zugang zum System haben. Die folgende Liste enthält denkbare Einsatz-Szenarien:
Wenn Sie mit Ihrem Laptop reisen, kann es sinnvoll sein, Partitionen mit vertraulichen Daten zu verschlüsseln. Und für den Fall, dass Sie Ihren Laptop verlieren oder es gestohlen werden sollte, können Fremde nicht auf die Daten zugreifen, wenn sie sich auf einem verschlüsselten Dateisystem oder in einer verschlüsselten Datei befinden.
USB-Speichermodule oder externe Festplatten sind ebenso diebstahlsgefährdet wie Laptops. Ein Kryptodateisystem bietet auch hier Schutz vor dem Zugriff durch Unbefugten.
YaST bietet Ihnen sowohl während der Installation als auch im installierten System die Möglichkeit an, Dateien oder Partitionen zu verschlüsseln. Eine Kryptodatei lässt sich immer anlegen, da sie sich in das bestehende Partitionsschema problemlos einfügt; eine Kryptopartition lässt sich nur anlegen, wenn Sie in Ihrem Partitionsschema hierzu eine gesonderte Partition zur Verfügung stellen. Die Standardpartitionierung, wie sie YaST bei der Installation vorschlägt, sieht keinen zusätzlichen Platz für eine Kryptopartition vor. Dies muss also manuell im entsprechenden Dialog vorgenommen werden.
![[Warning]](admon/warning.png) | Passworteingabe |
|---|---|
Beachten Sie bei der Passworteingabe die Warnungen zur Passwortsicherheit und merken Sie sich das Passwort gut. Ohne das Passwort ist es Ihnen unmöglich, wieder an Ihre verschlüsselten Daten zu gelangen. | |
Der Experten-Dialog zur Partitionierung, wie er in Abschnitt 2.7.5, „Partitionierung“ beschrieben ist, stellt Ihnen die erforderlichen Optionen für die Einrichtung eine Kryptopartition zur Verfügung. Wählen Sie zunächst wie beim Erstellen einer normalen Partition. Im folgenden Dialog geben Sie die Parameter der Partition an, wie den gewünschten Formatierungstyp und Mountpunkt. Wählen Sie danach . Im Folgedialog geben Sie das zu verwendende Passwort ein und wiederholen es zur Bestätigung. Sobald Sie den Partitionierungsdialog mit verlassen, wird die neue Kryptopartition angelegt. Das Betriebssystem wird ab sofort beim Booten nach dem Passwort fragen, bevor Sie die Kryptopartition mounten können.
Möchten Sie die Kryptopartition nicht beim Booten mounten, drücken Sie bei der Passwortabfrage einfach Enter. Anschließend verneinen Sie die Nachfrage, ob Sie das Passwort erneut eingeben wollen. Ihr Kryptodateisystem wird dann nicht gemountet und das restliche System normal gebootet. Hierdurch wird die Sicherheit Ihrer Daten erhöht, denn sobald die Partition gemountet ist, steht sie auch allen Benutzern zur Verfügung.
Wenn die Kryptopartition grundsätzlich nur im Bedarfsfall gemountet werden
soll, selektieren Sie im Dialog die
Option . Die betreffende
Partition wird dann beim Systemstart nicht berücksichtigt. Um sie
zugänglich zu machen, müssen Sie sie mit
mount Partitionsname MountpunktPartitionsname aus
dem System aushängen, um zu verhindern, dass sie von anderen Benutzer
verwendet wird.
| Aktivierung der Verschlüsselung im laufenden Betrieb |
|---|---|
Sie können ähnlich dem oben beschriebenen Vorgehen während der Installation auch im laufenden System eine Kryptopartition anlegen. Allerdings müssen Sie berücksichtigen, dass beim Verschlüsseln einer bereits vorhandenen Partition alle darauf vorhandenen Daten verloren gehen. | |
Im laufenden System wählen Sie im Menü des YaST-Kontrollzentrums +. Beantworten Sie die darauf folgende Frage mit , und wählen Sie dann (nicht wie im obigen Fall). Das weitere Vorgehen entspricht dem oben beschriebenen.
Neben ganzen Partitionen lassen sich auch auf Dateien basierende verschlüsselte Dateisysteme anlegen, die dann Ihre sensiblen Daten enthalten können. Ausgangspunkt ist wie für Kryptopartitionen der bereits oben beschriebene YaST-Dialog. Wählen Sie und geben Sie im folgenden Dialog den Pfadnamen zu dieser Datei an. Außerdem geben Sie den Platzbedarf der Datei an. Die Voreinstellungen zum Formatieren und zum Dateisystem können Sie übernehmen. Legen Sie abschließend fest, wo das Dateisystem gemountet werden soll, und ob es beim Systemstart eingebunden werden soll.
Der Vorteil von Kryptodateien ist dass man sie hinzufügen kann, ohne die Partitionierung der Festplatte zu ändern. Sie werden mit Hilfe eines Loop-Devices eingebunden und verhalten sich dann wie normale Partitionen.
Der Nachteil von verschlüsselten Partitionen ist
dass zumindest der Benutzer root Zugriff auf die
Daten hat, wenn die Partition eingebunden ist.
Um dies zu vermeiden, kann vi im verschlüsselten
Modus benutzt werden.
Geben Sie vi -x Dateiname ein,
um eine neue Datei zu bearbeiten. vi fordert Sie zur Festlegung eines
Passworts auf und verschlüsselt den Inhalt der Datei.
Beim erneuten Zugriff auf diese Datei fordert vi Sie zur Eingabe
des richtigen Passworts auf.
Um noch mehr Sicherheit zu haben, können Sie die verschlüsselte Textdatei in eine verschlüsselte Partition legen. Dies ist sinnvoll, da der Verschlüsselungsmechanismus von vi nicht sehr sicher ist.
Wechselmedien wie mobile Festplatten oder USB-Speichermodule werden von YaST genauso erkannt wie normale Festplatten. Möchten Sie Dateien oder Partitionen auf solchen Medien verschlüsseln, gehen Sie nach dem oben beschriebenen Muster vor. Allerdings sollten derartige Medien nicht so konfiguriert werden, dass sie bei Systemstart gemountet werden, da sie typischerweise im laufenden Betrieb angeschlossen werden.
