Linupedia.org - Benutzerbeiträge [de]

Wie eine Platte unwiederherstellbar und sicher loeschen

2007-10-23T17:38:00Z

Joka: /* Überschreiben mittels Verschlüsselung */ Angepasst an OpenSUSE 10.2 und 10.3

== Problembeschreibung ==

Hin und wieder kann es vorkommen, man hat eine Festplatte oder einen USB-Stick auf der sich wichtige private oder dienstliche Dinge befinden könnten, und muss oder möchte dieses Medium aus der Hand geben, sei es wegwerfen, zum Händler zurück oder verkaufen, verschenken was auch immer.<br/>
Die Daten auf diesem Medium können, wenn wir nichts dagegen unternehmen von jedem ausgelesen und in den falschen Händen auch missbraucht werden.
Man sollte also dringend etwas dagegen tun, möglichst schon wenn man eine solche Platte aus dem Rechner ausbaut und irgendwo in sein Hardware-Reserve-Regal legt.

== Möglichkeiten die Wiederherstellbarkeit zu erschweren ==

=== Löschen aller Dateien ===

Das einfache löschen aller Dateien bietet je nach verwendeten Filesystem einen winzigen Schutz, allerdings man muss sich darüber im klaren sein, es sind nur die Dateinamen und manchmal nicht mal diese richtig gelöscht sind. Die Daten, die in den Dateien standen, sind nach wie vor unverändert auf der Festplatte, man braucht nicht allzuviel im Internet suchen um einige Methoden zu finden, wie man diese Dateien wieder herstellen kann. Auch ansonsten ist es einfach die Daten "raw" (physikalisches Auslesen der Daten) vom Medium zu lesen.

=== Ändern oder Löschen der Partitionstabelle ===

Diese Methode ist wohl die schnellste, bietet aber fast keinen Schutz, da es keinerlei Hinderniss darstellt, diese wieder herzustellen.

=== neue Filesysteme darüber legen ===

Auch wenn man mehrfach unterschiedliche Filesysteme neu über eine Partition legt, bietet das noch nicht viel Schutz. Es dürfte hinterher etwas schwerer fallen, die Dateien automatisch als Ganzes wieder zurückzuholen, aber spätestens wenn man sich die "raw" Daten anschaut, kann man wieder herstellen was man gerne sehen möchte.

=== Wichtige Daten sicher löschen ===

Dabei werden bestimmte Dateien oder Verzeichnisse gezielt überschrieben.( siehe Verfahren weiter unten ) So überschriebene Dateien sind dann nicht mehr zurückzuholen. Allerdings sollte man berücksichtigen.
* bei Journalfilesystemen kann es durchaus vorkommen, das die Datei gar nicht so oft überschrieben wird, wie man es gerne hätte.
* kennt man wirklich alle Dateien die wichtige Daten enthalten, damit man sie so löschen kann?
* schon gelöschte Dateien und deren Fragmente (zB. Backup- oder Vorgängerversionen der Originaldateien) können nach wie vor wieder hergestellt werden bzw solche Fragmente "raw" von der Platte gelesen werden.

=== Ganze Partitionen oder gesamte Platte überschreiben ===

Dabei wird die Platte meist mit einem festem Datenmuster oder mit "FF" oder "00" überschreiben. Hier ist meistens für eine Amateur Schluss. Der normale PC oder Serveranwender wird hier nichts mehr herstellen oder lesen können, aber eben auch nur der "Normale". Es ist zB in einem speziellem Labor oder beim Hersteller durchaus möglich alles oder bedeutende Teile davon wieder herzustellen.

=== gesamte Platte neu Low Level formatieren ===

Hier ist das Hardwareformatieren gemeint. Es bietet einen gewissen Schutz. Der normale User wird wohl hier nichts mehr ausrichten können. Es ist jedoch nicht das einfachste Verfahren, da es abhängig von der Hardware ist, ob und wie das überhaupt durchzuführen währe. Es gibt von den Herstellern von Controllern und Festplatten solche Tools, mit denen man so was machen könnte. Dieses Verfahren wird wohl nicht allzuoft verwendet. Wer seine Daten sicher verbergen muss, der kann auch hier nicht auf Tools der Hersteller setzen, wenn es Hintertüren gibt, dann sind diese dann ja beim Hersteller bestens bekannt.

=== Platte mehrfach überschreiben ===

Dabei wird die gesamte Platte mehrfach mit bestimmten Mustern oder mit Zufallszahlen komplett überschrieben. Mit jedem Übeschreiben wird es in speziellen Forensischen Labor schwieriger den Originalinhalt wieder herstellen zu können. Aber erstmal ist nichts unmöglich. Es gibt aber auch durchaus jetzt auf der Platte noch einige Bereiche die hierbei gar nicht überschrieben werden, zB einige Blöcke die irgendwann mal von der Platte als defekt markiert wurden und anstatt deren dann Reserveblöcke benutzt wurden. Die Wahrscheinlichkeit, das aber genau dort noch wichtige Daten stehen könnten, ist abhängig von der Gesamtdichte der geheimen Informationen auf dem Medium.

== Programme zum sicheren Löschen ==

'''Achtung''' ''alle hier vorgestellten Beispiele und Programme löschen wirklich vollständig, deshalb müsst ihr sicher sein, dass ihr die richtige Festplatten Verzeichnisse oder Dateien damit bearbeitet. Ansonsten kann euch hier keiner mehr weiterhelfen''

=== Das Programm dd ===

'''dd''' ist ein Tool mit dem unter anderem auch "raw" auf die Festplatte zugegriffen werden kann.

Bei den folgenden Beispielen nehmen wir an unsere zu löschende Platte ist '''hdc'''
* Löschen MBR mit Partitionstabelle
<pre>
dd if=/dev/null of=/dev/hdc bs=512 count=1
</pre>

* Überschreiben der gesamten Platte mit '''NULLEN''' (also Hexadezimal 0x00) ''(kann je nach Plattengröße und -geschwindigkeit auch einige Stunden dauern)''
<pre>
dd if=/dev/zero of=/dev/hdc bs=64K
</pre>

* Überschreiben der gesamten Platte mit Zufallszahlen ''(kann je nach Plattengröße und Rechnergeschwindigkeit viele Stunden dauern)''
<pre>
dd if=/dev/urandom of=/tmp/hdc bs=64K
</pre>

=== Überschreiben mittels Verschlüsselung ===

Nach einem Tip von '''joka'''

Eine deutlich schnellere Methode, um eine Partition mit "Zufalls"-Zahlen zu überschreiben wurde in der c't 11/2006 vorgestellt. Bis OpenSUSE 10.1 benötigt man hierfür cryptsetup-luks (z.B. auf Packman für SuSE), ab OpenSUSE 10.2 ist das Package cryptsetup (ohne -luks) in der Distribution enthalten. Die Grundidee dabei ist, ein verschlüsseltes Device mit Nullen zu beschreiben. Der Verschlüsselungsalgorithmus aes-cbc.. sorgt dafür, dass die Nullen in jedem Block verschieden verschlüsselt werden, so dass das Ergebnis von Zufallszahlen kaum zu unterscheiden ist:

