| openSUSE-Dokumentation Teil VI. Sicherheit / Kapitel 40. Verschlüsseln von Partitionen und Dateien | ||||
|---|---|---|---|---|
 | 39.11. Verwenden von LDAP und Kerberos | 40.2. Verwenden von verschlüsselten Home-Verzeichnissen |  | |
| openSUSE-Dokumentation Teil VI. Sicherheit / Kapitel 40. Verschlüsseln von Partitionen und Dateien | ||||
|---|---|---|---|---|
| 39.11. Verwenden von LDAP und Kerberos | 40.2. Verwenden von verschlüsselten Home-Verzeichnissen | | |
Inhaltsverzeichnis
Vertrauliche Daten, die kein unberechtigter Dritter einsehen sollte, hat jeder Benutzer. Je mehr Sie sich auf die mobile Arbeit am Computer und verschiedene Umgebungen und Netzwerke verlassen, desto sorgfältiger sollten Sie mit Ihren Daten umgehen. Die Verschlüsselung einzelner Dateien oder gar ganzer Partitionen wird dringend empfohlen, wenn andere Personen direkt oder über das Netzwerk auf Ihr System zugreifen können. Laptops und Wechseldatenträger wie externe Festplatten oder USB-Sticks gehen sehr schnell verloren oder werden gestohlen. Daher sollten Sie Dateien mit vertraulichen Daten unbedingt verschlüsseln.
Es gibt mehrere Möglichkeiten, Ihre Daten mittels Verschlüsselung zu schützen:
Sie können eine verschlüsselte Partition mit YaST während der Installation oder in einem bereits installierten System erstellen. Einzelheiten finden Sie unter Abschnitt 40.1.1, „Anlegen einer verschlüsselten Partition während der Installation“ und Abschnitt 40.1.2, „Einrichten einer verschlüsselten Partition im laufenden System“. Diese Option kann auch für Wechseldatenträger, wie externe Festplatten, verwendet werden (siehe Abschnitt 40.1.4, „Verschlüsseln des Inhalts von Wechselmedien“).
Mit YaST können Sie jederzeit eine verschlüsselte Datei auf Ihrer Festplatte oder auf einem Wechseldatenträger erstellen. Die verschlüsselte Datei kann dann verwendet werden, um darin andere Dateien oder Ordner zu verwahren. Weitere Informationen hierzu finden Sie in Abschnitt 40.1.3, „Erstellen einer verschlüsselten Datei als Container“.
Mit openSUSE können Sie auch verschlüsselte Home-Verzeichnisse für Benutzer erstellen. Wenn sich der Benutzer am System anmeldet, wird das verschlüsselte Home-Verzeichnis eingehängt und die Inhalte werden dem Benutzer verfügbar gemacht. Weitere Informationen finden Sie unter Abschnitt 40.2, „Verwenden von verschlüsselten Home-Verzeichnissen“.
Wenn Sie nur über eine geringe Anzahl von Dateien mit sensiblen oder vertraulichen Daten verfügen, können Sie diese mithilfe des vi-Editors einzeln verschlüsseln und mit einem Passwort schützen. Weitere Informationen finden Sie unter Abschnitt 40.3, „Verschlüsselung einzelner Dateien mit vi“.
![[Warning]](admon/warning.png) | Das Verschlüsseln von Medien bietet nur eingeschränkten Schutz |
|---|---|
Die in diesem Kapitel beschriebenen Methoden bieten nur eingeschränkten Schutz. Ein laufendes System können Sie nicht vor Manipulation und Beschädigung schützen. Nachdem ein verschlüsseltes Medium erfolgreich eingehängt wurde, können alle Benutzer mit den entsprechenden Berechtigungen darauf zugreifen. Die Verwendung verschlüsselter Medien ist jedoch von Vorteil, wenn Ihr Computer verloren geht oder gestohlen wird oder um zu verhindern, dass unbefugte Personen Ihre vertraulichen Daten lesen. | |
Verwenden Sie YaST zur Verschlüsselung von Partitionen oder Teilen Ihres Dateisystems bei der Installation oder in einem bereits installierten System. Das Verschlüsseln einer Partition in einem bereits installierten System ist jedoch schwieriger, da Sie hierbei die Größe der bestehenden Partitionen bzw. die Partitionen selbst ändern müssen. In solchen Fällen ist es oft einfacher, eine verschlüsselte Datei mit einer festgelegten Größe zu erstellen, in der andere Dateien oder Teile des Dateisystems verwahrt werden können. Zum Verschlüsseln einer gesamten Partition legen Sie eine zu verschlüsselnde Partition im Partitionsschema fest. Die Standardpartitionierung, wie sie YaST bei der Installation vorschlägt, sieht keine verschlüsselte Partition vor. Sie müssen sie im Partitionsdialogfeld manuell hinzufügen.
| Passworteingabe |
|---|---|
Merken Sie sich das Passwort für Ihre verschlüsselten Partitionen. Ohne dieses Passwort haben Sie keine Möglichkeit, auf die verschlüsselten Daten zuzugreifen oder diese wiederherzustellen. | |
Das YaST-Expertendialogfeld für die Partitionierung bietet die Möglichkeit zum Anlegen einer verschlüsselten Partition. Zum Erstellen einer neuen verschlüsselten Partition gehen Sie wie folgt vor:
Wählen Sie im YaST-Kontrollzentrum + aus, um das Partitionierungsprogramm von YaST zu starten.
Klicken Sie auf und wählen Sie eine primäre oder eine logische Partition aus.
