Zum Inhalt springen

ecryptfs

Manches ist einfach Geschichte und so bin ich rein historisch bei ecryptfs gelandet. In den 90er Jahren des letzten Jahrhunderts war Verschlüsselung noch nicht das Thema. 2006 dann zog es auch auf der Benutzerebene ein. Alles was heutzutage so als sicher gilt, gab es damals noch nicht. ecryptfs war das was in den Linuxkernel gewandert ist. Und so kommt es das mein Heimatverzeichnis damit verschlüsselt ist. Es hat die diversen Releasewechsel überlebt und ist verschlüsselt so gewachsen.

Man erzählt sich, dass der Support dadurch stirbt, dass der Entwickler von Ubuntu zu Google gewechselt ist. Ausserdem sei es unsicher. Naja es ist nicht unsicherer als es 2010 war und ist auch in 2020 noch genauso sicher oder unsicher. Aber ja es stimmt, mit einem physischen Zugriff auf die Maschine ist es möglich das Heimatverzeichnis immer zu entschlüsseln, wenn man das Passwort des Benutzers kennt. Oder wenn man das  Passwort nicht kennt als Alternative der /etc/passwd und der /etc/shadow habhaft wird.

Ich persönlich betrachte das als Vorteil dahingehend, das ich an die Daten rankomme, wenn gewisse Bedingungen erfüllt sind. Ich brauche physischen Zugriff, ich weiß mein Passwort oder habe Zugriff auf /etc/shadow und die BenutzerID. In allen anderen Fällen habe ich verloren. Allerdings brauche ich nicht einen Key in dem Büro, dass vom Tiger bewacht wird welches den Abrissbescheid der Erde veröffentlicht hat. Tatsächlich birgt die perfekte Verschlüsselung das Risiko, das beim Verlieren eines einzigen Bausteins, die Daten für immer verloren sind, denn niemand auf dieser Erde wird sie mit vertretbaren Aufwand entschlüsseln können. Es ist ein Frage der Abwägung. In diesem Sinne betrachte ich ecryptfs nicht als perfekt sicher, aber als brauchbar.

Es erhöht für mich das Sicherheitsniveau dahingehend, dass meine Daten nicht für Hinz und Kunz auf Anhieb greifbar sind, weil sie nicht unverschlüsselt auf der Festplatte liegen. Bei einem blossen Start des Systems sind die Daten auch nicht zugänglich, es sei denn jemand wüsste mein Loginpasswort. Solange ich mich nicht eingeloggt habe kann niemand mit den Daten was anfangen, auch nicht mit einer BootCD.

Dennoch ist es einfach mit einer BootCD die Daten zu entschlüsseln.  Nehmen wir Debian Buster, was hier gerade läuft. Ich hatte das Isofile auf die Gleiche Partition gelegt in dem mein verschlüsseltes Heimatverzeichnis liegt. Wie das geht steht hier. Bei Buster ist im Gegensatz zu Ubuntu das isodevice nicht im Schreibzugriff, da dort aber auch mein verschlüsseltes Home liegt, zunächst mal ein:

mount -o remount,rw /dev/sda2 /run/live/findiso

Wo auch immer /etc/shadow /etc/group und /etc/passwd gespeichert ist vom Originalsystem mit dem Home mal verschlüsselt wurde, die sind für die Schritte notwendig. Ich habe sie und deswegen mache ich ein:

cat passwd >> /etc/passwd
cat shadow >> /etc/shadow
cat group >> /etc/group


Leider gibt es kein ecryptfs in Buster also muss ich mir das bauen. Dazu brauche ich den Quellcode denn ich mit:

bzr branch lp:ecryptfs

bekomme.  Ja, bzr ist auf in der Bootcd nicht installiert aber ein apt install schafft hier Abhilfe und dann kann ich mir ja auch gleich

apt install bzr distro-info dh-autoreconf dh-python intltool libglib2.0-dev libkeyutils-dev libnss3-dev libpam0g-dev pkg-config python-dev swig

installieren. Diese ganzen Pakete  braucht ecryptfs.

cd ecryptfs und dpkg-buildpackage -b -ui baut mir dann die notwendigen Pakete für Buster, die sich alle ausser ecryptfs-utils installieren lassen, warum auch immer die Abhängigkeit libnss3-1d  in den Orginalsourcen definiert ist, aber daran scheitert es. Das macht aber nichts, das dpkg-buildpackage war eigentlich nur dazu da, damit die ganzen Pfade im make debian-like sind. Nachdem das erfolgt ist, kann ich einfach ein make install machen und ecryptfs ist nun im overlay verfügbar.

cp -r /home/user  /run/live/findiso
mount -o bind /run/live/findiso /home
vi /etc/sudoers  und Benutzername zu den sudoers hinzufügen
chmod u+s /usr/sbin/mount.ecryptfs_private
su – Benutzername

Das Verzeichnis ist dann entschlüsselt und zugänglich. Nun startet Buster unter Wayland, was ich noch nicht rausgefunden habe, wie ich die Authority in demselben Xwayland umziehe. Ein Strg+Alt+F3 auf die Konsole sich dort einloggen und dann startx bringt die alte Arbeitsumgebung zurück. Ich habe den Verdacht dass bei der LiveCD Buster kein gdm komplett konfiguriert ist. Weder abmelden noch Benutzerwechsel funktioniert nach diesen Schritten.

To be continued ….