Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
Leitfaden
1 Die Wurzeln von Ubuntu
2 Was ist Ubuntu?
3 Die Versionen im Detail
4 Die Möglichkeiten der beiliegenden DVDs
5 Daten aus Windows sichern
6 Die Installation
7 Erste Schritte
8 Kubuntu und Xubuntu
9 Ubuntu mobil
10 Programme und Pakete installieren
11 Internet und E-Mail
12 Office
13 Grafik und Bildbearbeitung
14 Multimedia
15 Das Terminal
16 Programmierung und Design
17 Einrichtung der grundlegenden Hardware
18 Software- und Paketverwaltung
19 Architektur
20 Backup und Sicherheit
21 Desktop-Virtualisierung
22 Server-Installation
23 Sicherheit und Monitoring
24 Netzwerke
25 Server im Heim- und Firmennetzwerk
26 Der Server im Internet
27 Server-Virtualisierung mit KVM
28 Server-Virtualisierung mit Xen
29 Hilfe
30 Befehlsreferenz
Mark Shuttleworth
Glossar
Stichwort

Download:
- ZIP, ca. 34,8 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Ubuntu GNU/Linux von Marcus Fischer
Das umfassende Handbuch, aktuell zu Ubuntu 10.04 LTS "Lucid Lynx"
Buch: Ubuntu GNU/Linux

Ubuntu GNU/Linux
5., aktualisierte und erweiterte Auflage, gebunden, mit 2 DVDs
1.104 S., 39,90 Euro
Galileo Computing
ISBN 978-3-8362-1654-8
Pfeil 20 Backup und Sicherheit
Pfeil 20.1 Berechtigungen
Pfeil 20.1.1 Dateiberechtigungen
Pfeil 20.1.2 PAM
Pfeil 20.2 Grundlagen der Sicherung
Pfeil 20.2.1 Partitionierung
Pfeil 20.2.2 Partitionierung der Zweitplatte
Pfeil 20.2.3 Verkleinerung von bestehenden Partitionen
Pfeil 20.3 Backup-Software
Pfeil 20.3.1 Deja Dup
Pfeil 20.3.2 Inkrementelles Backup mit rsnapshot
Pfeil 20.3.3 Direktes Klonen via dd
Pfeil 20.4 Ist Linux sicherer als Windows?
Pfeil 20.4.1 Verschiedene Konzepte
Pfeil 20.4.2 Root versus Sudo
Pfeil 20.4.3 AppArmor
Pfeil 20.5 Virenscanner und Firewall
Pfeil 20.5.1 Virenscanner
Pfeil 20.5.2 Firewall
Pfeil 20.5.3 Sicherheits-Updates
Pfeil 20.6 Verschlüsselung
Pfeil 20.6.1 Einrichtung des Systems
Pfeil 20.6.2 Konfiguration der Krypto-Partitionen
Pfeil 20.6.3 Umwandlung der unverschlüsselten Partitionen
Pfeil 20.6.4 Der erste verschlüsselte Start
Pfeil 20.6.5 Datenspuren vernichten
Pfeil 20.7 Verschlüsseln mit GPG
Pfeil 20.7.1 Funktionen von GnuPG
Pfeil 20.7.2 Verschlüsselung einzelner Dateien
Pfeil 20.7.3 E-Mails verschlüsseln mit GnuPG


Galileo Computing - Zum Seitenanfang

20.6 Verschlüsselung Zur nächsten ÜberschriftZur vorigen Überschrift

Wenn auf der Festplatte des Rechners sensible Daten liegen, bietet es sich an, diese zu verschlüsseln. Prinzipiell lassen sich einzelne Dateien verschlüsseln; wirkliche Sicherheit bietet aber nur die Verschlüsselung des Systems. Weitgehende Sicherheit ist nur erreichbar, wenn man alle Stellen bedenkt, an denen die zu schützenden Daten auftauchen können, und sei dies auch nur vorübergehend. »Gelöschte« Daten lassen sich nämlich mit entsprechendem Aufwand durchaus noch auslesen. Traditionell verhindert man dies, indem man die Daten beim Löschen mehrfach überschreibt. Dies ist bei modernen Dateisystemen jedoch nicht möglich.

Folgende Bereiche müssen deshalb verschlüsselt werden:

  • die Daten selbst, z. B. die Partition mit den persönlichen Ordnern (/home)
  • die Auslagerungspartition (swap)
  • die temporären Dateien (/tmp)
  • die Dateien in /var, in denen z. B. Druckaufträge zwischengespeichert sind

In Ubuntu können Sie während der Installation die Möglichkeit der automatischen Verschlüsselung Ihres persönlichen Verzeichnisses nutzen.


Galileo Computing - Zum Seitenanfang

20.6.1 Einrichtung des Systems Zur nächsten ÜberschriftZur vorigen Überschrift

Um die oben genannten Partitionen zu verschlüsseln, brauchen Sie das Programm cryptsetup. Sie installieren es bequem über sudo apt-get install cryptsetup. Um einerseits unnötig viele Passworteingaben beim Systemstart zu vermeiden, andererseits aber die Datensicherung nicht zu erschweren, verwenden Sie eine Partition für /home und eine weitere gemeinsame für /tmp und /var. Sie brauchen dementsprechend beim Systemstart nur zwei zusätzliche Passwörter. Besteht für /home noch keine eigene Partition, so müssen Sie dies ändern. Für /tmp und /var müssen Sie ebenfalls eine Partition anlegen.