Wählen Sie das gewünschte Dateisystem, die Größe und den Einhängepunkt für die Partition aus.
Wenn das verschlüsselte Dateisystem nur bei Bedarf eingehängt werden soll, aktivieren Sie die Option im Dialogfeld .
Aktivieren Sie das Kontrollkästchen .
Klicken Sie auf . Sie werden zur Eingabe eines Passworts zur Verschlüsselung dieser Partition aufgefordert. Das Passwort wird nicht angezeigt. Um auszuschließen, dass Sie sich bei der Eingabe verschrieben haben, müssen Sie das Passwort ein zweites Mal eingeben.
Schließen Sie den Vorgang mit ab. Die neue verschlüsselte Partition wird nun erstellt.
Wenn Sie das Kontrollkästchen deaktiviert gelassen haben, wird das Passwort beim Starten des Computers vor dem Einhängen der Partition abgefragt. Nach dem Einhängen steht die Partition allen Benutzern zur Verfügung.
Um das Einhängen der verschlüsselten Partition während des Starts zu überspringen, drücken Sie die Eingabetaste, wenn Sie aufgefordert werden, das Passwort einzugeben. Verneinen Sie anschließend die Nachfrage, ob Sie das Passwort erneut eingeben möchten. Das verschlüsselte Dateisystem wird in diesem Fall nicht eingehängt, das Betriebssystem setzt den Boot-Vorgang wie gewohnt fort und blockiert somit den Zugriff auf Ihre Daten.
Um auf eine verschlüsselte Partition zuzugreifen, die während des Bootens nicht eingehängt wird, hängen Sie die Partition manuell ein, indem Sie mount eingeben. Geben Sie das Passwort auf Aufforderung ein. Wenn Sie die Partition nicht mehr benötigen, hängen Sie sie mit umountname_of_partition mount_pointName_der_Partition aus. So verhindern Sie, dass andere Benutzer auf die Partition zugreifen können.
Wenn Sie Ihr System auf einem Computer installieren, auf dem bereits mehrere Partitionen vorhanden sind, können Sie auch entscheiden, während der Installation eine bestehende Partition zu verschlüsseln. Befolgen Sie in diesem Fall die Anweisungen unter Abschnitt 40.1.2, „Einrichten einer verschlüsselten Partition im laufenden System“ und bedenken Sie, dass durch diese Aktion alle Daten in der bestehenden Partition, die Sie verschlüsseln möchten, gelöscht werden.
| Aktivieren der Verschlüsselung auf einem laufenden System |
|---|---|
Das Erstellen verschlüsselter Partitionen ist auch auf einem laufenden System möglich. Durch das Verschlüsseln einer bestehenden Partition werden jedoch alle darin enthaltenen Daten gelöscht und die bestehenden Partitionen müssen in der Größe verändert und neu strukturiert werden. | |
Wählen Sie auf einem laufenden System im YaST-Kontrollzentrum die Option +. Klicken Sie auf , um fortzufahren. Wählen Sie im die zu verschlüsselnde Partition aus und klicken Sie auf . Führen Sie alle verbleibenden Schritte wie in Abschnitt 40.1.1, „Anlegen einer verschlüsselten Partition während der Installation“ beschrieben aus.
Anstatt eine Partition zu verwenden, können Sie eine verschlüsselte Datei mit einer bestimmten Größe erstellen, in der andere Dateien oder Ordner mit vertraulichen Daten verwahrt werden können. Solche so genannten Containerdateien werden in YaST im Dialogfeld "Festplatte vorbereiten: Expertenmodus" erstellt. Wählen Sie aus und geben Sie den vollständigen Pfad der Datei und ihre Größe ein. Übernehmen Sie die Voreinstellungen für die Formatierung und den Dateisystemtyp. Geben Sie den Einhängepunkt an und legen Sie fest, ob das verschlüsselte Dateisystem beim Booten des Systems eingehängt werden soll.
Der Vorteil verschlüsselter Containerdateien gegenüber verschlüsselten Partitionen besteht darin, dass sie dem System hinzugefügt werden können, ohne dass die Festplatte neu partitioniert werden muss. Sie werden mithilfe eines Loop-Device eingehängt und verhalten sich wie normale Partitionen.
Wechselmedien, wie externe Festplatten oder USB-Flash-Laufwerke, werden von YaST auf dieselbe Weise behandelt wie herkömmliche Festplatten. Containerdateien oder Partitionen auf solchen Medien können, wie oben beschrieben, verschlüsselt werden. Aktivieren Sie jedoch (Während des Bootens nicht einhängen) im Dialogfeld , da entfernbare Medien in der Regel erst verbunden werden, wenn das System ausgeführt wird.
Wenn Sie ihr entfernbares Gerät mit LUKS (Linux Unified Key Setup) verschlüsselt haben, erkennen die KDE- und GNOME-Desktops dies automatisch und fordern zur Eingabe des Passwortes auf, sobald das Gerät erkannt wird. Wenn Sie Ihr entfernbares Medium mit einem FAT-Dateisystem formatiert haben, wird der am Desktop angemeldete Benutzer, der das Passwort für die Verschlüsselung eingibt, automatisch zum Eigentümer des Gerätes und kann die Dateien auf diesem Gerät lesen und schreiben. Bei Geräten, deren Dateisystem nicht FAT ist, müssen Sie die Eigentümerschaft explizit für alle Benutzer außer dem root ändern, damit diese Benutzer Dateien auf dem Gerät lesen oder schreiben können.
