staging.inyokaproject.org

Hi Leute,

ich habe auf meinem Laptop die /home Partition mit ecryptfs verschlüsselt. Nun habe ich gelesen, dass man auch /swap verschlüsseln soll, um im Hibernate Modus keine Sicherheitslücke zu öffnen, falls jemand unbefugt Zugang zu dem Gerät bekommt.

Bei näherer Betrachtung mittels Live USB Stick stellt sich heraus, dass mein Kubuntu kein /swap Verzeichnit besitzt, sondern lediglich ein 1,8GB großes swapfile. Dieses scxheint per default verschlüsselt zu sein, da vom Live Stick aus kein Zugriff möglich ist. Muss ich hier zusätzlich noch was unternehmen oder beachten?

2. Frage: Aktuell sind also auf meiner root Partition diese Elemente verschlüsselt: /lost+found, /root sowie swapfile Home liegt auf einer eigenen Partition. Sollten noch weitere Verzeichnisse verschlüsselt werden?

Dankeschön

Ich gehe mal davon aus, dass du nicht die /root meinst, sondern die / verschlüsselt hast. Dann ist alles OK. Wenn du paranoid bist, kannst du noch den GRUB absichern.

https://www.youtube.com/watch?v=u6fFTFfYsdo

danibert schrieb:

ich habe auf meinem Laptop die /home Partition mit ecryptfs verschlüsselt.

Mit ecryptfs wird üblicherweise ein Verzeichnis verschlüsselt. Wie man damit eine Partition verschlüsselt, ist mir unbekannt.

Nun habe ich gelesen, dass man auch /swap verschlüsseln soll, um im Hibernate Modus keine Sicherheitslücke zu öffnen, falls jemand unbefugt Zugang zu dem Gerät bekommt.

Dann weißt du entweder nicht, was dieser Hibernate Modus ist oder hast ihn noch nie benutzt. 😇 Ich denke, sonst hättest du die Frage sofort selbst beantworten können.

Bei näherer Betrachtung mittels Live USB Stick stellt sich heraus, dass mein Kubuntu kein /swap Verzeichnit besitzt, sondern lediglich ein 1,8GB großes swapfile. Dieses scxheint per default verschlüsselt zu sein, da vom Live Stick aus kein Zugriff möglich ist.

Per default ist so eine Sache. Falls du mit Ubuntu 17.10 gestartet bist, dann schon. Vorher wurde per default eine swap-Partition eingerichtet, danach gab es nicht mehr die Möglichkeit in der Installationsroutine einen Haken bei „meine Daten verschlüsseln“ zu setzen.

Muss ich hier zusätzlich noch was unternehmen oder beachten?

Weiß nicht; Dein System kann ich mit den Angaben nicht einschätzen. Wie hast du die Verschlüsselung vorgenommen?

2. Frage: Aktuell sind also auf meiner root Partition diese Elemente verschlüsselt: /lost+found, /root sowie swapfile

Normalweise eine Frage pro Thema, aber es läuft wieder auf die gleiche Gegenfrage raus: Wie sind die verschlüsselt?

Hallo danibert,

Die Verschlüsselung mit "ecryptfs" ist nicht mehr sicher .....

Gruss Lidux

Lidux,
wo hast du die Info her? Dass es seit Jahren einen offen Bug gibt, ist mir bekannt. Ich habe diese Woche endlich den Workaround gefunden. Und es könnte wieder Bewegung in die Sache kommen bug=765854#122.

Aber ansonsten wüsste ich nicht, was gegen ecryptfs spricht.

Also... natürlich habe ich das /home Verzeichnis verschlüsselt, nicht die Partition. Hatte ich hier falsch ausgedrückt.

Wie meine Systempartition aussieht, wenn ich per Live CD drauf schaue, sieht man im angehängten Screenshot (hier sind die vorher genannten Verzeichnisse mit einem Schloss symbol gekennzeichnet und lassen sich nicht öffnen). Mein /home liegt auf der angezeigten 6,7GB Festplatte Die verwendete Version ist Kubuntu 20.04

Die Verschlüsselung habe ich nach der Installation durch Anlegen eines temporären Users mit sudo ecryptfs-migrate-home eingerichtet.

@fleet_street Zur Art der Verschlüsselung habe ich keine Infos. War nach der Installation so, ich hab da nichts weiter unternommen. Hier sei nochmal angemerkt, dass ich kompletter Anfänger mit Linux bin und mich hier absolut noch nicht auskenne.

Dann weißt du entweder nicht, was dieser Hibernate Modus ist oder hast ihn noch nie benutzt. 😇 Ich denke, sonst hättest du die Frage sofort selbst beantworten können.