Anlegen der Partitionen für /home, /tmp und /var

Diese Schritte müssen von einer Live-CD aus erledigt werden, da die Systempartition betroffen ist. Sie verwenden dazu das grafische Partitionierungsprogramm GParted.

  • Beim Start
    Beim Start mit der Live-CD muss der Parameter live noswap eingegeben werden. Er verhindert die Nutzung von Swap-Partitionen, denn dies könnte die Bearbeitung der Partitionstabelle stören.
  • Verkleinerung der Systempartition
    Zuerst müssen Sie die Systempartition verkleinern. 5 GB sind meist angemessen, sofern nicht bereits mehr Platz auf dem Gerät belegt ist.
  • Verschieben der Swap-Partition
    Die Leistung leidet, wenn die Swap-Partition zu weit hinten auf der Festplatte liegt. Verschieben Sie sie daher direkt an das Ende der Systempartition.
  • Anlage der neuen Partitionen
    Nun legen Sie zwei Partitionen an:
    • Für die gemeinsame Partition für /tmp und /var genügen etwa 1 bis 2 GB. Diese Partition sollte möglichst hinter dem Swap-Bereich liegen.
    • Für die spätere /home -Partition können Sie den restlichen verfügbaren Platz verwenden.

Normalerweise können Sie für beide Partitionen das ext3-Dateisystem wählen. Die Bezeichnungen der Systempartition und der neuen Partitionen sollten Sie sich notieren. Auch die nächsten Schritte werden mit der Live-CD erledigt. Starten Sie also noch nicht neu.

  • Daten umverteilen
    Die Daten, die derzeit noch auf der alten Partition liegen, müssen jetzt an den richtigen Ort verschoben werden. Diese Schritte führen Sie von einer Live-CD aus und im Terminal durch.
  • Partitionen einbinden /dev/hda1 sei die Systempartition, /dev/hda5 die Partition für /tmp und /var, /dev/hda6 sei die neue /home -Partition. Die Verzeichnisse zum Einbinden werden im Terminal erzeugt mit:
sudo mkdir /mnt/{root,crypt,home}

Die Partitionen werden eingehängt mit:

sudo mount /dev/hda1 /mnt/root
sudo mount /dev/hda5 /mnt/crypt
sudo mount /dev/hda6 /mnt/home
  • Daten verschieben
    Falls sich das /home -Verzeichnis noch nicht auf der separaten Partition befindet, kopieren Sie seinen Inhalt mit folgendem Befehl an die entsprechende Stelle:
sudo cp -a /mnt/root/home/* /mnt/home/

Die Verzeichnisse /tmp und /var werden wie folgt kopiert bzw. angelegt:

sudo mkdir /mnt/crypt/tmp
sudo chmod 1777 /mnt/crypt/tmp
sudo cp -a /mnt/root/var /mnt/crypt/

/tmp wird nicht kopiert, sondern neu angelegt, weil der Inhalt beim Systemstart ohnehin automatisch gelöscht wird.

Den Inhalt der Partitionen können Sie sich wie folgt anzeigen lassen:

ls /mnt/crypt
ls /mnt/home

Dort sollten sich die Verzeichnisse /tmp und /var bzw. alle persönlichen Ordner der Benutzer befinden. Damit ist dieser Schritt erledigt. Nun sollten Sie wieder das normale System starten. Loggen Sie sich bitte nicht in der grafischen Oberfläche ein, sondern wechseln Sie mit der Tastenkombination Taste Strg + Taste Alt + Taste F1 auf eine Konsole, und melden Sie sich dort an.


Galileo Computing - Zum Seitenanfang

20.6.2 Konfiguration der Krypto-Partitionen Zur nächsten ÜberschriftZur vorigen Überschrift

Die zu verschlüsselnden Partitionen sind in der Datei /etc/crypttab aufgelistet, die in einem Editor mit Root-Rechten bearbeitet werden kann. Die Swap-Partition wird hier ebenfalls angezeigt.

# <target device><source device><key file><options>
crypt   /dev/hda5
home    /dev/hda6
swap0 /dev/hda2 /dev/urandom swap

An erster Stelle tragen Sie den gewünschten Namen des verschlüsselten Gerätes ein, an zweiter Stelle die zu verschlüsselnde Partition bzw. das zu verschlüsselnde Volume, falls Sie LVM verwenden. Die weiteren Optionen für den Swap geben an, dass als Schlüssel eine Zufallszahl verwendet und das verschlüsselte Gerät nach Einrichtung als Swap formatiert werden soll.


