4.3. Verschlüsseln von Partitionen und Dateien

4.3. Verschlüsseln von Partitionen und Dateien
	Kapitel 4. Sicherheit in Linux

Vertrauliche Daten, die kein unberechtigter Dritter einsehen sollte, hat jeder Benutzer. Je vernetzter und mobiler Sie arbeiten, desto sorgfältiger sollten Sie im Umgang mit Ihren Daten sein. Die Verschlüsselung von Dateien oder von ganzen Partitionen macht immer dann Sinn, wenn Dritte entweder über eine Netzwerkverbindung oder direkt Zugriff auf das System haben.

	Das Verschlüsseln von Medien bietet nur eingeschränkten Schutz
Beachten Sie, dass die in diesem Abschnitt beschriebenen Methoden nicht Ihr laufendes System vor Manipulation schützen können. Nachdem die verschlüsselten Medien erfolgreich eingehängt wurden, können alle Benutzer mit den entsprechenden Berechtigungen darauf zugreifen. Das Verschlüsseln von Medien ergibt dann Sinn, wenn Sie Ihren Computer verloren haben oder er gestohlen wird und unbefugte Personen Ihre vertraulichen Daten lesen möchten.

Das Verschlüsseln von Medien bietet nur eingeschränkten Schutz

Beachten Sie, dass die in diesem Abschnitt beschriebenen Methoden nicht Ihr laufendes System vor Manipulation schützen können. Nachdem die verschlüsselten Medien erfolgreich eingehängt wurden, können alle Benutzer mit den entsprechenden Berechtigungen darauf zugreifen. Das Verschlüsseln von Medien ergibt dann Sinn, wenn Sie Ihren Computer verloren haben oder er gestohlen wird und unbefugte Personen Ihre vertraulichen Daten lesen möchten.

In der folgenden Liste sind einige mögliche Szenarien beschrieben.

Notebooks: Wenn Sie mit Ihrem Notebook reisen, empfiehlt es sich, alle Festplattenpartitionen, die vertrauliche Daten enthalten, zu verschlüsseln. Wenn Sie Ihr Notebook verlieren oder es gestohlen wird, können Fremde nicht auf Ihre Daten zugreifen, wenn diese sich in einem verschlüsselten Dateisystem oder in einer einzelnen verschlüsselten Datei befinden.
Wechselmedien: USB-Flash-Laufwerke oder externe Festplatten sind ebenso diebstahlgefährdet wie Notebooks. Auch in diesem Fall bietet ein verschlüsseltes Dateisystem Schutz gegen den unbefugten Zugriff durch Dritte.
Arbeitsstationen: In Unternehmen, in denen fast jede Person auf Ihren Computer zugreifen kann, empfiehlt es sich, Partitionen oder einzelne Dateien zu verschlüsseln.

4.3.1. Einrichten eines verschlüsselten Dateisystems mit YaST

YaST bietet Ihnen sowohl während der Installation als auch im installierten System die Möglichkeit, Dateien oder Partitionen zu verschlüsseln. Eine verschlüsselte Datei kann jederzeit erstellt werden, da sie sich in das vorhandene Partitionsschema problemlos einfügt. Zum Verschlüsseln einer gesamten Partition legen Sie eine zu verschlüsselnde Partition im Partitionsschema fest. Die Standardpartitionierung, wie sie YaST bei der Installation vorschlägt, sieht keine verschlüsselte Partition vor. Sie müssen sie im Partitionsdialogfeld manuell hinzufügen.

4.3.1.1. Anlegen einer verschlüsselten Partition während der Installation

	Passworteingabe
Beachten Sie bei der Passworteingabe die Warnungen zur Passwortsicherheit und merken Sie sich das Passwort gut. Ohne das Passwort können Sie die verschlüsselten Daten weder öffnen noch wiederherstellen.

Das in Abschnitt 2.5.6, „Partitionierung“ (↑ Start ) beschriebene YaST-Expertendialogfeld für die Partitionierung bietet die Möglichkeit zum Anlegen einer verschlüsselten Partition. Klicken Sie wie beim Anlegen einer normalen Partition auf Anlegen. Es wird ein Dialogfeld geöffnet, in dem Sie die Partitionierungsparameter für die neue Partition, z. B. die gewünschte Formatierung und den Einhängepunkt, festlegen können. Schließen Sie den Prozess ab, indem Sie auf Dateisystem verschlüsseln klicken. Geben Sie im folgenden Dialogfeld das Passwort zweimal ein. Die neue verschlüsselte Partition wird erstellt, wenn Sie das Dialogfeld durch Klicken auf OK schließen. Beim Booten des Systems werden Sie vor dem Einhängen der Partition zur Eingabe des Passworts aufgefordert.

