40.2. Verwenden von verschlüsselten Home-Verzeichnissen

openSUSE-Dokumentation Kapitel 40. Verschlüsseln von Partitionen und Dateien / 40.2. Verwenden von verschlüsselten Home-Verzeichnissen
	Kapitel 40. Verschlüsseln von Partitionen und Dateien		40.3. Verschlüsselung einzelner Dateien mit vi

Zum Schutz der Daten in den Home-Verzeichnissen der Benutzer vor Diebstahl (z. B. durch Entfernen der Festplatte) sollten Sie die Home-Verzeichnisse mit dem LUKS-Framework verschlüsseln. LUKS erstellt ein Image sowie einen Image-Schlüssel. Der Image-Schlüssel ist durch das Anmeldepasswort des Benutzers geschützt. Standardmäßig befinden sich Image und Image-Schlüssel im Home-Verzeichnis des entsprechenden Benutzers. Der Schlüssel kann auch an einer anderen Stelle im Dateisystem abgelegt sein, beispielsweise auf einem entfernbaren Gerät, das manuell eingefügt werden kann.

Verwenden Sie das Modul zur Benutzerverwaltung von YaST oder das Werkzeug an der Kommandozeile cryptconfig, um die Verschlüsselung von Home-Verzeichnissen zu aktivieren. Sie können verschlüsselte Home-Verzeichnisse für neue oder vorhandene Benutzer erstellen. Um verschlüsselte Home-Verzeichnisse von bereits vorhandenen Benutzern zu verschlüsseln oder zu bearbeiten, geben Sie das aktuelle Anmeldepasswort des Benutzers ein. Informationen über die Benutzerverwaltung mit YaST finden Sie in Kapitel Verwalten von Benutzern mit YaST (↑Start).

Sicherheitsbeschränkungen

	Sicherheitsbeschränkungen
Das Verschlüsseln des Home-Verzeichnisses eines Benutzers bietet keinen umfassenden Schutz vor anderen Benutzern. Wenn Sie einen umfassenden Schutz benötigen, sollten nicht mehrere Benutzer an einem Rechner arbeiten. Um die Sicherheit zu erhöhen, verschlüsseln Sie auch die `Swap`-Partition sowie die Verzeichnisse `/tmp` und `/var/tmp`, da diese temporäre Images kritischer Daten enthalten können.

Das Verschlüsseln des Home-Verzeichnisses eines Benutzers bietet keinen umfassenden Schutz vor anderen Benutzern. Wenn Sie einen umfassenden Schutz benötigen, sollten nicht mehrere Benutzer an einem Rechner arbeiten.

Um die Sicherheit zu erhöhen, verschlüsseln Sie auch die Swap-Partition sowie die Verzeichnisse /tmp und /var/tmp, da diese temporäre Images kritischer Daten enthalten können.

Sie können swap, /tmp und /var/tmp mit dem YaST-Partitioner verschlüsseln wie in Abschnitt 40.1.1, „Anlegen einer verschlüsselten Partition während der Installation“ und Abschnitt 40.1.3, „Erstellen einer verschlüsselten Datei als Container“ beschrieben. Zusätzlich zu den Optionen von YaST können Sie für einige spezielle Aufgaben auch das Kommandozeilenwerkzeug cryptconfig verwenden.

Sie können damit zum Beispiel einen zusätzlichen Schlüssel für das Image erstellen.

Melden Sie sich als root an einer Shell an
Führen Sie
```
cryptconfig create-key admin.key
```
aus, um einen Schlüssel für Administratoren zu erstellen.
Um ein verschlüsseltes Home-Verzeichnis für den Benutzer tux zu erstellen und ihm den Administrationsschlüssel hinzuzufügen, geben Sie Folgendes ein
```
cryptconfig make-ehd --extra-key-file=admin.key tux 200
```
Es wird ein Home-Verzeichnis mit einer Ausgangsgröße von 200 MB erstellt.
Um die Größe des Home-Verzeichnisses jederzeit zu ändern, verwenden Sie
```
cryptconfig enlarge-size image
     size_to_add_in_MB
```

Weitere Informationen zum Kommandozeilenwerkzeug rufen Sie mit dem Kommando cryptconfig --help ab.

Intern wird das Home-Verzeichnis über das PAM-Modul "pam_mount" bereitgestellt. Wenn Sie eine zusätzliche Anmeldemethode hinzufügen möchten, die verschlüsselte Home-Verzeichnisse bereitstellt, müssen Sie dieses Modul vermutlich der jeweiligen Konfigurationsdatei in /etc/pam.d/ hinzufügen. Weitere Informationen finden Sie in Kapitel 18, Authentifizierung mit PAM sowie auf der man-Seite von pam_mount.