Verschlüsseltes Home Directory

[Campo di Luce]

Erstmal Grüße allerseits. Ich bin neu hier.

Nachdem von der Verwendung von Truecrypt/Realcrypt neuerdings abgeraten wird, probiere ich derzeit als Alternative ein mit Yast angelegtes verschlüsseltes Benutzerverzeichis (KDE, Opensuse 13.1) aus. Probleme habe ich nur bei der Planung meines Backup. Klar, den Inhalt des Benutzerverzeichnisses kann man entschlüsseln und ihn dann auf eine verschlüsselte USB-HDD kopieren. Einfacher wäre es aber, die gesamte Home-Partition zu kopieren, ohne das verschlüsselte Verzeichnis gesondert öffnen zu müssen. Dann macht das Backup aber IMHO nur dann Sinn, wenn man mithilfe von <User>.img und <User>.key wieder an die verschlüsselten Daten zu kommen.

Nach ausgiebigem Rumrätseln daher meine Frage: Wie kann man den von Yast automatisch angelegten img-Container möglichst einfach öffnen - und ggf. mounten? Kann mir da jemand bitte helfen?

 

[gehrke]

Wenn mich nicht alles täuscht, wird dort 'ecryptfs' verwendet.

 

[Campo di Luce]

OK, das ist ja schon mal eine Erkenntnis. Aber wie weise ich ecryptfs auf der Konsole an, die img-Datei zu öffnen?

 

[gehrke]

OK, das ist ja schon mal eine Erkenntnis. Aber wie weise ich ecryptfs auf der Konsole an, die img-Datei zu öffnen?

Solltest Du das mit diesem Hinweis nicht über die Suchmaschine Deines geringsten Mißtrauens herausfinden können?

 

[abgdf]

Ich hatte immer so einen Container erstellt (ohne Yast):

http://wiki.cowboy-of-bottrop.de/wiki/Linux:Anleitungen_Linux/Festplattenverschl%C3%BCsselung?dpl_id=1110#Verschl.C3.BCsselte_Container.5B4.5D

Dann kamen immer alle, und haben TrueCrypt propagiert. Tja, jetzt kann man wieder auf die alten Methoden zurückkommen. Wenn sie noch klappen.
Die großen Spezialisten unter den Distributionsentwicklern bauen inzwischen ja neue unbrauchbare oder unsichere Methoden ein und machen gleichzeitig die traditionellen Methoden unmöglich (ganz toll).

Es kann sein, daß man mit den Befehlen etwas probieren muß. Ich hab' von SuSE 8.1 zu 10.0 zu 12.1 immer mal wieder ein bißchen was anpassen müssen. Aber es hilft, wenn man schonmal das Prinzip verstanden hat.

Hier nochmal ein paar von meinen Befehlen. Ist nicht als Skript gedacht. Man sollte sich vielmehr die Befehle, die passen könnten, einzeln heraussuchen und ausprobieren.

# suse81:

modprobe loop_fish2
dd if=/dev/urandom of=/home/user/cryptfile bs=1024 count=120000
mkdir /home/user/user/safe 
losetup -e twofish /dev/loop0 /home/user/cryptfile
mke2fs /dev/loop0
mount -t ext2 /dev/loop0 /home/user/user/safe 
chown user.users /home/user/cryptfile
chown -R user.users /home/user/user/safe 

# mandrake:
# modprobe twofish
# modprobe cryptoloop
# dd if=/dev/urandom of=/home/user/user/cryptfile bs=1024 count=200000
# mkdir /home/user/user/safe 
# losetup -e twofish256 /dev/loop0 /home/user/user/cryptfile
# mke2fs /dev/loop0
# mount -t ext2 /dev/loop0 /home/user/user/safe

In der 12.1 finde ich den "losetup"-Befehl im Verzeichnis "/sbin".

 

[Campo di Luce]

Vielen Dank für die Beiträge. Sieht so aus, als ginge es so:

cryptconfig open /home/*******.img --key-file /home/********.key

 

[gehrke]

Ich habe das (cryptconfig) soeben verifiziert - das funktioniert genau so. Sehr gut, dass Du nicht nur die Frage, sondern auch die Lösung hier veröffentlicht hast. Das machen leider nicht alle User so vorbildlich.
TNX

 

[lOtz1009]

Das Keyfile sollte aber nicht unbedingt in /home/ rumliegen.

 

[gehrke]

Das Keyfile sollte aber nicht unbedingt in /home/ rumliegen.

Standardmäßig liegt das bei OpenSUSE neben dem jeweiligen home-directory.

 # ls -l /home
drwxr-xr-x  7 root    root       4096 Dec 22 11:19 test
-rw-------  1 test    root  104857601 Dec 22 11:20 test.img
-rw-------  1 test    root        288 Dec 22 11:19 test.key

 

[gehrke]

Wenn mich nicht alles täuscht, wird dort 'ecryptfs' verwendet.

Mittlerweile glaube ich, dass ich da Mist erzählt habe! Da wird wohl nicht 'ecryptfs' verwendet, sondern nur LUKS.

Ich habe mir mal die Source-Files von cryptconfig angesehen und kann mit meinen angestaubten C-Kenntnissen dort nur LUKS erkennen.

Um das zu verifizieren, habe ich unter YaST (OpenSUSE 13.2) einen Test-User mit verschlüsseltem home angelegt.

j3:~ # ls -ltar /home/test.*
-rw------- 1 test root       288 Dec 28 22:46 /home/test.key
-rw------- 1 test root 104857601 Dec 28 22:46 /home/test.img

j3:~ # losetup /dev/loop0 /home/test.img 
losetup: /home/test.img: Warning: file does not fit into a 512-byte sector; the end of the file will be ignored.

j3:~ # cryptsetup luksDump /dev/loop0
LUKS header information for /dev/loop0

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        256
MK digest:      ed 9f e6 15 08 b7 48 83 9a 49 26 42 17 e2 b4 24 19 00 39 9c 
MK salt:        28 46 88 f5 93 8f df c0 67 35 45 a9 69 2e dc e9 
                1d 64 42 ec 07 69 5f 97 9e 63 6a b8 bd c9 dc 68 
MK iterations:  42125
UUID:           a0bdd823-d458-49d4-8fdc-90cf43c0ecd6

Key Slot 0: ENABLED
        Iterations:             167978
        Salt:                   6a d5 12 96 be 35 26 13 63 59 5b ec fd d0 53 9b 
                                46 fa de 64 63 94 cc 7b 0c 73 52 af 9e 8c 68 1e 
        Key material offset:    8
        AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Das scheint mir eindeutig ein LUKS-Container zu sein.

 

[gehrke]

Es gibt zwei Möglichkeiten, auf den Inhalt eines solchen Containers zuzugreifen:
*Zugriff via cryptconfig
*Zugriff via dm-crypt (cryptsetup)

Ich habe das Tool 'cryptconfig' und beide Verfahren mal in der Linupedia dokumentiert:
http://wiki.linux-club.de/opensuse/Cryptconfig

cu, gehrke

 

[linux-freund]

Danke für die Mühe, gehrke!