Wenn die verschlüsselte Partition nicht während des Bootvorgangs eingehängt werden soll, drücken Sie Eingabe, wenn Sie zur Eingabe des Passworts aufgefordert werden. Verneinen Sie anschließend die Nachfrage, ob Sie das Passwort erneut eingeben möchten. Das verschlüsselte Dateisystem wird in diesem Fall nicht eingehängt, das Betriebssystem setzt den Bootvorgang wie gewohnt fort und blockiert somit den Zugriff auf Ihre Daten. Nach dem Einhängen steht die Partition allen Benutzern zur Verfügung.

Wenn das verschlüsselte Dateisystem nur bei Bedarf eingehängt werden soll, aktivieren Sie die Option Nicht beim Systemstart einhängen im Dialogfeld Optionen für Fstab. Die betreffende Partition wird beim Booten des Systems nicht eingehängt. Um sie anschließend verfügbar zu machen, hängen Sie sie manuell ein mit mount Name_der_Partition Einhängepunkt. Geben Sie das Passwort ein, wenn Sie dazu aufgefordert werden. Wenn Sie die Partition nicht mehr benötigen, hängen Sie sie aus mit unmount Name_der_Partition, um zu verhindern, dass andere Benutzer auf sie zugreifen.

4.3.1.2. Einrichten einer verschlüsselten Partition im laufenden System

	Aktivieren der Verschlüsselung auf einem laufenden System
Das Anlegen verschlüsselter Partitionen auf einem laufenden System erfolgt wie das Anlegen der Partitionen während der Installation. Durch das Verschlüsseln einer vorhandenen Partition werden jedoch alle darauf enthaltenen Daten zerstört.

Wählen Sie auf einem laufenden System im YaST-Kontrollzentrum die Option System+Partitionierung. Klicken Sie auf Ja, um fortzufahren. Klicken Sie nicht wie oben beschrieben auf Anlegen, sondern wählen Sie Bearbeiten. Führen Sie alle verbleibenden Schritte wie oben beschrieben aus.

4.3.1.3. Installieren verschlüsselter Dateien

Anstelle einer Partition können Sie für vertrauliche Daten in einzelnen Dateien auch verschlüsselte Dateisysteme erstellen. Diese werden im selben YaST-Dialogfeld erstellt. Wählen Sie Kryptodatei und geben Sie den Pfad zu der zu erstellenden Datei sowie den Platzbedarf der Datei an. Übernehmen Sie die Voreinstellungen für die Formatierung und den Dateisystemtyp. Geben Sie anschließend den Einhängepunkt an und legen Sie fest, ob das verschlüsselte Dateisystem beim Booten des Systems eingehängt werden soll.

Der Vorteil verschlüsselter Dateien ist, dass sie dem System hinzugefügt werden können, ohne dass die Festplatte neu partitioniert werden muss. Sie werden mithilfe eines Loop-Device eingehängt und verhalten sich wie normale Partitionen.

4.3.1.4. Verschlüsseln von Dateien mit vi

Der Nachteil verschlüsselter Partitionen ist, dass bei eingehängter Partition root immer auf die Daten zugreifen kann. Um dies zu verhindern, kann vi im verschlüsselten Modus verwendet werden.

Geben Sie zur Bearbeitung einer neuen Datei vi -x Dateiname ein. vi fordert Sie auf, ein neues Passwort festzulegen und verschlüsselt anschließend den Inhalt der Datei. Bei jedem Zugriff auf die Datei fordert vi das richtige Passwort an.

Um die Sicherheit noch mehr zu erhöhen, können Sie die verschlüsselte Textdatei in einer verschlüsselten Partition ablegen. Dies wird empfohlen, da die vi-Verschlüsselung nicht sehr stark ist.

4.3.2. Verschlüsseln des Inhalts von Wechselmedien

Wechselmedien wie externe Festplatten oder USB-Sticks werden von YaST ebenso erkannt wie andere Festplatten auch. Dateien oder Partitionen auf solchen Medien können wie oben beschrieben verschlüsselt werden. Geben Sie allerdings nicht an, dass diese Medien beim Booten des Systems eingehängt werden sollen, da sie in der Regel nur an das laufende System angeschlossen werden.


4.2. SSH: Sicherer Netzwerkbetrieb		4.4. Einschränken von Berechtigungen mit AppArmor