'''Beispiel: Überschreiben einer LVM-Partition /dev/system/testlv'''

<pre>
# cryptsetup luksFormat -c aes-cbc-essiv:sha256 -s 256 -y /dev/system/testlv

WARNING!
========
This will overwrite data on /dev/system/testlv irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
# cryptsetup luksOpen /dev/system/testlv testdd
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.
# dd if=/dev/zero of=/dev/mapper/testdd
dd: writing to `/dev/mapper/testdd': No space left on device
407545+0 records in
407544+0 records out
208662528 bytes (209 MB) copied, 17.7456 seconds, 11.8 MB/s
</pre>

Diese Methode ist ca. 3-4 mal schneller als /dev/urandom

========
This will overwrite data on /dev/system/testlv irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
# cryptsetup-luks luksOpen /dev/system/testlv testdd
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.
# dd if=/dev/zero of=/dev/mapper/testdd
dd: writing to `/dev/mapper/testdd': No space left on device
407545+0 records in
407544+0 records out
208662528 bytes (209 MB) copied, 17.7456 seconds, 11.8 MB/s
</pre>

Diese Methode ist ca. 3-4 mal schneller als /dev/urandom

=== Tool wipe ===

* http://wipe.sourceforge.net/
* [http://prdownloads.sourceforge.net/wipe/wipe-2.2.0.tar.bz2 aktueller Download ]

mit '''wipe''' lassen sich Dateien, Verzeichnissbäume oder ganze Partitionen und Festplatten sicher löschen
genaueres erfahren sie aus der ManPage die wipe mitbringt. ( Das löschen einer ganzen Platte kann je nach größe und Programmoptionen durchaus auch Tage dauern)

* '''Beispiel:''' ''/dev/hdc'' durch mehrfaches überschreiben sicher löschen. Der Parameter '''-q''' steht für quick, das heisst es werden nur 4 statt 34 Durchgänge geschrieben. Der Parameter -k bewirkt, dass die Gerätedatei hdc im Verzeichnis /dev/ erhalten bleibt.
<pre>
wipe -kq /dev/hdc
</pre>

* Beispiel Verzeichnis ''tempdir'' rekursive durch mehrfaches überschreiben sicher löschen. Der Parameter '''f''' (''force'') bewirkt, dass wipe nicht nachfragt ob das Verzeichnis wirklich gelöscht werden soll.
<pre>
wipe -rf testdir
</pre>

=== Tool shred ===

shred wird wohl auf den meisten Rechnern gleich mit den coreutils mit installiert und
kann sowohl zur Löschung von einzelnen Dateien als auch gesamter Festplatten herangezogen werden. Die physikalische Löschung erfolgt durch mehrmaliges Überschreiben der betreffenden Sektoren mit zufälligen Bitmustern, so dass eine Wiederherstellung der gelöschten Daten erschwert wird. Genauere Infos gibts in der manpage.

'''Beispiele:'''
*Durch den Kommandozeilenparameter "-n" kann die Anzahl der Überschreibungen beeinflusst werden:
<pre>
shred -n 35 -u /home/geheimfile
</pre>
überschreibt die geheimfile 35-mal und löscht sie anschließend. Standardmäßig wird die angegebene Datei nicht gelöscht, sondern nur überschrieben.

*Dieses bietet die Möglichkeit, auch Device-Namen anzugeben:
<pre>
shred -n 35 /dev/hdc
</pre>
Das kann je nach größe der Fesplatte aber sehr lange dauern,

*deshalb lohnt sich ein Blick auf eine Fortschrittsanzeige, die man sich mit "-v" anzeigen lassen kann:
<pre>
shred -n 35 -v /dev/hdc
</pre>

== Externe Tools zum sicheren Löschen ==

=== Tool dban ===

'''deban''' steht für '''Darik's Boot and Nuke''' und ist ein Tool das von Disk CD/DVD oder USB bootbar ist, und mit dem komplette Platten ausreichend sicher gelöscht werden können. ( je nach Größe der Platte durchaus viele Stunden)

http://dban.sourceforge.net/

[[Category:Security]]
[[Category:Security]]

Mit dm-crypt/luks verschluesselte Home-Partition beim Login einbinden

2007-10-11T20:16:13Z

Joka: /* Voraussetzungen */ Ergänzung OpenSUSE 10.3

'''[[Security]]'''

= Allgemeines =

Wenn eine /home-Partition oder gar die ganzen Platte verschlüsselt ist, so muss man bei jedem Booten das Passwort eingeben. Jeder, der den Rechner benutzen darf, muss dieses Passwort kennen - oder den USB-Stick, auf dem der Key hinterlegt ist.

Bequemer und sicherer wäre es, könnte das System das Login-Password an das Crypto-Filesystem weitergeben und erst beim Login das Homeverzeichnis einbinden (mounten). Die Verschlüsselung wäre für den Benutzer völlig transparent, das Homeverzeichnis nur so lange lesbar, wie der Nutzer eingeloggt ist.

Möglich wird dies durch [http://de.wikipedia.org/wiki/Pluggable_Authentication_Modules PAM] und dm/crypt. Dieses Verfahren wurde ausführlich in der [http://www.heise.de/ct/06/11/006/ c't 2006, Heft 11, pp. 202-207] vorgestellt. Dieser Artikel beschreibt, wie man mit '''openSUSE 10.2''' ein mit dm/crypt verschlüsseltes Homeverzeichnis einrichtet, dass erst beim Login eingebunden wird.

In '''openSUSE 10.3''' ist das Einrichten eines verschlüsselten Homeverzeichnisses bequem mit Yast beim Anlegen oder Bearbeiten einer Benutzerkennung möglich: siehe Kapitel Kapitel 5.2.2 und 40.2 der openSUSE-Dokumentation. Hinter den Kulissen arbeitet openSUSE mit dem hier beschriebenen Verfahren. Hauptunterschied: statt LVM-Volumes werden Image-Dateien /home/''User''.img eingebunden.

= Voraussetzungen =

== OpenSUSE 10.2 ==
* OpenSuSE 10.2 (in OpenSuSE 10.1 fehlen die nötigen Packages oder sind ohne Patchwork inkompatibel)
* Installiere Packages
** util-linux-crypto
** pam_mount
:: (sind beide in der Standard-Distribution von 10.2 enthalten)

* Kernelmodule dm-crypt und aes
: Mit Yast->Editor für '''/etc/sysconfig-Dateien->System/Kernel''' folgende Kernalmodule eintragen, die beim Booten geladen werden sollen:
MODULES_LOADED_ON_BOOT="dm-crypt aes-i586" # bzw. aes-x86_64 für 64bit-Systeme

: Für erste Experimente kann man die Kernel-Module auch manuell laden:
# modprobe dm-crypt
# modprobe aes-i586

== OpenSUSE 10.3 ==
Beim ersten Anlegen eines verschlüsselten Homeverzeichnisses mit Yast werden automatisch die benötigten Pakete pam_mount, cryptsetup und cryptconfig installiert und die Kernel-Module, falls nötig, geladen.

