Eckdaten:¶

• Die Passphrase kann frei gewählt werden und muss nicht mit Login-Passwort übereinstimmen.

• Das Verzeichnis wird händisch eingehängt.

Einhängen¶

Zunächst müssen die beiden Ordner angelegt und mit den entsprechenden Rechten versehen werden.
Dabei steht ".geheim" für das Verzeichnis, dass die verschlüsselten Dateien enthält, "geheim" für die entsperrte Ansicht.

mkdir ~/.geheim ~/geheim
chmod 700 ~/.geheim ~/geheim
chown BENUTZER:GRUPPE ~/.geheim ~/geheim 

Die Einrichtung wird in einem Terminal mit folgendem Befehl aufgerufen:

$ sudo mount.ecryptfs /home/$USER/.geheim /home/$USER/geheim 

Daraufhin wird zunächst die Passphrase abgefragt. Ein vorheriges Laden der Passphrase in den Kernel-Keyring kann in diesem Fall somit entfallen.

Anschließend werden einige Einstellungen abgefragt. In den meisten Fällen können die Vorschläge durch Drücken der Eingabetaste übernommen werden, lediglich bei

Enable filename encryption (y/n) [n]: y 

wird für eine erhöhte Sicherheit empfohlen, die Verschlüsselung der Dateinamen einzuschalten. Anderenfalls sind die Dateinamen auch im ausgehängten Zustand im Klartext lesbar.

Sobald die Abfragen erledigt sind, ist das Verzeichnis eingehängt.

Testweise kann nun auch eine Datei angelegt werden.

$ touch ~/geheim/test.txt 

Ein ls zeigt nun die verschlüsselte Datei an:

$ ls ~/.geheim/
ECRYPTFS_FNEK_ENCRYPTED.FWbOeBfUnSnpYkTOd2D9gIm.covYF956EV7IZmlCozkw.nYzVVD0YUrJ1--- 

Verkürzte Variante¶

Will man nicht jedes Mal den kompletten Abfragedialog durchgehen, so empfiehlt es sich, die notwendigen Optionen dem mount-Befehl direkt zu übergeben.

Es wird dann lediglich die Passphrase abgefragt, die übergebenen Optionen werden übersprungen.

Der entsprechende Befehl sieht folgendermassen aus, wobei ecryptfs_sig und ecryptfs_fnek_sig natürlich an die eigenen Gegebenheiten anzupassen sind. Die Signaturen werden im Zuge des interaktiven Einhängevorganges ausgegeben.

sudo mount -t ecryptfs -o ecryptfs_passthrough=n,ecryptfs_enable_filename_crypto=y,ecryptfs_sig=daa8dae0cdecf593,ecryptfs_fnek_sig=daa8dae0cdecf593,ecryptfs_unlink_sigs,ecryptfs_key_bytes=16,ecryptfs_cipher=aes ~/.geheim ~/geheim 

Nicht-interaktives Einhängen¶

Will man den Abfragedialog komplett umgehen, so ist dies möglich, indem man den Befehl mount mit der Option -i aufruft.

Da nun aber auch die Passphrase nicht mehr abgefragt wird, muss diese zuvor händisch in den Kernel-Keyring geladen werden. Dies geschieht beispielsweise mit dem Befehl:

sudo ecryptfs-add-passphrase 

Danach kann das Einhängen mit dem bereits oben genannten, um -i erweiterten mount-Befehl erfolgen (Achtung: Signaturen anpassen!):

sudo mount -i -t ecryptfs -o ecryptfs_passthrough=n,ecryptfs_enable_filename_crypto=y,ecryptfs_sig=daa8dae0cdecf593,ecryptfs_fnek_sig=daa8dae0cdecf593,ecryptfs_unlink_sigs,ecryptfs_key_bytes=16,ecryptfs_cipher=aes ~/.geheim ~/geheim 

Einhängen mit Benutzerrechten¶

Wie bereits am Anfang des Artikels beschrieben sind zum Einhängen von Dateisystemen grundsätzlich Root-Rechte erforderlich.

