Menüs

home-Laufwerk unter Ubuntu nachträglich verschlüsseln

Diese Anleitung beschreibt das nachträgliche Verschlüsseln des home-Laufwerks.

Operationg system: Ubuntu 16.04

Zuvor sollte ein Backup aller Daten angefertigt werden, auch wenn ein Backup des home-Verzeichnisses während des Prozesses automatisch erstellt wird. Es sollte sichergestellt sein, dass die Verschlüsselungs-Tools installiert sind:

1
~$sudo apt-get install ecryptfs-utils cryptsetup



Da der Benutzer während der Verschlüsselung seines Verzeichnisses nicht eingeloggt sein darf, muss der Admin-Account benutzt werden.

Migration des home-Verzeichnisses

STRG + ALT + F1 wechselt in die Single User Console Die grafische Oberfläche muss gestoppt werden:

1
~$sudo /etc/init.d/lightdm stop

Der folgende Befehl legt ein Backup des Home-Verzeichnisses an und verschlüsselt es dann ( durch den gewünschten Benutzernamen ersetzen):

1
~$sudo ecryptfs-migrate-home -u


Die Verschlüsselung benötigt ca. das 2,5-fache des Home-Verzeichnisses als freien Plattenplatz. Liegt die VirtualBox im Home-Verzeichnis, so muss sie vor der Verschlüsselung auf ein Netzlaufwerk verschoben werden und kann später wieder in das verschlüsselte Home-Verzeichnis zurückkopiert werden.

Nach der Eingabe des Passwortes des Users, dessen home verschlüsselt werden soll, wird verschlüsselt.  Die grafische Oberfläche kann dann wieder gestartet werden:

1
~$: sudo /etc/init.d/lightdm start




Es muss sich danach OHNE REBOOT mit dem Benutzer wieder eingeloggt werden!
Eine Kopie des Home-Verzeichnisses wurde erstellt, diese kann (wenn alles gut gegangen ist) gelöscht werden. Das Verzeichnis ist . !
Die Passphrase zur Wiederherstellung muss notiert werden (wird beim nächsten Login durch einen Dialog angezeigt; dauert einige Zeit), um auf die Dateien Zugriff zu haben, falls man zB. das System neu aufsetzt.

STRG + ALT + F7 wechselt wieder zur grafischen Oberfläche Sollte die Passphrase nicht angezeigt werden, kann sie vom User selbst mit

1
~$sudo ecryptfs-unwrap-passphrase


ausgelesen werden. Sie muss sicher aufbewahrt werden!

Passwortänderung bei verschlüsseltem home-Verzeichnis

Quelle: https://wiki.ubuntuusers.de/ecryptfs/Nutzung/#Wechsel-Login-Passwort
Bei einer Änderung des Benutzerpassworts wird automatisch im Verschlüsselungssystem die relevante Anpassung der Verschlüsselung durchgeführt. Dies geschieht unabhängig davon, ob die Passwortänderung mittels einer Desktop-Anwendung oder in einer Konsole mittels Befehl passwd durchgeführt wird. Allerdings greift dieser Mechanismus nicht, wenn der Administrator einem anderen Benutzer ein (neues) Passwort setzt. In diesem Fall können folgende Anweisungen weiterhin hilfreich sein.

Für den reibungslosen Ablauf der Ver- und Entschlüsselung der Daten ist es notwendig, dass das Benutzerpasswort mit dem Passwort übereinstimmt, welches zum Schutz des ecryptfs-Schlüssels verwendet wird. Normalerweise kümmert sich das System um diesen Aspekt. Sollte es dennoch vorkommen, dass das (aktuelle) Benutzerkennwort und Schutzkennwort nicht mehr übereinstimmen, kann dies auf folgende Weise korrigiert werden. Wahrscheinlich ist es in diesen Fällen so, dass das Schutzkennwort noch einem früheren Benutzerkennwort entspricht.

Achtung
Achtung! Bei allen folgenden Befehlen weder ein sudo einsetzen noch ein Administrator-Terminal benutzen!

Backup der wrapped-passphrase Datei erstellen

1
~$cd /home/<benutzername>/.ecryptfs
1
~$cp -f wrapped-passphrase wrapped-passphrase.old

Danach die Passphrase notieren

1
~$: ecryptfs-unwrap-passphrase wrapped-passphrase
1
~$: passphrase: < altes Benutzerpasswort >

Sollte dieser Befehl mit der Meldung „Error: Unwrapping passphrase failed“ quittiert werden, so war das gewählte Passwort nicht das notwendige Schutzpasswort. Eventuell auch auf Probleme mit Umlauten oder Tastaturbelegung achten. Ansonsten die ausgegebene Text/Zahlenfolge (Passphrase) notieren.

Optional: Benutzerpasswort ändern

1
~$passwd

Dieser Schritt kann auch alternativ über die grafische Oberfläche (Gnome, KDE, etc.) gemacht werden.
Die Passphrase jetzt mit aktuellem Benutzerpasswort schützen

1
~$: ecryptfs-wrap-passphrase wrapped-passphrase

Es kommen die Aufforderungen:

1
Passphrase to wrap:  < Hier die Passphrase eingeben, die oben notiert wurde >
1
Wrapping passphrase: < Eingabe des neuen (aktuellen) Benutzerpassworts >

Nun sollte man sich abmelden, wieder anmelden und den Erfolg obiger Maßnahme überprüfen. Falls nicht erfolgreich, muss man sich in der Konsole (STRG-ALT-F5) mit seinem Benutzernamen einloggen und man mit passwd sein Passwort zurücksetzen. Falls der Login immer noch nicht klappt kann man versuchen wrapped-passphrase.oldzurückzukopieren. (Dabei natürlich auch die neue wrapped-passphrase sichern)

Buy Me a Coffee at ko-fi.com

Kommentare 4

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.