= Beispiel: User "bob" einrichten =

Am Anfang sollte der Benutzer "bob" ganz herkömmlich mit yast angelegt werden. Das Homeverzeichnis <tt>/home/bob</tt> liegt auf der normalen, unverschlüsselten Home-Partition. Dieses wird später als Fallback dienen, sollte aus irgendeinem Grund das Mounten der Crypto-Partition fehlschlagen (z.B. nach Änderung des User-Passwords).

== Partition erzeugen: ==

Als LUKS-Volume eignen sich sowohl Containerdateien, als auch physikalische oder logische LVM-Partitionen. Am flexiblsten ist eine LVM-Partition, die bei Bedarf jederzeit vergrößert werden kann. Der folgende Befehl legt eine 3GByte große Partition ("Volume") mit Volume-Namen "home-bob" in der Standard-Volume-Gruppe "system" an, auf die dann mit <tt>/dev/system/homes</tt> zugegriffen werden kann. Anschließend wird das das LUKS-Volume formatiert. Wichtig ist, dass die (oder mindestens eine alternative) Passphrase gleich dem Login-Passwort von User "bob" ist!

<nowiki># lvcreate -L 3G -n home-bob system
# cryptsetup -c aes-cbc-essiv:sha256 -s 256 -y luksFormat /dev/system/home-bob
WARNING!
========
Daten auf /dev/system/homes werden unwiderruflich überschrieben.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
# cryptsetup luksOpen /dev/system/home-bob safe-bob
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.</nowiki>

Die verschlüsselte Partition wurde damit auf <tt>safe-bob</tt> "gemappt". Unter <tt>/dev/mapper/</tt> sollte nun das Device safe-bob auftauchen. Dieses Device kann nun formatiert und das Root-Verzeichnis und künftige Homedirectory dem User "bob" zugeordnet werden:
<nowiki># mkfs.xfs /dev/mapper/safe-bob
# mount /dev/mapper/safe-bob /home/bob
# chown bob:users /home/bob
# umount /home/bob
# cryptsetup luksClose safe-bob</nowiki>
Jetzt ist das Volume <tt>/des/system/home-bob</tt> bereit zum Mounten und Unmounten. Speziell für cryptsetup-luks gibt es zwei Befehle, die das Öffnen des Volumes und Mounten, bzw. Schließen und Unmounten zusammenfassen:
# /sbin/mount.crypt /dev/system/home-bob /home/bob
# /sbin/umount.crypt /home/bob
Zum Abschluss ist es noch empfehlenswert, einen Reserve-Schlüssel in die LUKS-Partition einzufügen:
# cryptsetup luksAddKey /dev/system/home-bob

== PAM konfigurieren ==

Nun muss man PAM so konfigurieren, dass es beim Login von User "bob" das Volume <tt>/dev/system/home-bob</tt> als <tt>/home/bob</tt> mit dem Befehl mount.crypto einbindet und dabei das Login-Password weitergibt:
* In /etc/pam.d/login folgende Zeilen am Ende einfügen:
auth optional pam_mount.so use_first_pass
session optional pam_mount.so use_first_pass
* In <tt>/etc/security/pam.conf</tt> Zeile auskommentieren, die mit <tt>cryptmount</tt> beginnt und dann folgende Zeilen einfügen:
<nowiki># For DM-CRYPT/LUKS:
cryptmount /sbin/mount.crypt %(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"
cryptumount /sbin/umount.crypt %(MNTPT)

# Linux encrypted home directory, using dm_crypt/luks:
volume bob crypt - /dev/system/home-bob /home/bob - - -

## Oder allgemein für alle Mitglieder der Gruppe "topsecret"
volume @@topsecret crypt - /dev/system/home-& ~ - - -</nowiki>
siehe auch Manpage zu pam_mount(8)

Die ersten Tests macht man am besten mit dem Login von der Textkonsole. pam.conf ist so vorkonfiguriert, dass es eine Reihe von Debug-Meldungen ausgibt. (Wechseln auf die Textkonsole mit Strg+ALT+F1, zurück mit Strg+ALT+F7)

Funktioniert das Mounten beim Login und Unmounten beim Logout auf der Textconsole, dann kann auch das graphische Login konfiguriert werden:

Im Verzeichnis <tt>/etc/pam.d</tt> in den Dateien gdm, xdm und kdm die gleichen Zeilen wie bei <tt>/etc/pam.d/login</tt> am Ende einfügen:
auth optional pam_mount.so use_first_pass
session optional pam_mount.so use_first_pass

== Home-Verzeichnis umziehen: ==

Vor dem ersten graphischen Login sollte noch das Orginal-Homeverzeichnis in die LUKS-Partition kopiert werden (als Root):
<nowiki># cd /home
# tar -zcvf /tmp/home-bob-skel.tgz bob
# mount.crypt /dev/system/home-bob /home/bob
# tar -zxvf /tmp/home-bob-skel.tgz bob
# umount.crypt /home/bob
</nowiki>
Nicht vergessen: Selbstverständlich muss das Auto-Login für jeden Nutzer eines Crypto-Homeverzeichnisses deaktiviert werden.

Das Einrichten eines verschlüsselten Homeverzeichnisses st zugegeben vergleichsweise mühsam, noch fehlt eine Unterstützung durch yast. In künftigen Sitzungen wird man aber, wenn alles geklappt hat, gar nicht mehr merken, dass man auf einem Crypto-Filesystem arbeitet.

= Probleme =

== LVM-Homeverzeichnis vergrößern ==
Eine mit DM-Crypt verschlüsselte LVM-Partition lässt sich online, d.h. während das Filesystem gemountet ist, genau so einfach vergrößern wie eine unverschlüsselte LVM-Partition. Im folgenden Beispiel wird Bobs Homeverzeichnis mit dem Filesystem XFS um 2GByte vergößert:
<nowiki># lvextend -L +2G /dev/system/home-bob
# cryptsetup resize /dev/system/home-bob
# xfs_growfs /home/bob</nowiki>
Für ein ext3 oder Reiser-Filesystem lautet der Befehl (statt xfs_growfs):
<nowiki># resize2fs /dev/mapper/safe-bob
bzw.
# resize_reiserfs /dev/mapper/safe-bob</nowiki>
== Unmount beim Logout ==
Leider funktioniert das automatische Unmounten beim Logout nicht so zuverlässig. Schuld daran sind Daemon-Prozesse, insbesondere Beagle, die während des Ausloggens noch auf das Dateien des Homeverzeichnissen zugreifen. Ein möglicher Workaround wäre ein Cronjob, der regelmäßig mit dem Kommando "who" prüft, ob ein Benutzer eines gemounteten Crypto-Homeverzeichnisses noch eingeloggt ist und ggf. umount.crypt aufruft).

