staging.inyokaproject.org

Ich wollte zum Thema ecryptfs bzgl. Home-Verzeichnis verschlüsseln und dmcrypt bzgl. Festplatte verschlüsseln anmerken, das es nicht schaden würde für Newbies und Interessierte zu beschreiben wo der Vor- und Nachteil von beidem liegt, wie sich das bzgl. Performance verhält etc.

Beim Entfernen der Verschlüsselung eines Home-Verzeichnisses fielen mir ein paar Dinge auf, die im Wiki fehlten und ich nun ergänzt habe (admin heißt nun sudo, Systempartition wird read-only eingebunden, die read/write-Einbindung des Systems und einer Homepartition fehlten etc.). Nicht ganz schlau wurde ich aus dem Schritt:

rm -f /home/<Benutzername>/.ecryptfs 

Wenn ich richtig sehe, soll doch das vormals verschlüsselte Homeverzeichnis gelöscht werden. Der Befehl würde nach dieser Übersicht jedoch das Private-Verzeichnis des Nutzers statt sein Homeverzeichnis löschen. Meine Vermutung ist, dass hier ein Dreher drin ist und es eigentlich

rm -f /home/.ecryptfs/<Benutzername> 

heißen sollte. Falls ich falsch liege, bitte ich die Kundigen, es im Wiki zu korrigieren.

Vielen Dank!

Hi clax,

vielen Dank für deine Anpassungen 👍 ! Wegen dem Löschbefehl habe ich parallel im entsprechenden Diskussionsthread die Frage gestellt, ob das, was gelöscht wird ein Ordner ist.

Gruss Lasall

Ich habe jetzt seit kurzem auch ecryptfs und mein Home verschlüsselt.

Jetzt findet aber locate/updatedb meine Dateien nicht mehr. In /etc/updatedb.conf finde ich auch den Grund:

1
2
3
4
5

cat /etc/updatedb.conf 
PRUNE_BIND_MOUNTS="yes"
# PRUNENAMES=".git .bzr .hg .svn"
PRUNEPATHS="/tmp /var/spool /media /home/.ecryptfs"
PRUNEFS="NFS nfs nfs4 rpc_pipefs afs binfmt_misc proc smbfs autofs iso9660 ncpfs coda devpts ftpfs devfs mfs shfs sysfs cifs lustre_lite tmpfs usbfs udf fuse.glusterfs fuse.sshfs curlftpfs ecryptfs fusesmb devtmpfs"

Die Logik ist mir auch klar. Als Arzt die Diagnose als "Frau Müller - Depression.odt" gespeichert o.s.ä. - hier ist bereits der Name der Datei schützenswert.

Jetzt kann man aber entweder zu den Leuten gehören, die nur den Inhalt verstecken wollen oder man könnte wollen, dass updatedb den Suchindex auch verschlüsselt. Ein Hinweis wäre m.E. zumindest angebracht, dass die Suche nicht mehr ohne weiteres funktioniert.

Was meint ihr?

Das scheint mir aber ein grundsätzliches Problem zu sein - dann schreibe mal bitte einen Report, damit das vom Entwickler korrigiert werden kann. Mit Dustin kann man das auch sehr gut diskutieren!

gruß syscon-hh

been there, done that: https://bugs.launchpad.net/ecryptfs/+bug/1101375

Ich habe meine persönliche crontab bearbeitet, und lasse updatedb jetzt täglich mit folgenden Parametern laufen:

1

48	19	*	*	*	updatedb -l 0 -o /home/stefan/lib/mlocate.db -U /home/stefan

Auf die, die nicht zufällig auch als stefan auf ihrem System bekannt sind kommt hier Anpassungsaufwand zu. Außerdem wird nicht jeder ein Unterverzeichnis ~/lib haben, was nicht zwingend nötig ist - auch dies bedarf dann der Anpassung.

Die Datenbank wird so auch verschlüsselt. Dann fügte ich

1

export LOCATE_PATH=~/lib/mlocate.db

in die ~/.bashrc ein. Sieht aus als ob es klappt. Soll ich den Wikiartikel geeignet erweitern?

Ach so, das ist übrigens meine Reaktion auf die Ankündigung des Entwicklers, sich nicht dafür zuständig zu fühlen: https://bugs.launchpad.net/ecryptfs/+bug/1101375 -

** Changed in: ecryptfs Status: New ⇒ Won't Fix

Hallo,

da wir im Forum gerade über die ecryptfs-Verschlüsselung von beliebigen Ordnern zusätzlich zu "Private" oder dem gesamten Homeverzeichnis diskutieren und ich dieses Thema - zumindest deutschsprachig - nirgendwo behandelt finde, hätte ich gerne einen Wiki-Artikel dazu angelegt.

Als Namen hätte ich mir "ecryptfs/Beliebigen Ordner verschlüsseln" vorgestellt.

Da das mein erster Artikel wäre und ich mit den Gepflogenheiten hier noch nicht so vertraut bin, wollte ich den Gedanken mal in die Runde werfen und mir eure Meinungen anhören.

Gibts Einwände?

Lg

Christian

Gute Idee! 👍 Zum genauen Procedere antwortet besser jemand darin versierteres als ich. ☺

Wie s in etwa geht, hab ich glaub ich dank des Wikis eh schon so halbwegs behirnt.

Wenns Fragen gibt, dann werd ich mich im dazugehörigen Diskussions-Thread melden.

Ich bin mir nicht wirklich sicher (deswegen diese Nachricht anstatt einer Bearbeitung), aber kann es sein, dass sich im ersten Satz ein Fehler eingeschlichen hat:

Das Paket ecryptfs-utils bietet eine sehr einfache Möglichkeit, entweder einen einzelnen Ordner (in der Regel ~/Private) innerhalb eines "unverschlüsselten" Homeverzeichnisses oder das gesamte Homeverzeichnis (/home/BENUTZERNAME/) eines Benutzers zu verschlüsseln.

Sollte das Verzeichnis nicht ~/.Private/ sein? Aber bei ecryptfs/Einrichten ist auch von ~/Private/ die Rede... Nur was mich dann endgültig verunsichert hat, ist, dass bei Einrichtung Verzeichnis Private und Deinstallation beide Varianten erwähnt sind.

Da ich seit Jahren nur LUKS verwende und somit nicht einmal annähernd ein Experte in Sachen ecryptfs bin, bin ich mit meinem Latein am Ende.

Hallo, ich nehme an:

~/Private für die eigenen Daten, ~/.Private für die ecryptfs-eigenen Daten / Konfiguration ...

Gruß BillMaier

Nein, da bin ich mir ziemlich sicher, dass die unter ~/.ecryptfs/ zu finden sind. (Ich glaube das wird auch irgendwo in der Artikelserie erwähnt.)

BillMaier schrieb:

Hallo, ich nehme an:

~/Private für die eigenen Daten, ~/.Private für die ecryptfs-eigenen Daten / Konfiguration ...

▶ ecryptfs/Datenrettung (Abschnitt „Vorbereitungen-fuer-die-manuelle-Datenrettung“)