Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
Einleitung
1 Was ist Ubuntu?
2 Die Versionen im Detail
3 Die Shell
4 Migration und Synchronisation
5 Die Installation
6 Erste Schritte
7 Ubuntu mobil
8 Derivate
9 Internet und E-Mail
10 Office
11 Grafik und Bildbearbeitung
12 Multimedia und Spiele
13 Programmierung und Design
14 Hardware-Konfiguration
15 Software- und Paketverwaltung
16 Architektur
17 Backup und Sicherheit
18 Server-Installation
19 Datei- und FTP-Server
20 Weitere Server-Dienste
21 Kontrolle und Monitoring
22 Desktop-Virtualisierung
23 Server-Virtualisierung mit KVM
24 Server-Virtualisierung mit Xen
25 Hilfe
26 Befehlsreferenz Ubuntu Linux
A Übersicht: Software für (K)Ubuntu
B Mark Shuttleworth
C Glossar
D Häufig gestellte Fragen
Stichwort

Download:
- ZIP, ca. 36,6 MB
Buch bestellen
Ihre Meinung?
Spacer
<< zurück
Ubuntu GNU/Linux von Marcus Fischer
Das umfassende Handbuch, aktuell zu Ubuntu 9.04 - Jaunty Jackalope
Buch: Ubuntu GNU/Linux

Ubuntu GNU/Linux
4., aktualisierte und erweiterte Auflage, geb.
1.120 S., 39,90 Euro
Galileo Computing
ISBN 978-3-8362-1439-1
Pfeil 17 Backup und Sicherheit
Pfeil 17.1 Berechtigungen
Pfeil 17.1.1 Dateiberechtigungen
Pfeil 17.1.2 PAM
Pfeil 17.2 Grundlagen der Sicherung
Pfeil 17.2.1 Partitionierung
Pfeil 17.2.2 Partitionierung der Zweitplatte
Pfeil 17.2.3 Verkleinerung von bestehenden Partitionen
Pfeil 17.3 Backup-Strategien
Pfeil 17.3.1 Inkrementelles Backup
Pfeil 17.3.2 Direktes Klonen via dd
Pfeil 17.4 Ist Linux sicherer als Windows?
Pfeil 17.4.1 Verschiedene Konzepte
Pfeil 17.4.2 Root versus Sudo
Pfeil 17.4.3 AppArmor
Pfeil 17.5 Virenscanner und Firewall
Pfeil 17.5.1 Virenscanner
Pfeil 17.5.2 Firewall
Pfeil 17.5.3 Sicherheits-Updates
Pfeil 17.6 Verschlüsselung
Pfeil 17.6.1 Einrichtung des Systems
Pfeil 17.6.2 Konfiguration der Krypto-Partitionen
Pfeil 17.6.3 Umwandlung der unverschlüsselten Partitionen
Pfeil 17.6.4 Der erste verschlüsselte Start
Pfeil 17.6.5 Datenspuren vernichten
Pfeil 17.7 Verschlüsseln mit GPG
Pfeil 17.7.1 Verschlüsselung einzelner Dateien
Pfeil 17.7.2 E-Mails verschlüsseln mit GnuPG
Pfeil 17.8 OpenSSH


Galileo Computing - Zum Seitenanfang

17.6 Verschlüsselung Zur nächsten ÜberschriftZur vorigen Überschrift

Wenn auf der Festplatte des Rechners sensible Daten liegen, bietet es sich an, diese zu verschlüsseln. Prinzipiell lassen sich einzelne Dateien verschlüsseln; wirkliche Sicherheit bietet aber nur die Verschlüsselung des Systems. Weitgehende Sicherheit ist nur erreichbar, wenn man alle Stellen bedenkt, an denen die zu schützenden Daten auftauchen können, und sei dies auch nur vorübergehend. »Gelöschte« Daten lassen sich nämlich mit entsprechendem Aufwand durchaus noch auslesen. Traditionell verhindert man dies, indem man die Daten beim Löschen mehrfach überschreibt. Dies ist bei modernen Dateisystemen jedoch nicht möglich.