== Password-Änderungen ==
Ändert Nutzer "bob" sein Login-Passwort, dann kann PAM das Crypto-Homeverzeichnis nicht mehr mounten. Das geänderte Passwort muss dann wieder mit dem Befehl
# cryptsetup luksAddKey /dev/system/home-bob
in die LUKS-Partition eingefügt werden. Dafür benötigt man Root-Rechte.

= Hinweise =

Crypto-Partitionen sind empfindlich gegen Schreibfehler: ein falsches Bit macht einen Block unleserlich und zerstört im schlimmsten Fall das darin enthaltene Dateisystem irreparabel. Ein regelmäßiges Backup sollte also Pflicht sein. Immerhin: sollte die Crypto-Home-Partition nicht mehr mountbar sein, so ist trotzdem ein Login auf das ursprüngliche angelegte, unverschlüsselte Homeverzeichnis möglich.

= Weitere Links zum Thema =

* [[Verschlüsselung: dm-crypt/luks unter openSUSE]]
* [http://www.heise.de/ct/06/11/006/ c't 2006, Heft 11, pp. 202-207]
* http://www.saout.de/misc/dm-crypt
* http://luks.endorphin.org/dm-crypt
* http://pam-mount.sourceforge.net

[[Security | Zurück zu Security]]
[[Category:Security]]
[[Category:Konsole]]

Mit dm-crypt/luks verschluesselte Home-Partition beim Login einbinden

2007-10-11T20:11:13Z

Joka: /* Allgemeines */

'''[[Security]]'''

= Allgemeines =

Wenn eine /home-Partition oder gar die ganzen Platte verschlüsselt ist, so muss man bei jedem Booten das Passwort eingeben. Jeder, der den Rechner benutzen darf, muss dieses Passwort kennen - oder den USB-Stick, auf dem der Key hinterlegt ist.

Bequemer und sicherer wäre es, könnte das System das Login-Password an das Crypto-Filesystem weitergeben und erst beim Login das Homeverzeichnis einbinden (mounten). Die Verschlüsselung wäre für den Benutzer völlig transparent, das Homeverzeichnis nur so lange lesbar, wie der Nutzer eingeloggt ist.

Möglich wird dies durch [http://de.wikipedia.org/wiki/Pluggable_Authentication_Modules PAM] und dm/crypt. Dieses Verfahren wurde ausführlich in der [http://www.heise.de/ct/06/11/006/ c't 2006, Heft 11, pp. 202-207] vorgestellt. Dieser Artikel beschreibt, wie man mit '''openSUSE 10.2''' ein mit dm/crypt verschlüsseltes Homeverzeichnis einrichtet, dass erst beim Login eingebunden wird.

In '''openSUSE 10.3''' ist das Einrichten eines verschlüsselten Homeverzeichnisses bequem mit Yast beim Anlegen oder Bearbeiten einer Benutzerkennung möglich: siehe Kapitel Kapitel 5.2.2 und 40.2 der openSUSE-Dokumentation. Hinter den Kulissen arbeitet openSUSE mit dem hier beschriebenen Verfahren. Hauptunterschied: statt LVM-Volumes werden Image-Dateien /home/''User''.img eingebunden.

= Voraussetzungen =

* OpenSuSE 10.2 (in OpenSuSE 10.1 fehlen die nötigen Packages oder sind ohne Patchwork inkompatibel)
* Installiere Packages
** util-linux-crypto
** pam_mount
:: (sind beide in der Standard-Distribution von 10.2 enthalten)

* Kernelmodule dm-crypt und aes
: Mit Yast->Editor für '''/etc/sysconfig-Dateien->System/Kernel''' folgende Kernalmodule eintragen, die beim Booten geladen werden sollen:
MODULES_LOADED_ON_BOOT="dm-crypt aes-i586" # bzw. aes-x86_64 für 64bit-Systeme

: Für erste Experimente kann man die Kernel-Module auch manuell laden:
# modprobe dm-crypt
# modprobe aes-i586

= Beispiel: User "bob" einrichten =

Am Anfang sollte der Benutzer "bob" ganz herkömmlich mit yast angelegt werden. Das Homeverzeichnis <tt>/home/bob</tt> liegt auf der normalen, unverschlüsselten Home-Partition. Dieses wird später als Fallback dienen, sollte aus irgendeinem Grund das Mounten der Crypto-Partition fehlschlagen (z.B. nach Änderung des User-Passwords).

== Partition erzeugen: ==

Als LUKS-Volume eignen sich sowohl Containerdateien, als auch physikalische oder logische LVM-Partitionen. Am flexiblsten ist eine LVM-Partition, die bei Bedarf jederzeit vergrößert werden kann. Der folgende Befehl legt eine 3GByte große Partition ("Volume") mit Volume-Namen "home-bob" in der Standard-Volume-Gruppe "system" an, auf die dann mit <tt>/dev/system/homes</tt> zugegriffen werden kann. Anschließend wird das das LUKS-Volume formatiert. Wichtig ist, dass die (oder mindestens eine alternative) Passphrase gleich dem Login-Passwort von User "bob" ist!

<nowiki># lvcreate -L 3G -n home-bob system
# cryptsetup -c aes-cbc-essiv:sha256 -s 256 -y luksFormat /dev/system/home-bob
WARNING!
========
Daten auf /dev/system/homes werden unwiderruflich überschrieben.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
# cryptsetup luksOpen /dev/system/home-bob safe-bob
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.</nowiki>

Die verschlüsselte Partition wurde damit auf <tt>safe-bob</tt> "gemappt". Unter <tt>/dev/mapper/</tt> sollte nun das Device safe-bob auftauchen. Dieses Device kann nun formatiert und das Root-Verzeichnis und künftige Homedirectory dem User "bob" zugeordnet werden:
<nowiki># mkfs.xfs /dev/mapper/safe-bob
# mount /dev/mapper/safe-bob /home/bob
# chown bob:users /home/bob
# umount /home/bob
# cryptsetup luksClose safe-bob</nowiki>
Jetzt ist das Volume <tt>/des/system/home-bob</tt> bereit zum Mounten und Unmounten. Speziell für cryptsetup-luks gibt es zwei Befehle, die das Öffnen des Volumes und Mounten, bzw. Schließen und Unmounten zusammenfassen:
# /sbin/mount.crypt /dev/system/home-bob /home/bob
# /sbin/umount.crypt /home/bob
Zum Abschluss ist es noch empfehlenswert, einen Reserve-Schlüssel in die LUKS-Partition einzufügen:
# cryptsetup luksAddKey /dev/system/home-bob

== PAM konfigurieren ==

Nun muss man PAM so konfigurieren, dass es beim Login von User "bob" das Volume <tt>/dev/system/home-bob</tt> als <tt>/home/bob</tt> mit dem Befehl mount.crypto einbindet und dabei das Login-Password weitergibt:
* In /etc/pam.d/login folgende Zeilen am Ende einfügen:
auth optional pam_mount.so use_first_pass
session optional pam_mount.so use_first_pass
* In <tt>/etc/security/pam.conf</tt> Zeile auskommentieren, die mit <tt>cryptmount</tt> beginnt und dann folgende Zeilen einfügen:
<nowiki># For DM-CRYPT/LUKS:
cryptmount /sbin/mount.crypt %(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"
cryptumount /sbin/umount.crypt %(MNTPT)