Ausnahmen bilden (neben FUSE) nur jene Dateisysteme, für die zuvor ein Einhängepunkt in der Datei /etc/fstab definiert und dieser mit der Option user versehen wurde.

Für das Einhängen mit nicht-privilegierten Rechten ist somit zwingend dieser Eintrag zu erstellen.

grep /home/$USER/geheim /etc/mtab | sudo tee -a /etc/fstab 

/home/BENUTZERNAME/.geheim /home/BENUTZERNAME/geheim ecryptfs noauto,user,rw,ecryptfs_sig=daa8dae0cdecf593,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_fnek_sig=daa8dae0cdecf593,ecryptfs_unlink_sigs 0 0

ecryptfs-add-passphrase 

mount -i ~/geheim/ 

umount ~/geheim/ 

Verschlüsselung der Passphrase¶

Bei der Verwendung einer ausreichend langen oder zufälligen Passphrase, wird die manuelle Eingabe dieser immer schwieriger bis nahezu unmöglich werden.

Ecryptfs bietet daher auch die Möglichkeit, eine Passphrase mit einem Passwort zu verschlüsseln, um sie anschliessend verschlüsselt abspeichern zu können. Ubuntu verwendet dieses Verfahren auch für die Verschlüsselung des Benutzerverzeichnisses bzw des Private-Ordners.

ecryptfs-wrap-passphrase verschluesselte_passphrase.txt 

Passphrase to wrap:  

Wrapping passphrase: 

ecryptfs-unwrap-passphrase verschluesselte_passphrase.txt 
Passphrase: 
DasisteineTest-Passphrase 

ecryptfs-insert-wrapped-passphrase-into-keyring verschluesselte_passphrase.txt 
Passphrase: 
Inserted auth tok with sig [a86fb90127b96b92] into the user session keyring 

Eckdaten:¶

• Es wird ein beliebiges Verzeichnis außerhalb des und zusätzlich zum bereits verschlüsselten Benutzerverzeichnisses verschlüsselt.

• Das Verzeichnis wird beim Anmelden automatisch entsperrt.

• Um eine automatische Entsperrung zu erreichen, wird die gleiche Passphrase wie für das Homeverzeichnis verwendet.

Allgemeine Information¶

Wenn eine Verschlüsselung entweder des gesamten Benutzerverzeichnisses oder des Ordners ~/Private mit Hilfe der Ubuntu-Bordmittel eingerichtet wurde, so wird das jeweilige Verzeichnis beim Anmeldevorgang durch PAM (Pluggable Authentication Modules) eingehängt.

Das Modul pam_ecryptfs übernimmt das Anmeldepasswort, entschlüsselt damit die Passphrase, hinterlegt dieses im Kernel-Keyring und hängt das Verzeichnis am gewünschten Ort ein.

Dieses Verhalten macht sich diese Anleitung zunutze.
Nachdem die gleiche Passphrase und daraus resultierend auch die gleichen Signaturen verwendet werden, wird das Laden der Passphrase in den Keyring dem Modul pam_ecryptfs überlassen.

Nachdem pam_ecryptfs nur mit einem, von Ubuntu vorkonfiguriertem Verzeichnis umgehen kann wird für das automatischen Einhängen ein weiteres PAM-Modul (pam_mount) verwendet.

Einrichtung¶

Für das Beispiel wird angenommen, dass eine Festplatte namens "2nd_hdd" existiert, welche beim Start bereits unter /media/2nd_hdd eingehängt wurde.

Zunächst müssen selbstverständlich wieder die beiden Ordner angelegt und erforderlichenfalls mit den entsprechenden Rechten versehen werden.

mkdir /media/2nd_hdd/.geheim media/2nd_hdd/geheim
chmod 700 /media/2nd_hdd/.geheim media/2nd_hdd/geheim
chown BENUTZER:GRUPPE /media/2nd_hdd/.geheim media/2nd_hdd/geheim 

Da die gleiche Passphrase wie für das vorkonfigurierte Verzeichnis verwendet wird, kann die obig beschriebene Ersteinrichtung übersprungen und die erforderlichen Angaben können direkt der /etc/mtab aus der Zeile, welche das Benutzerverzeichnis beschreibt, entnommen und in die /etc/fstab übertragen werden.