Folgende Bereiche müssen deshalb verschlüsselt werden:

  • die Daten selbst, z. B. die Partition mit den persönlichen Ordnern (/home)
  • die Auslagerungspartition (swap)
  • die temporären Dateien (/tmp)
  • die Dateien in /var, in denen z. B. Druckaufträge zwischengespeichert sind

In Ubuntu 9.04 wurde erstmals eine Möglichkeit der automatischen Verschlüsselung Ihres persönlichen Verzeichnisses integriert. Sie können diese während der Installation einrichten, wenn sie die textbasierte Installation verwenden. In zukünftigen Versionen soll diese Möglichkeit Einzug in die Live-Installation finden.


Galileo Computing - Zum Seitenanfang

17.6.1 Einrichtung des Systems Zur nächsten ÜberschriftZur vorigen Überschrift

Um die oben genannten Partitionen zu verschlüsseln, brauchen Sie das Programm cryptsetup. Sie installieren es bequem über sudo apt-get install cryptsetup. Um einerseits unnötig viele Passworteingaben beim Systemstart zu vermeiden, andererseits aber die Datensicherung nicht zu erschweren, verwenden Sie eine Partition für /home und eine weitere gemeinsame für /tmp und /var. Sie brauchen dementsprechend beim Systemstart nur zwei zusätzliche Passwörter. Besteht für /home noch keine eigene Partition, so müssen Sie dies ändern. Für /tmp und /var müssen Sie ebenfalls eine Partition anlegen.

Anlegen der Partitionen für /home, /tmp und /var

Diese Schritte müssen von einer Live-CD aus erledigt werden, da die Systempartition betroffen ist. Sie verwendet dazu das grafische Partitionierungsprogramm GParted.

  • Beim Start mit der Live-CD muss der Parameter live noswap eingegeben werden. Er verhindert die Nutzung von Swap-Partitionen, denn dies könnte die Bearbeitung der Partitionstabelle stören.
  • Verkleinerung der Systempartition Zuerst müssen Sie die Systempartition verkleinern. 5 GB sind meist angemessen, sofern nicht bereits mehr Platz auf dem Gerät belegt ist.
  • Verschieben der Swap-Partition Die Leistung leidet, wenn die Swap-Partition zu weit hinten auf der Festplatte liegt. Verschieben Sie sie daher direkt an das Ende der Systempartition.
  • Anlage der neuen Partitionen Nun legen Sie zwei Partitionen an:
  • Für die gemeinsame Partition für /tmp und /var genügen etwa 1 bis 2 GB. Diese Partition sollte möglichst hinter dem Swap-Bereich liegen.
  • Für die spätere /home -Partition können Sie den restlichen verfügbaren Platz verwenden.

Normalerweise können Sie für beide Partitionen das ext3-Dateiystem wählen. Die Bezeichnungen der Systempartition und der neuen Partitionen sollten Sie sich notieren. Auch die nächsten Schritte werden mit der Live-CD erledigt, starten Sie also noch nicht neu.

  • Daten umverteilen Die Daten, die derzeit noch auf der alten Partition liegen, müssen jetzt an den richtigen Ort verschoben werden. Diese Schritte führen Sie von einer Live-CD aus und im Terminal durch.
  • Partitionen einbinden /dev/hda1 sei die Systempartition, /dev/hda5 die Partition für /tmp und /var, /dev/hda6 sei die neue /home -Partition. Die Verzeichnisse zum Einbinden werden im Terminal erzeugt mit:
sudo mkdir /mnt/{root,crypt,home}

Die Partitionen werden eingehängt mit:

sudo mount /dev/hda1 /mnt/root 
sudo mount /dev/hda5 /mnt/crypt 
sudo mount /dev/hda6 /mnt/home
  • Daten verschieben