# Linux encrypted home directory, using dm_crypt/luks:
volume bob crypt - /dev/system/home-bob /home/bob - - -

## Oder allgemein für alle Mitglieder der Gruppe "topsecret"
volume @@topsecret crypt - /dev/system/home-& ~ - - -</nowiki>
siehe auch Manpage zu pam_mount(8)

Die ersten Tests macht man am besten mit dem Login von der Textkonsole. pam.conf ist so vorkonfiguriert, dass es eine Reihe von Debug-Meldungen ausgibt. (Wechseln auf die Textkonsole mit Strg+ALT+F1, zurück mit Strg+ALT+F7)

Funktioniert das Mounten beim Login und Unmounten beim Logout auf der Textconsole, dann kann auch das graphische Login konfiguriert werden:

Im Verzeichnis <tt>/etc/pam.d</tt> in den Dateien gdm, xdm und kdm die gleichen Zeilen wie bei <tt>/etc/pam.d/login</tt> am Ende einfügen:
auth optional pam_mount.so use_first_pass
session optional pam_mount.so use_first_pass

== Home-Verzeichnis umziehen: ==

Vor dem ersten graphischen Login sollte noch das Orginal-Homeverzeichnis in die LUKS-Partition kopiert werden (als Root):
<nowiki># cd /home
# tar -zcvf /tmp/home-bob-skel.tgz bob
# mount.crypt /dev/system/home-bob /home/bob
# tar -zxvf /tmp/home-bob-skel.tgz bob
# umount.crypt /home/bob
</nowiki>
Nicht vergessen: Selbstverständlich muss das Auto-Login für jeden Nutzer eines Crypto-Homeverzeichnisses deaktiviert werden.

Das Einrichten eines verschlüsselten Homeverzeichnisses st zugegeben vergleichsweise mühsam, noch fehlt eine Unterstützung durch yast. In künftigen Sitzungen wird man aber, wenn alles geklappt hat, gar nicht mehr merken, dass man auf einem Crypto-Filesystem arbeitet.

= Probleme =

== LVM-Homeverzeichnis vergrößern ==
Eine mit DM-Crypt verschlüsselte LVM-Partition lässt sich online, d.h. während das Filesystem gemountet ist, genau so einfach vergrößern wie eine unverschlüsselte LVM-Partition. Im folgenden Beispiel wird Bobs Homeverzeichnis mit dem Filesystem XFS um 2GByte vergößert:
<nowiki># lvextend -L +2G /dev/system/home-bob
# cryptsetup resize /dev/system/home-bob
# xfs_growfs /home/bob</nowiki>
Für ein ext3 oder Reiser-Filesystem lautet der Befehl (statt xfs_growfs):
<nowiki># resize2fs /dev/mapper/safe-bob
bzw.
# resize_reiserfs /dev/mapper/safe-bob</nowiki>
== Unmount beim Logout ==
Leider funktioniert das automatische Unmounten beim Logout nicht so zuverlässig. Schuld daran sind Daemon-Prozesse, insbesondere Beagle, die während des Ausloggens noch auf das Dateien des Homeverzeichnissen zugreifen. Ein möglicher Workaround wäre ein Cronjob, der regelmäßig mit dem Kommando "who" prüft, ob ein Benutzer eines gemounteten Crypto-Homeverzeichnisses noch eingeloggt ist und ggf. umount.crypt aufruft).

== Password-Änderungen ==
Ändert Nutzer "bob" sein Login-Passwort, dann kann PAM das Crypto-Homeverzeichnis nicht mehr mounten. Das geänderte Passwort muss dann wieder mit dem Befehl
# cryptsetup luksAddKey /dev/system/home-bob
in die LUKS-Partition eingefügt werden. Dafür benötigt man Root-Rechte.

= Hinweise =

Crypto-Partitionen sind empfindlich gegen Schreibfehler: ein falsches Bit macht einen Block unleserlich und zerstört im schlimmsten Fall das darin enthaltene Dateisystem irreparabel. Ein regelmäßiges Backup sollte also Pflicht sein. Immerhin: sollte die Crypto-Home-Partition nicht mehr mountbar sein, so ist trotzdem ein Login auf das ursprüngliche angelegte, unverschlüsselte Homeverzeichnis möglich.

= Weitere Links zum Thema =

* [[Verschlüsselung: dm-crypt/luks unter openSUSE]]
* [http://www.heise.de/ct/06/11/006/ c't 2006, Heft 11, pp. 202-207]
* http://www.saout.de/misc/dm-crypt
* http://luks.endorphin.org/dm-crypt
* http://pam-mount.sourceforge.net

[[Security | Zurück zu Security]]
[[Category:Security]]
[[Category:Konsole]]

Mit dm-crypt/luks verschluesselte Home-Partition beim Login einbinden

2007-08-07T18:41:26Z

Joka: Beispiel für Vergrößerung einer LVM-Crypto-Partion eingefügt

'''[[Security]]'''

= Allgemeines =

Wenn eine /home-Partition oder gar die ganzen Platte verschlüsselt ist, so muss man bei jedem Booten das Passwort eingeben. Jeder, der den Rechner benutzen darf, muss dieses Passwort kennen - oder den USB-Stick, auf dem der Key hinterlegt ist.

Bequemer und sicherer wäre es, könnte das System das Login-Password an das Crypto-Filesystem weitergeben und erst beim Login das Homeverzeichnis einbinden (mounten). Die Verschlüsselung wäre für den Benutzer völlig transparent, das Homeverzeichnis nur so lange lesbar, wie der Nutzer eingeloggt ist.

Möglich wird dies durch [http://de.wikipedia.org/wiki/Pluggable_Authentication_Modules PAM] und dm/crypt. Dieses Verfahren wurde ausführlich in der [http://www.heise.de/ct/06/11/006/ c't 2006, Heft 11, pp. 202-207] vorgestellt. Dieser Artikel beschreibt, wie man mit openSUSE 10.2 ein mit dm/crypt verschlüsseltes Homeverzeichnis einrichtet, dass erst beim Login eingebunden wird.

= Voraussetzungen =

* OpenSuSE 10.2 (in OpenSuSE 10.1 fehlen die nötigen Packages oder sind ohne Patchwork inkompatibel)
* Installiere Packages
** util-linux-crypto
** pam_mount
:: (sind beide in der Standard-Distribution von 10.2 enthalten)

* Kernelmodule dm-crypt und aes
: Mit Yast->Editor für '''/etc/sysconfig-Dateien->System/Kernel''' folgende Kernalmodule eintragen, die beim Booten geladen werden sollen:
MODULES_LOADED_ON_BOOT="dm-crypt aes-i586" # bzw. aes-x86_64 für 64bit-Systeme

: Für erste Experimente kann man die Kernel-Module auch manuell laden:
# modprobe dm-crypt
# modprobe aes-i586

= Beispiel: User "bob" einrichten =

Am Anfang sollte der Benutzer "bob" ganz herkömmlich mit yast angelegt werden. Das Homeverzeichnis <tt>/home/bob</tt> liegt auf der normalen, unverschlüsselten Home-Partition. Dieses wird später als Fallback dienen, sollte aus irgendeinem Grund das Mounten der Crypto-Partition fehlschlagen (z.B. nach Änderung des User-Passwords).

