Verwenden von verschlüsselten Home-Verzeichnissen

Um Daten in Home-Verzeichnissen gegen Diebstahl und das Entfernen der Festplatte zu schützen, verwenden Sie das Benutzerverwaltungsmodul, um die Verschlüsselung von Home-Verzeichnissen zu aktivieren. Sie können verschlüsselte Home-Verzeichnisse für neue oder vorhandene Benutzer erstellen. Um Home-Verzeichnisse von bereits vorhandenen Benutzern zu ver- oder entschlüsseln, müssen Sie deren Passwörter für die Anmeldung kennen. Eine Anleitung dazu finden Sie in Kapitel Verwalten von Benutzern mit YaST (↑Start).

Verschlüsselte Home-Partitionen werden in einem Dateicontainer wie in Abschnitt 36.1.3, „Erstellen einer verschlüsselten Datei als Container“ beschrieben erstellt. Es werden zwei Dateien unter /home für jedes verschlüsselte Home-Verzeichnis erstellt:

LOGIN.img

Das Image mit dem Verzeichnis

LOGIN.key

Der Image-Schlüssel ist durch das Anmeldepasswort des Benutzers geschützt.

Bei der Anmeldung wird das Home-Verzeichnis automatisch entschlüsselt. Intern wird das Home-Verzeichnis über das PAM-Modul "pam_mount" bereitgestellt. Wenn Sie eine zusätzliche Anmeldemethode hinzufügen möchten, die verschlüsselte Home-Verzeichnisse bereitstellt, müssen Sie dieses Modul der jeweiligen Konfigurationsdatei in /etc/pam.d/ hinzufügen. Weitere Informationen finden Sie in Kapitel 19, Authentifizierung mit PAM sowie auf der man-Seite von pam_mount.

[Warning]Sicherheitsbeschränkungen

Das Verschlüsseln des Home-Verzeichnisses eines Benutzers bietet keinen umfassenden Schutz vor anderen Benutzern. Wenn Sie einen umfassenden Schutz benötigen, sollten nicht mehrere Benutzer an einem Rechner arbeiten.

Um die Sicherheit zu erhöhen, verschlüsseln Sie auch die Swap-Partition sowie die Verzeichnisse /tmp und /var/tmp, da diese temporäre Images kritischer Daten enthalten können. Sie können swap, /tmp und /var/tmp mit dem YaST-Partitioner verschlüsseln wie in Abschnitt 36.1.1, „Anlegen einer verschlüsselten Partition während der Installation“ und Abschnitt 36.1.3, „Erstellen einer verschlüsselten Datei als Container“ beschrieben.