Galileo Computing - Zum Seitenanfang

20.6.3 Umwandlung der unverschlüsselten Partitionen Zur nächsten ÜberschriftZur vorigen Überschrift

Beim ersten Mal legen Sie das Kryptogerät noch von Hand an, um eine doppelte Passwortabfrage zu erhalten. Später, beim automatischen Start der Verschlüsselung, wird das Passwort natürlich nur einmal pro Partition abgefragt. Das wäre jetzt im Fall eines Vertippers fatal, also:

sudo cryptsetup create -y crypt /dev/hda5
sudo cryptsetup create -y home /dev/hda6

Jetzt kommt der abenteuerliche Teil: Die folgenden Befehle wandeln die bestehenden Partitionen um. Sie dürfen dabei nicht eingebunden sein. Die enthaltenen Dateisysteme samt Inhalt sind danach über das verschlüsselte Gerät unversehrt zugänglich.

sudo dd if=/dev/hda5 of=/dev/mapper/crypt
sudo dd if=/dev/hda6 of=/dev/mapper/home

Nun sollte bei einem Zugriff auf die »originale« Partition nur noch Datenmüll zu sehen sein. Die alten Inhalte sind über /dev/mapper/home zugänglich. Sie testen nun die Korrektheit der umgewandelten Partition mit:

sudo fsck /dev/mapper/crypt
sudo fsck /dev/mapper/home

Zur Sicherheit können Sie die Partition auch schon einmal einbinden, um ihre Inhalte zu betrachten:

sudo mount /dev/mapper/crypt /mnt
sudo mount /dev/mapper/home /home

Eintrag der neuen Dateisysteme

In der fstab (die Sie via sudo gedit /etc/fstab bearbeiten) sollten Sie nun noch Einträge für die neuen oder geänderten Partitionen wie folgt erstellen bzw. anpassen:

/dev/mapper/swap  none    swap  sw        0    0
/dev/mapper/crypt /crypt  ext3  defaults  0    2
/dev/mapper/home  /home   ext3  defaults  0    2

Das Verzeichnis /crypt existiert noch nicht, Sie müssen es anlegen:

sudo mkdir /crypt

Alte Daten zur Seite räumen

Nun müssen die alten Daten aus dem Weg geräumt werden, damit auf die neuen, verschlüsselten Daten zugegriffen werden kann. Hierzu starten Sie noch einmal eine Live-CD und binden die Systempartition ein:

mount /dev/hda1 /mnt

Unverschlüsselte Dateien umbenennen

Zur Sicherheit benennen Sie die alten, unverschlüsselten Daten erst einmal um, anstatt sie gleich zu löschen. Sollte irgendetwas doch nicht funktionieren, ist der Weg zurück so besonders einfach. Lediglich das beim Systemstart ohnehin leere /tmp wird sogleich gelöscht. Dann werden leere Verzeichnisse bzw. Links auf die verschlüsselten Daten erstellt:

sudo mv /mnt/home /mnt/noenc-home
sudo mkdir /mnt/home
sudo rm -rf /mnt/tmp
sudo ln -s /crypt/tmp /mnt/tmp
sudo mv /mnt/var /mnt/noenc-var
sudo ln -s /crypt/var /mnt/var

Galileo Computing - Zum Seitenanfang

20.6.4 Der erste verschlüsselte Start Zur nächsten ÜberschriftZur vorigen Überschrift

Beim nächsten Start des installierten Systems wird nach dem Passwort für die verschlüsselten Partitionen gefragt. Wenn Sie sich vertippen, haben Sie Pech gehabt und landen auf einer Konsole. Sie können die Passworteingaben wiederholen, wenn Sie hier /etc/init.d/cryptdisks restart eingeben. Nach dem Betätigen von Taste Strg + Taste D wird der Systemstart dann fortgesetzt. Funktioniert alles, müssen Sie die zuvor umbenannten Daten noch löschen:

sudo rm -rf /noenc*

Galileo Computing - Zum Seitenanfang

20.6.5 Datenspuren vernichten topZur vorigen Überschrift

Im Prinzip könnten nun auf der Systempartition noch die Daten aus den verschobenen Verzeichnissen zu finden sein. Diese überschreiben Sie, indem Sie den gesamten leeren Platz auf der Partition mit Zufallszahlen auffüllen. Dies funktioniert mithilfe einer Live-CD. Die Systempartition binden Sie mit

sudo mount /dev/hda1 /mnt

ein. Danach schreiben Sie mit dem Befehl

sudo dd if=/dev/urandom of=/mnt/zufall && \
sudo rm /mnt/zufall

Zufallszahlen in eine Datei, und zwar so lange, bis der Platz erschöpft ist. Danach löschen Sie diese Datei wieder. Nun befinden sich alle sensiblen Daten ausschließlich auf verschlüsselten Partitionen.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Ubuntu GNU/Linux

Ubuntu GNU/Linux
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Linux






 Linux


Zum Katalog: OpenVPN






 OpenVPN


Zum Katalog: LPIC-1






 LPIC-1


Zum Katalog: Debian GNU/Linux






 Debian GNU/Linux


Zum Katalog: Shell-Programmierung






 Shell-Programmierung


Zum Katalog: Webserver einrichten und administrieren






 Webserver einrichten
 und administrieren


Zum Katalog: VirtualBox






 VirtualBox


Zum Katalog: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de