== Partition erzeugen: ==

Als LUKS-Volume eignen sich sowohl Containerdateien, als auch physikalische oder logische LVM-Partitionen. Am flexiblsten ist eine LVM-Partition, die bei Bedarf jederzeit vergrößert werden kann. Der folgende Befehl legt eine 3GByte große Partition ("Volume") mit Volume-Namen "home-bob" in der Standard-Volume-Gruppe "system" an, auf die dann mit <tt>/dev/system/homes</tt> zugegriffen werden kann. Anschließend wird das das LUKS-Volume formatiert. Wichtig ist, dass die (oder mindestens eine alternative) Passphrase gleich dem Login-Passwort von User "bob" ist!

<nowiki># lvcreate -L 3G -n home-bob system
# cryptsetup -c aes-cbc-essiv:sha256 -s 256 -y luksFormat /dev/system/home-bob
WARNING!
========
Daten auf /dev/system/homes werden unwiderruflich überschrieben.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
# cryptsetup luksOpen /dev/system/home-bob safe-bob
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.</nowiki>

Die verschlüsselte Partition wurde damit auf <tt>safe-bob</tt> "gemappt". Unter <tt>/dev/mapper/</tt> sollte nun das Device safe-bob auftauchen. Dieses Device kann nun formatiert und das Root-Verzeichnis und künftige Homedirectory dem User "bob" zugeordnet werden:
<nowiki># mkfs.xfs /dev/mapper/safe-bob
# mount /dev/mapper/safe-bob /home/bob
# chown bob:users /home/bob
# umount /home/bob
# cryptsetup luksClose safe-bob</nowiki>
Jetzt ist das Volume <tt>/des/system/home-bob</tt> bereit zum Mounten und Unmounten. Speziell für cryptsetup-luks gibt es zwei Befehle, die das Öffnen des Volumes und Mounten, bzw. Schließen und Unmounten zusammenfassen:
# /sbin/mount.crypt /dev/system/home-bob /home/bob
# /sbin/umount.crypt /home/bob
Zum Abschluss ist es noch empfehlenswert, einen Reserve-Schlüssel in die LUKS-Partition einzufügen:
# cryptsetup luksAddKey /dev/system/home-bob

== PAM konfigurieren ==

Nun muss man PAM so konfigurieren, dass es beim Login von User "bob" das Volume <tt>/dev/system/home-bob</tt> als <tt>/home/bob</tt> mit dem Befehl mount.crypto einbindet und dabei das Login-Password weitergibt:
* In /etc/pam.d/login folgende Zeilen am Ende einfügen:
auth optional pam_mount.so use_first_pass
session optional pam_mount.so use_first_pass
* In <tt>/etc/security/pam.conf</tt> Zeile auskommentieren, die mit <tt>cryptmount</tt> beginnt und dann folgende Zeilen einfügen:
<nowiki># For DM-CRYPT/LUKS:
cryptmount /sbin/mount.crypt %(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"
cryptumount /sbin/umount.crypt %(MNTPT)

# Linux encrypted home directory, using dm_crypt/luks:
volume bob crypt - /dev/system/home-bob /home/bob - - -

## Oder allgemein für alle Mitglieder der Gruppe "topsecret"
volume @@topsecret crypt - /dev/system/home-& ~ - - -</nowiki>
siehe auch Manpage zu pam_mount(8)

Die ersten Tests macht man am besten mit dem Login von der Textkonsole. pam.conf ist so vorkonfiguriert, dass es eine Reihe von Debug-Meldungen ausgibt. (Wechseln auf die Textkonsole mit Strg+ALT+F1, zurück mit Strg+ALT+F7)

Funktioniert das Mounten beim Login und Unmounten beim Logout auf der Textconsole, dann kann auch das graphische Login konfiguriert werden:

Im Verzeichnis <tt>/etc/pam.d</tt> in den Dateien gdm, xdm und kdm die gleichen Zeilen wie bei <tt>/etc/pam.d/login</tt> am Ende einfügen:
auth optional pam_mount.so use_first_pass
session optional pam_mount.so use_first_pass

== Home-Verzeichnis umziehen: ==

Vor dem ersten graphischen Login sollte noch das Orginal-Homeverzeichnis in die LUKS-Partition kopiert werden (als Root):
<nowiki># cd /home
# tar -zcvf /tmp/home-bob-skel.tgz bob
# mount.crypt /dev/system/home-bob /home/bob
# tar -zxvf /tmp/home-bob-skel.tgz bob
# umount.crypt /home/bob
</nowiki>
Nicht vergessen: Selbstverständlich muss das Auto-Login für jeden Nutzer eines Crypto-Homeverzeichnisses deaktiviert werden.

Das Einrichten eines verschlüsselten Homeverzeichnisses st zugegeben vergleichsweise mühsam, noch fehlt eine Unterstützung durch yast. In künftigen Sitzungen wird man aber, wenn alles geklappt hat, gar nicht mehr merken, dass man auf einem Crypto-Filesystem arbeitet.

= Probleme =

== LVM-Homeverzeichnis vergrößern ==
Eine mit DM-Crypt verschlüsselte LVM-Partition lässt sich online, d.h. während das Filesystem gemountet ist, genau so einfach vergrößern wie eine unverschlüsselte LVM-Partition. Im folgenden Beispiel wird Bobs Homeverzeichnis mit dem Filesystem XFS um 2GByte vergößert:
<nowiki># lvextend -L +2G /dev/system/home-bob
# cryptsetup resize /dev/system/home-bob
# xfs_growfs /home/bob</nowiki>
Für ein ext3 oder Reiser-Filesystem lautet der Befehl (statt xfs_growfs):
<nowiki># resize2fs /dev/mapper/safe-bob
bzw.
# resize_reiserfs /dev/mapper/safe-bob</nowiki>
== Unmount beim Logout ==
Leider funktioniert das automatische Unmounten beim Logout nicht so zuverlässig. Schuld daran sind Daemon-Prozesse, insbesondere Beagle, die während des Ausloggens noch auf das Dateien des Homeverzeichnissen zugreifen. Ein möglicher Workaround wäre ein Cronjob, der regelmäßig mit dem Kommando "who" prüft, ob ein Benutzer eines gemounteten Crypto-Homeverzeichnisses noch eingeloggt ist und ggf. umount.crypt aufruft).

== Password-Änderungen ==
Ändert Nutzer "bob" sein Login-Passwort, dann kann PAM das Crypto-Homeverzeichnis nicht mehr mounten. Das geänderte Passwort muss dann wieder mit dem Befehl
# cryptsetup luksAddKey /dev/system/home-bob
in die LUKS-Partition eingefügt werden. Dafür benötigt man Root-Rechte.