Falls sich das /home -Verzeichnis noch nicht auf der separaten Partition befindet, kopieren Sie seinen Inhalt mit folgendem Befehl an die entsprechende Stelle:

sudo cp -a /mnt/root/home/* /mnt/home/

Die Verzeichnisse /tmp und /var werden wie folgt kopiert bzw. angelegt:

sudo mkdir /mnt/crypt/tmp 
sudo chmod 1777 /mnt/crypt/tmp 
sudo cp -a /mnt/root/var /mnt/crypt/

/tmp wird nicht kopiert, sondern neu angelegt, weil der Inhalt beim Systemstart ohnehin automatisch gelöscht wird. Den Inhalt der Partitionen können Sie sich wie folgt anzeigen lassen:

ls /mnt/crypt 
ls /mnt/home

Dort sollten sich die Verzeichnisse /tmp und /var bzw. alle persönlichen Ordner der Benutzer befinden. Damit ist dieser Schritt erledigt. Nun sollten Sie wieder das normale System starten. Loggen Sie sich bitte nicht in der grafischen Oberfläche ein, sondern wechseln Sie mit Taste Strg + Taste Alt + Taste F1 auf eine Konsole, und melden Sie sich dort an.


Galileo Computing - Zum Seitenanfang

17.6.2 Konfiguration der Krypto-Partitionen Zur nächsten ÜberschriftZur vorigen Überschrift

Die zu verschlüsselnden Partitionen sind in der Datei /etc/crypttab aufgelistet, die in einem Editor mit Root-Rechten bearbeitet werden kann. Die Swap-Partition wird hier ebenfalls angezeigt.

# <target device><source device><key file><options> 
crypt   /dev/hda5 
home    /dev/hda6 
swap0 /dev/hda2 /dev/urandom swap

An erster Stelle tragen Sie den gewünschten Namen des verschlüsselten Gerätes ein, an zweiter Stelle die zu verschlüsselnde Partition bzw. das zu verschlüsselnde Volume, falls Sie EVMS verwenden. Die weiteren Optionen für den Swap geben an, dass als Schlüssel eine Zufallszahl verwendet und das verschlüsselte Gerät nach Einrichtung als Swap formatiert werden soll.


Galileo Computing - Zum Seitenanfang

17.6.3 Umwandlung der unverschlüsselten Partitionen Zur nächsten ÜberschriftZur vorigen Überschrift

Beim ersten Mal legen Sie das Kryptogerät noch von Hand an, um eine doppelte Passwortabfrage zu erhalten. Später, beim automatischen Start der Verschlüsselung, wird das Passwort natürlich nur einmal pro Partition abgefragt. Das wäre jetzt im Fall eines Vertippers fatal, also:

sudo cryptsetup create -y crypt /dev/hda5 
sudo cryptsetup create -y home /dev/hda6

Jetzt kommt der abenteuerliche Teil: Die folgenden Befehle wandeln die bestehenden Partitionen um. Sie dürfen dabei nicht eingebunden sein. Die enthaltenen Dateisysteme samt Inhalt sind danach über das verschlüsselte Gerät unversehrt zugänglich.

sudo dd if=/dev/hda5 of=/dev/mapper/crypt 
sudo dd if=/dev/hda6 of=/dev/mapper/home

Nun sollte bei einem Zugriff auf die »originale« Partition nur noch Datenmüll zu sehen sein. Die alten Inhalte sind über /dev/mapper/home zugänglich. Sie testen nun die Korrektheit der umgewandelten Partition mit:

sudo fsck /dev/mapper/crypt 
sudo fsck /dev/mapper/home

Zur Sicherheit können Sie die Partition auch schon einmal einbinden, um ihre Inhalte zu betrachten:

sudo mount /dev/mapper/crypt /mnt 
sudo mount /dev/mapper/home /home

Eintrag der neuen Dateisysteme

In der fstab (die Sie via sudo gedit /etc/fstab bearbeiten) sollten Sie nun noch Einträge für die neuen oder geänderten Partitionen wie folgt erstellen bzw. anpassen:

/dev/mapper/swap  none    swap  sw        0    0 
/dev/mapper/crypt /crypt  ext3  defaults  0    2 
/dev/mapper/home  /home   ext3  defaults  0    2

Das Verzeichnis /crypt existiert noch nicht, Sie müssen es anlegen:

sudo mkdir /crypt

Alte Daten zur Seite räumen

Nun müssen die alten Daten aus dem Weg geräumt werden, damit auf die neuen, verschlüsselten Daten zugegriffen werden kann. Hierzu starten Sie noch einmal eine Live-CD und binden die Systempartition ein:

mount /dev/hda1 /mnt

Unverschlüsselte Dateien umbenennen

Zur Sicherheit benennen Sie die alten, unverschlüsselten Daten erst einmal um, anstatt sie gleich zu löschen. Sollte irgendetwas doch nicht funktionieren, ist der Weg zurück so besonders einfach. Lediglich das beim Systemstart ohnehin leere /tmp wird sogleich gelöscht. Dann werden leere Verzeichnisse bzw. Links auf die verschlüsselten Daten erstellt:

sudo mv /mnt/home /mnt/noenc-home 
sudo mkdir /mnt/home 
sudo rm -rf /mnt/tmp 
sudo ln -s /crypt/tmp /mnt/tmp 
sudo mv /mnt/var /mnt/noenc-var 
sudo ln -s /crypt/var /mnt/var

Galileo Computing - Zum Seitenanfang

17.6.4 Der erste verschlüsselte Start Zur nächsten ÜberschriftZur vorigen Überschrift

Beim nächsten Start des installierten Systems wird nach dem Passwort für die verschlüsselten Partitionen gefragt. Wenn Sie sich vertippen, haben Sie Pech gehabt und landen auf einer Konsole. Sie können die Passworteingaben wiederholen, wenn Sie hier /etc/init.d/cryptdisks restart eingeben. Nach dem Betätigen von Taste Strg + Taste D wird der Systemstart dann fortgesetzt. Funktioniert alles, müssen Sie die zuvor umbenannten Daten noch löschen:

sudo rm -rf /noenc*

Galileo Computing - Zum Seitenanfang

17.6.5 Datenspuren vernichten topZur vorigen Überschrift

Im Prinzip könnten nun auf der Systempartition noch die Daten aus den verschobenen Verzeichnissen zu finden sein. Diese überschreiben Sie, indem Sie den gesamten leeren Platz auf der Partition mit Zufallszahlen auffüllen. Dies funktioniert mithilfe einer Live-CD. Die Systempartition binden Sie mit

sudo mount /dev/hda1 /mnt

ein. Danach schreiben Sie mit dem Befehl

sudo dd if=/dev/urandom of=/mnt/zufall && \ 
sudo rm /mnt/zufall

Zufallszahlen in eine Datei, und zwar so lange, bis der Platz erschöpft ist. Danach löschen Sie diese Datei wieder. Nun befinden sich alle sensiblen Daten ausschließlich auf verschlüsselten Partitionen.


Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen. >> Zum Feedback-Formular
<< zurück
  Zum Katalog
Zum Katalog: Ubuntu GNU/Linux





Ubuntu GNU/Linux
Jetzt bestellen
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Linux






 Linux
Zum Katalog: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker
Zum Katalog: Webserver einrichten und administrieren






 Webserver einrichten
 und administrieren
Zum Katalog: Xen






 Xen
Zum Katalog: VirtualBox






 VirtualBox
Zum Katalog: LPIC-1






 LPIC-1
Zum Katalog: Einstieg in Ubuntu 8.10 »Intrepid Ibex«





 Einstieg in Ubuntu
 8.10 »Intrepid Ibex«
Zum Katalog: Einstieg in Ubuntu Linux - Videotraining





 Einstieg in Ubuntu
 Linux - Videotraining
Zum Katalog: Debian GNU/Linux






 Debian GNU/Linux
 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo


Copyright © Galileo Press 2009
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de