home-Laufwerk unter Ubuntu nachträglich verschlüsseln

Ubuntu Logo

Diese Anleitung beschreibt das nachträgliche Verschlüsseln des home-Laufwerks.

Operationg system: Ubuntu 16.04
Für Version 18.04 siehe unten…

Zuvor sollte ein Backup aller Daten angefertigt werden, auch wenn ein Backup des home-Verzeichnisses während des Prozesses automatisch erstellt wird. Es sollte sichergestellt sein, dass die Verschlüsselungs-Tools installiert sind:

~$: sudo apt-get install ecryptfs-utils cryptsetup

Da der Benutzer während der Verschlüsselung seines Verzeichnisses nicht eingeloggt sein darf, muss der Admin-Account benutzt werden.

Migration des home-Verzeichnisses

STRG + ALT + F1 wechselt in die Single User Console Die grafische Oberfläche muss gestoppt werden:

~$: sudo /etc/init.d/lightdm stop

Der folgende Befehl legt ein Backup des Home-Verzeichnisses an und verschlüsselt es dann ( <user> durch den gewünschten Benutzernamen ersetzen):

~$: sudo ecryptfs-migrate-home -u <user>

Die Verschlüsselung benötigt ca. das 2,5-fache des Home-Verzeichnisses als freien Plattenplatz. Liegt die VirtualBox im Home-Verzeichnis, so muss sie vor der Verschlüsselung auf ein Netzlaufwerk verschoben werden und kann später wieder in das verschlüsselte Home-Verzeichnis zurückkopiert werden.

Nach der Eingabe des Passwortes des Users, dessen home verschlüsselt werden soll, wird verschlüsselt.  Die grafische Oberfläche kann dann wieder gestartet werden:

~$: sudo /etc/init.d/lightdm start
Achtung

Es muss sich danach OHNE REBOOT mit dem Benutzer wieder eingeloggt werden!
Eine Kopie des Home-Verzeichnisses wurde erstellt, diese kann (wenn alles gut gegangen ist) gelöscht werden. Das Verzeichnis ist <username>.<hash> !
Die Passphrase zur Wiederherstellung muss notiert werden (wird beim nächsten Login durch einen Dialog angezeigt; dauert einige Zeit), um auf die Dateien Zugriff zu haben, falls man zB. das System neu aufsetzt.

STRG + ALT + F7 wechselt wieder zur grafischen Oberfläche Sollte die Passphrase nicht angezeigt werden, kann sie vom User selbst mit

~$: sudo ecryptfs-unwrap-passphrase

ausgelesen werden. Sie muss sicher aufbewahrt werden!

Passwortänderung bei verschlüsseltem home-Verzeichnis

Quelle: https://wiki.ubuntuusers.de/ecryptfs/Nutzung/#Wechsel-Login-Passwort
Bei einer Änderung des Benutzerpassworts wird automatisch im Verschlüsselungssystem die relevante Anpassung der Verschlüsselung durchgeführt. Dies geschieht unabhängig davon, ob die Passwortänderung mittels einer Desktop-Anwendung oder in einer Konsole mittels Befehl passwd durchgeführt wird. Allerdings greift dieser Mechanismus nicht, wenn der Administrator einem anderen Benutzer ein (neues) Passwort setzt. In diesem Fall können folgende Anweisungen weiterhin hilfreich sein.

Für den reibungslosen Ablauf der Ver- und Entschlüsselung der Daten ist es notwendig, dass das Benutzerpasswort mit dem Passwort übereinstimmt, welches zum Schutz des ecryptfs-Schlüssels verwendet wird. Normalerweise kümmert sich das System um diesen Aspekt. Sollte es dennoch vorkommen, dass das (aktuelle) Benutzerkennwort und Schutzkennwort nicht mehr übereinstimmen, kann dies auf folgende Weise korrigiert werden. Wahrscheinlich ist es in diesen Fällen so, dass das Schutzkennwort noch einem früheren Benutzerkennwort entspricht.

Achtung

Achtung! Bei allen folgenden Befehlen weder ein sudo einsetzen noch ein Administrator-Terminal benutzen!

Backup der wrapped-passphrase Datei erstellen

~$: cd /home/<benutzername>/.ecryptfs
~$: cp -f wrapped-passphrase wrapped-passphrase.old

Danach die Passphrase notieren

~$: ecryptfs-unwrap-passphrase wrapped-passphrase
~$: passphrase: < altes Benutzerpasswort >

Sollte dieser Befehl mit der Meldung „Error: Unwrapping passphrase failed“ quittiert werden, so war das gewählte Passwort nicht das notwendige Schutzpasswort. Eventuell auch auf Probleme mit Umlauten oder Tastaturbelegung achten. Ansonsten die ausgegebene Text/Zahlenfolge (Passphrase) notieren.

Optional: Benutzerpasswort ändern

~$: passwd

Dieser Schritt kann auch alternativ über die grafische Oberfläche (Gnome, KDE, etc.) gemacht werden.
Die Passphrase jetzt mit aktuellem Benutzerpasswort schützen

~$: ecryptfs-wrap-passphrase wrapped-passphrase

Es kommen die Aufforderungen:

Passphrase to wrap:  < Hier die Passphrase eingeben, die oben notiert wurde >
Wrapping passphrase: < Eingabe des neuen (aktuellen) Benutzerpassworts >

Nun sollte man sich abmelden, wieder anmelden und den Erfolg obiger Maßnahme überprüfen. Falls nicht erfolgreich, muss man sich in der Konsole (STRG-ALT-F5) mit seinem Benutzernamen einloggen und man mit passwd sein Passwort zurücksetzen. Falls der Login immer noch nicht klappt kann man versuchen wrapped-passphrase.oldzurückzukopieren. (Dabei natürlich auch die neue wrapped-passphrase sichern)

Ubuntu 18.04

Auch hier benötigt man die Utilities zum Verschlüsseln.

~$: sudo apt-get install ecryptfs-utils cryptsetup

Da der Benutzer während der Verschlüsselung seines Verzeichnisses nicht eingeloggt sein darf, muss der Admin-Account benutzt werden. Mit diesem Account öffnet man ein Terminal und kann nun direkt in der grafischen Oberfläche verschlüsseln.

~$: sudo ecryptfs-migrate-home -u <user>

Danach muss man sich abmelden und ohne Reboot mit dem Account anmelden, für den das home verschlüsselt wurde. Ansonsten gelten die Hinweise von oben.

Ähnliche Beiträge:
-> Ubuntu-Login mit Zwei-Faktor Authentifizierung absichern

Buy Me a Coffee at ko-fi.com

You May Also Like

5 Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aus persönlichen Gründen...

... kann ich den Blog im Moment leider nicht wie gewohnt betreuen und Anfragen zeitnah beantworten. Lediglich die technische Funktionalität versuche ich aufrecht zu erhalten. Sollte es trotzdem was Neues hier geben, dann schreibe ich eine Info in die Telegram-Gruppe.


In der Telegram-Gruppe können Sie sich weiterhin mit anderen Lesern von Împuşcătura austauschen.

Zur Telegram-Gruppe