= Hinweise =

Crypto-Partitionen sind empfindlich gegen Schreibfehler: ein falsches Bit macht einen Block unleserlich und zerstört im schlimmsten Fall das darin enthaltene Dateisystem irreparabel. Ein regelmäßiges Backup sollte also Pflicht sein. Immerhin: sollte die Crypto-Home-Partition nicht mehr mountbar sein, so ist trotzdem ein Login auf das ursprüngliche angelegte, unverschlüsselte Homeverzeichnis möglich.

= Weitere Links zum Thema =

* [[Verschlüsselung: dm-crypt/luks unter openSUSE]]
* [http://www.heise.de/ct/06/11/006/ c't 2006, Heft 11, pp. 202-207]
* http://www.saout.de/misc/dm-crypt
* http://luks.endorphin.org/dm-crypt
* http://pam-mount.sourceforge.net

[[Security | Zurück zu Security]]
[[Category:Security]]
[[Category:Konsole]]

Mit dm-crypt/luks verschluesselte Home-Partition beim Login einbinden

2007-06-05T17:04:55Z

Joka:

'''[[Security]]'''

= Allgemeines =

Wenn eine /home-Partition oder gar die ganzen Platte verschlüsselt ist, so muss man bei jedem Booten das Passwort eingeben. Jeder, der den Rechner benutzen darf, muss dieses Passwort kennen - oder den USB-Stick, auf dem der Key hinterlegt ist.

Bequemer und sicherer wäre es, könnte das System das Login-Password an das Crypto-Filesystem weitergeben und erst beim Login das Homeverzeichnis einbinden (mounten). Die Verschlüsselung wäre für den Benutzer völlig transparent, das Homeverzeichnis nur so lange lesbar, wie der Nutzer eingeloggt ist.

Möglich wird dies durch [http://de.wikipedia.org/wiki/Pluggable_Authentication_Modules PAM] und dm/crypt. Dieses Verfahren wurde ausführlich in der [http://www.heise.de/ct/06/11/006/ c't 2006, Heft 11, pp. 202-207] vorgestellt. Dieser Artikel beschreibt, wie man mit openSUSE 10.2 ein mit dm/crypt verschlüsseltes Homeverzeichnis einrichtet, dass erst beim Login eingebunden wird.

= Voraussetzungen =

* OpenSuSE 10.2 (in OpenSuSE 10.1 fehlen die nötigen Packages oder sind ohne Patchwork inkompatibel)
* Installiere Packages
** util-linux-crypto
** pam_mount
:: (sind beide in der Standard-Distribution von 10.2 enthalten)

* Kernelmodule dm-crypt und aes
: Mit Yast->Editor für '''/etc/sysconfig-Dateien->System/Kernel''' folgende Kernalmodule eintragen, die beim Booten geladen werden sollen:
MODULES_LOADED_ON_BOOT="dm-crypt aes-i586" # bzw. aes-x86_64 für 64bit-Systeme

: Für erste Experimente kann man die Kernel-Module auch manuell laden:
# modprobe dm-crypt
# modprobe aes-i586

= Beispiel: User "bob" einrichten =

Am Anfang sollte der Benutzer "bob" ganz herkömmlich mit yast angelegt werden. Das Homeverzeichnis <tt>/home/bob</tt> liegt auf der normalen, unverschlüsselten Home-Partition. Dieses wird später als Fallback dienen, sollte aus irgendeinem Grund das Mounten der Crypto-Partition fehlschlagen (z.B. nach Änderung des User-Passwords).

== Partition erzeugen: ==

Als LUKS-Volume eignen sich sowohl Containerdateien, als auch physikalische oder logische LVM-Partitionen. Am flexiblsten ist eine LVM-Partition, die bei Bedarf jederzeit vergrößert werden kann. Der folgende Befehl legt eine 3GByte große Partition ("Volume") mit Volume-Namen "home-bob" in der Standard-Volume-Gruppe "system" an, auf die dann mit <tt>/dev/system/homes</tt> zugegriffen werden kann. Anschließend wird das das LUKS-Volume formatiert. Wichtig ist, dass die (oder mindestens eine alternative) Passphrase gleich dem Login-Passwort von User "bob" ist!

<nowiki># lvcreate -L 3G -n home-bob system
# cryptsetup -c aes-cbc-essiv:sha256 -s 256 -y luksFormat /dev/system/home-bob
WARNING!
========
Daten auf /dev/system/homes werden unwiderruflich überschrieben.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
# cryptsetup luksOpen /dev/system/home-bob safe-bob
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.</nowiki>

Die verschlüsselte Partition wurde damit auf <tt>safe-bob</tt> "gemappt". Unter <tt>/dev/mapper/</tt> sollte nun das Device safe-bob auftauchen. Dieses Device kann nun formatiert und das Root-Verzeichnis und künftige Homedirectory dem User "bob" zugeordnet werden:
<nowiki># mkfs.xfs /dev/mapper/safe-bob
# mount /dev/mapper/safe-bob /home/bob
# chown bob:users /home/bob
# umount /home/bob
# cryptsetup luksClose safe-bob</nowiki>
Jetzt ist das Volume <tt>/des/system/home-bob</tt> bereit zum Mounten und Unmounten. Speziell für cryptsetup-luks gibt es zwei Befehle, die das Öffnen des Volumes und Mounten, bzw. Schließen und Unmounten zusammenfassen:
# /sbin/mount.crypt /dev/system/home-bob /home/bob
# /sbin/umount.crypt /home/bob
Zum Abschluss ist es noch empfehlenswert, einen Reserve-Schlüssel in die LUKS-Partition einzufügen:
# cryptsetup luksAddKey /dev/system/home-bob

== PAM konfigurieren ==

Nun muss man PAM so konfigurieren, dass es beim Login von User "bob" das Volume <tt>/dev/system/home-bob</tt> als <tt>/home/bob</tt> mit dem Befehl mount.crypto einbindet und dabei das Login-Password weitergibt:
* In /etc/pam.d/login folgende Zeilen am Ende einfügen:
auth optional pam_mount.so use_first_pass
session optional pam_mount.so use_first_pass
* In <tt>/etc/security/pam.conf</tt> Zeile auskommentieren, die mit <tt>cryptmount</tt> beginnt und dann folgende Zeilen einfügen:
<nowiki># For DM-CRYPT/LUKS:
cryptmount /sbin/mount.crypt %(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"
cryptumount /sbin/umount.crypt %(MNTPT)

# Linux encrypted home directory, using dm_crypt/luks:
volume bob crypt - /dev/system/home-bob /home/bob - - -

## Oder allgemein für alle Mitglieder der Gruppe "topsecret"
volume @@topsecret crypt - /dev/system/home-& ~ - - -</nowiki>
siehe auch Manpage zu pam_mount(8)

Die ersten Tests macht man am besten mit dem Login von der Textkonsole. pam.conf ist so vorkonfiguriert, dass es eine Reihe von Debug-Meldungen ausgibt. (Wechseln auf die Textkonsole mit Strg+ALT+F1, zurück mit Strg+ALT+F7)