Damit hast Du offensichtlich recht. Wäre also schön, wenn Du als Profi hier etwas Licht ins Dunkel bringen könntest, und mir evtl. erklärst, worauf zu achten ist. Die Frage an dieser Stelle war, ob ich /swap auch noch verschlüsseln soll.

@lidux Wäre auch schön, wenn Du mir hier eine Alternative nennen könntest. WICHTIG: Es handelt sich um ein Dualboot System mit Windows 10. Ich hatte zuerst bzgl. LUKS überlegt, aber konnte leider nicht herausfinden wie man das als dual boot aufgesetzt bekommt. Besonders da Kubuntu hier beim Setup lediglich die Option bietet, die komplette Festplatte selbst zu partitionieren. Sobald ich auf manuelle Partitionierung gehe, entfällt die Option mit der Verschlüsselung...

danibert schrieb:

Wie meine Systempartition aussieht, wenn ich per Live CD drauf schaue, sieht man im angehängten Screenshot (hier sind die vorher genannten Verzeichnisse mit einem Schloss symbol gekennzeichnet und lassen sich nicht öffnen).

Das zeigt nur an, dass du eingeschränkte oder gar keine Rechte für das jeweilige Verzeichnis besitzt, aber nicht, dass sie verschlüsselt sind. So eine selektive Verschlüsselung hätte mich auch gewundert.

Damit hast Du offensichtlich recht. Wäre also schön, wenn Du als Profi hier etwas Licht ins Dunkel bringen könntest, und mir evtl. erklärst, worauf zu achten ist. Die Frage an dieser Stelle war, ob ich /swap auch noch verschlüsseln soll.

Bin kein Profi, sondern nur belesener Laie. Was Hibernate bedeutet muss ich hier jetzt aber weder tippen oder verlinken. Ich denke das hast du in der Zwischenzeit auch heraus bekommen.
Unabhängig von Hibernate könnte die swapfile theoretisch von einem Livesystem aus ausgelesen werden. (Ich schreibe theoretisch, weil ich davon auch keine Ahnung habe und dies Wissen auch gar nicht aneignen möchte. In der Praxis wird die swapfile bei ausreichend RAM gar nicht genutzt und wir machen nur die Schafe verrückt mit unserem Getue).

Du könntest im installierten System (nicht das Livesystem) nachschauen, was in der Datei /etc/fstab für den swap eingetragen ist.

… Besonders da Kubuntu hier beim Setup lediglich die Option bietet, die komplette Festplatte selbst zu partitionieren. Sobald ich auf manuelle Partitionierung gehe, entfällt die Option mit der Verschlüsselung...

Seit 19.10 ist es möglich bei der manuellen Partitionierung eine (1!) verschlüsselte Partition einzurichten. Bei mehr als einer LUKS-Partition steigt die Installationsroutine noch nicht durch. Ansonsten kann man es komplett manuell einrichten: System verschlüsseln

Danke fleet_street. Das ist hilfreich, werde mich gleich mal damit beschäftigen.

Eine Frage noch zu der ecryptfs Sicherheitslücke: Tritt das nur beim Logout bzw. Benutzerwechsel auf, oder auch wenn das System komplett heruntergefahren wird? Habe hierzu verschiedene Aussagen gefunden...

Und noch eine Frage zu ecryptfs - rein aus Interesse: Wie lässt sich das z.B. vom Livesystem aus überprüfen, ob /home des installierten Systems korrekt ausgehängt wurde? Über Dolphin kann ich jedenfalls nicht darauf zugreifen.

danibert schrieb:

Eine Frage noch zu der ecryptfs Sicherheitslücke: Tritt das nur beim Logout bzw. Benutzerwechsel auf, oder auch wenn das System komplett heruntergefahren wird?

• Wenn der Benutzer gewechselt wird, bleibt er ja angemeldet. Insofern normales Verhalten.

• Das Abmelden sollte das Verzeichnis in verschlüsselten Zustand bringen, aber tut es nur mit dem verlinkten Workaround.

• Beim Herunterfahren wird das entschlüsselte Benutzerverzeichnis korrekt ausgehangen – ganz ohne Workaround.

PS:
danibert schrieb:

Über Dolphin kann ich jedenfalls nicht darauf zugreifen.

Vielleicht weil im Livesystem der Benutzer eine andere Nummer (UID) hat(?). Da könnte es eine Zugriffbeschränkung geben. Kubuntu ist nicht so mein Ding, d. h. ich weiß im Moment nicht, wie man dolphin die erweiterten Rechte verschafft.

Im Terminal (Konsole) ginge es so:

sudo ls -al /pfad/zur/eingebundenen/partition/home/benutzername

Dort befindet sich nur sinnvolles, wenn der Benutzer angemeldet ist.