[Ubuntu] Verschlüsselung ohne Passworteingabe am Rechner

Warhorstl

Commodore
Registriert
Nov. 2008
Beiträge
4.395
Hi,

vorweg: Noobgefahr! Bin weder in Sachen Linux, noch in Sachen Verschlüsselung oder Zugriffsrechten sehr bewandert.

Ich habe mir Ubuntu auf einen Rechner installiert und dabei meine Systempartition verschlüsselt, sodass ich nach jedem Neustart die Passphrase eingeben muss, um Zugriff aufs OS zu erhalten. Das hat sich jetzt doch als unpraktisch erwiesen hat, da ich den Rechner häufiger neustarte als gedacht und das meist mittels Webmin. Ich bin also nicht zwangsläufig im gleichen Raum und muss dann ggf. sogar noch erstmal Tastatur und Monitor anschließen.

Ich würde bei der Verschlüsselung deshalb quasi eine Stufe enger gehen wollen. Ziel ist es, dass meine Daten und Programme (es muss nicht das gesamte OS verschlüsselt sein!) dann entschlüsselt werden, wenn ich mit meinem User Zugriff habe.

Ich würde also jetzt Ubuntu ohne Verschlüsselung neuinstallieren und dann mittels "sudo ecryptfs-migrate-home -u <benutzername>" mein Home-Verzeichnis verschlüsseln. Löst das das Problem bzw. gibt es da irgendwelche zu bedenkenden Punkte? Sicherheitsziel ist letztlich, das jemand, der meine Festplatte erbeutet, nicht an mehr Infos kommen kann, als dass dort Ubuntu installiert ist. Und für die Usability möchte ich erreichen, dass ich ohne physischen Zugriff auf die Hardware einen Neustart machen kann.

Gruß
Horstl
 
Warhorstl schrieb:
meist mittels Webmin.
ah, nice. Da kommen erinnerungen hoch. Als wir im Freundeskreis die ersten erfahrungen mit Servern machten, wurden die uns immer von Fremden weg genommen, weil webmin mal wieder seine Sicherheitsluecken nicht gepatched hat. gute zeiten :)

Warhorstl schrieb:
Und für die Usability möchte ich erreichen, dass ich ohne physischen Zugriff auf die Hardware einen Neustart machen kann.
https://www.cyberciti.biz/security/how-to-unlock-luks-using-dropbear-ssh-keys-remotely-in-linux/
so geht das. Fulldiskencryption+dropbear ssh zum entschluesseln

und bitte versuch webmin weg zu lassen.
 
  • Gefällt mir
Reaktionen: Termy
Danke für die Antwort, das scheint genau meine Anforderungen zu erfüllen bzw. ist sogar besser.

Für Webmin habe ich mich vor allem deshalb entschieden, weil ich da einfach an ein paar Infos zum Systemstatus (Festplatten, Temperaturen, etc) komme. Ich möchte einfach nicht für jede einzelne Info einen Befehl eingeben müssen. Wenn du dafür eine sicherere Alternative hast, gerne her damit.
 
Je nach Bedrohungsszenario bzw Nutzungsgewohnheiten (immer im gleichen Gebäude während des Neustartens z.b.) könnte es auch eine Überlegung wert sein, eine Keyfile auf einem USB-Stick zu hinterlegen. Nicht so sicher wie die SSH-Variante, aber ggf. ja sicher genug ;)
 

Ähnliche Themen

Zurück
Oben