Funktioniert das Mounten beim Login und Unmounten beim Logout auf der Textconsole, dann kann auch das graphische Login konfiguriert werden:

Im Verzeichnis <tt>/etc/pam.d</tt> in den Dateien gdm, xdm und kdm die gleichen Zeilen wie bei <tt>/etc/pam.d/login</tt> am Ende einfügen:
auth optional pam_mount.so use_first_pass
session optional pam_mount.so use_first_pass

== Home-Verzeichnis umziehen: ==

Vor dem ersten graphischen Login sollte noch das Orginal-Homeverzeichnis in die LUKS-Partition kopiert werden (als Root):
<nowiki># cd /home
# tar -zcvf /tmp/home-bob-skel.tgz bob
# mount.crypt /dev/system/home-bob /home/bob
# tar -zxvf /tmp/home-bob-skel.tgz bob
# umount.crypt /home/bob
</nowiki>
Nicht vergessen: Selbstverständlich muss das Auto-Login für jeden Nutzer eines Crypto-Homeverzeichnisses deaktiviert werden.

Das Einrichten eines verschlüsselten Homeverzeichnisses st zugegeben vergleichsweise mühsam, noch fehlt eine Unterstützung durch yast. In künftigen Sitzungen wird man aber, wenn alles geklappt hat, gar nicht mehr merken, dass man auf einem Crypto-Filesystem arbeitet.

= Probleme =

== Unmount beim Logout ==
Leider funktioniert das automatische Unmounten beim Logout nicht so zuverlässig. Schuld daran sind Daemon-Prozesse, insbesondere Beagle, die während des Ausloggens noch auf das Dateien des Homeverzeichnissen zugreifen. Ein möglicher Workaround wäre ein Cronjob, der regelmäßig mit dem Kommando "who" prüft, ob ein Benutzer eines gemounteten Crypto-Homeverzeichnisses noch eingeloggt ist und ggf. umount.crypt aufruft).

== Password-Änderungen ==
Ändert Nutzer "bob" sein Login-Passwort, dann kann PAM das Crypto-Homeverzeichnis nicht mehr mounten. Das geänderte Passwort muss dann wieder mit dem Befehl
# cryptsetup luksAddKey /dev/system/home-bob
in die LUKS-Partition eingefügt werden. Dafür benötigt man Root-Rechte.

= Hinweise =

Crypto-Partitionen sind empfindlich gegen Schreibfehler: ein falsches Bit macht einen Block unleserlich und zerstört im schlimmsten Fall das darin enthaltene Dateisystem irreparabel. Ein regelmäßiges Backup sollte also Pflicht sein. Immerhin: sollte die Crypto-Home-Partition nicht mehr mountbar sein, so ist trotzdem ein Login auf das ursprüngliche angelegte, unverschlüsselte Homeverzeichnis möglich.

= Weitere Links zum Thema =

* [[Verschlüsselung: dm-crypt/luks unter openSUSE]]
* [http://www.heise.de/ct/06/11/006/ c't 2006, Heft 11, pp. 202-207]
* http://www.saout.de/misc/dm-crypt
* http://luks.endorphin.org/dm-crypt
* http://pam-mount.sourceforge.net

[[Security | Zurück zu Security]]
[[Category:Security]]
[[Category:Konsole]]

Security

2007-06-05T16:32:23Z

Joka: /* Allgemeine und Lokale Sicherheit */

== Allgemeine und Lokale Sicherheit ==
* [[Absichern des eigenen Servers ]] - Tips welche Dinge zu tun sind um einen Server sicher zu machen.
* [[Kontrolliertes Ausfuehren von Befehlen als root]] - Wie kann man normale User berechtigen kontrolliert root Befehle abzusetzen? sudo oder ssh ist die Loesung.
* [[Festplatten verschlüsselt mit Linux und Windows nutzen]]
* [[Verschlüsselung: dm-crypt/luks unter openSUSE]] - Mit cryptsetup (inkl. LUKS-Erweiterung) verschlüsselte Partitionen beim Systemstart einbinden.
* [[Mit dm-crypt/luks verschlüsselte Home-Partition beim Login einbinden]]
* [[E-Mailverschluesselung und Signierung]] - Alles zum Verschlüsseln von eMails
* [[Wie eine Platte unwiederherstellbar und sicher loeschen]] - Immer wieder möchte man eine Platte absolut sicher löschen. Mit etwas Zeit ist das nahezu moeglich.
* [[Dateien aus dem Kontextmenü sicher löschen]] - Neuer Eintrag im Kontextmenü des Konqueror
* [[AntiVir und Dazuko-On-Access Scanning]] - Anleitung wie man beim Zugriff auf Dateien eine automatischen Virenscan vornehmen lassen kann
* [http://www.linux-club.de/ftopic48455.html SuSE security für Einsteiger] - Allgemeine Hinweise und Ratschläge, wie ein SuSE System zu sichern ist.
* [[Literatur zu Security]] - Für alle die, die sich mit einem Thema intensiver befassen wollen

== Sicherheit im Netzwerk ==
* [[Top 100 Network Security Tools]] - Liste der 100 meistgenutzten Netzwerk Security Tools
* [[Welche Ports sind an meinem Server offen]] - Befehle und Webseiten, mit denen offene Ports am eigenen Server aufgespürt werden.
* [[SuSEfirewall2]] - unofficial Documentation
* [[Firewalleinstellungen fuer NFS]] - Was ist nötig um NFS durch Firewalls zu schleusen.
* [[Sicheres tunneln von unsicheren Protokollen mit ssh]] - Wie kann man mit ssh unsichere Protokolle (pop, smtp, ...) absichern?
* [[Erklärung der netfilter Firewall Meldungen online]]
* [[Wie sichere ich meinen ssh Server]] - Beschreibung von Möglichkeiten wie man eine ssh Server sicher ins Internet stellen kann sowie eine Liste wichtiger sshd_config Parameter.
* [[Einrichten von public keys mit ssh]] - Anleitung, wie ein asymmetischer key beim ssh erzeugt werden kann
* [[Mit putty und ssh key auf einen sicheren Linux Server zugreifen]] - Beschreibung wie ein putty unter Windows mit einem ssh key so einzurichten ist, dass Zugriffe auf einen Linux Server nur noch mit asymetrischem key moeglich sind. Gleichzeitig wird beschrieben, wie man den Linux Server sshd daemon konfigurieren muss um nur noch per key zugreifen zu können.
* [[Einrichten von shorewall mit Webmin ]]
* [[Kleines Howto IPsec mit racoon]] - Anleitung, wie ipsec aufzusetzen ist mit racoon
* [[Die Peter Huth Lücke in PHP Scripten vermeiden]] - Beschreibung, wie man relativ schnell seinen Webserver mittels PHP unsicher machen kann.
* [[Snort]]
* [[Firewall]]

[[Category:Security]]
[[Kategorie:Übersicht]]