Dies geschieht entweder mit einem Texteditor der Wahl oder eben im Terminal, diesmal mit dem Befehl:

grep /home/$USER/.Private /etc/mtab | sudo tee -a /etc/fstab 

Anschließend muß ebenfalls die Datei /etc/fstab editiert werden.

• Zunächst sind das Verzeichnis und der Einhängepunkt anzupassen.

• Weiters müssen wieder die Option noauto (das Einhängen erfolgt erst beim Einloggen und nicht schon beim Systemstart) und die Option user hinzugefügt werden.

• Die Option ecryptfs_unlink_sigs wird entfernt, da sonst bei einem manuellen Aushängen der Schlüssel auf dem Kernel-Keyring entfernt würde und ein einfaches erneutes Einhängen nicht mehr möglich wäre.

Die entsprechende Zeile der /etc/fstab sollte schließlich so aussehen:

/media/2nd_hdd/.geheim /media/2nd_hdd/geheim ecryptfs noauto,user,ecryptfs_check_dev_ruid,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_sig=bba5322e6b198732,ecryptfs_fnek_sig=de277bb623fd467c 0 0

Das Verzeichnis kann nun schon eingehängt und getestet werden.
Zwingend erforderlich ist dabei erneut die Verwendung der Option -i.

$ mount -i media/2nd_hdd/geheim/
$ touch media/2nd_hdd/geheim/test.txt
$ ls /media/2nd_hdd/.geheim/
ECRYPTFS_FNEK_ENCRYPTED.FWbS7riq6zp4T-QHDQIzEkaI3VmLeOS0h8DGCRWss-F8TsFQu6HQzJ3bJU-- 

Automatisches Einhängen¶

Das PAM-Modul pam_ecryptfs kann bei der Anmeldung nur das vorkonfigurierte Verzeichnis einhängen. Um das selbstdefinierte Verzeichnis einzuhängen, ist ein weiteres Modul notwendig. Dazu wird pam_mount verwendet, welches nachinstalliert werden muß. Im Terminal geschieht dies bespielsweise mit:

sudo apt-get install libpam-mount 

Die Einrichtung erfolgt durch Bearbeitung der Konfigurationsdatei /etc/security/pam_mount.conf.xml mit Rootrechten in einem Texteditor der Wahl.

Dazu wird nach dem Kommentar "<!-- Volume definitions -->" folgender Abschnitt eingefügt.

Dabei definiert

• die erste Zeile den Einhängepunkt. Die Optionen sind an jene der /etc/fstab angelehnt, lediglich user gibt an, dass das Einhängen nur für den Benutzer mit dem angegebenen Benutzernamen versucht werden soll.

• Die zweite Zeile bestimmt, dass der Einhängevorgang nicht mit dem Befehl mount, sondern wieder mit mount -i durchgeführt wird.

		<!-- Volume definitions -->

<volume user="BENUTZERNAME" noroot="1" fstype="ecryptfs" path="/media/2nd_hdd/.geheim"/>
<lclmount>mount -i %(VOLUME) "%(before=\"-o\" OPTIONS)"</lclmount>

		<!-- pam_mount parameters: General tunables -->

Bei korrekter Einrichtung wird nun das Verzeichnis bei der Anmeldung automatisch entsperrt und bei der Abmeldung gesperrt werden.

Kernel-Keyring einsehen¶

Zur Überprüfung, welche Passphrasen im Kernel-Keyring geladen sind, kann der Befehl keyctl verwendet werden.

Für nicht-privilegierte Bentutzer lautet der Befehl:

keyctl list @u 

Für den Benutzer root muss ein sudo vorangestellt werden:

sudo keyctl list @u 

Log-Datei für pam_mount¶

Sollte das Einhängen durch pam_mount fehlschlagen, können die entsprechenden Fehlermeldungen der Datei /var/log/auth.log entnommen werden.