Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
https://www.pro-linux.de/forum/

$HOME verschlüsseln und mit dem login freischalten

https://www.pro-linux.de/forum/viewtopic.php?t=1034550

Page 1 of 1

$HOME verschlüsseln und mit dem login freischalten

Posted: 20. Jan 2009 16:58
by BOFE
Folgendes: Für Susis Enterprise Desktop 10, würden wir gerne mit dem Login eines bestimmten Benutzers die per luks verschlüsselte Partition (Containerl) automatisch entschlüsseln. Also das loginpasswort gleich an cryptsetup weiterleiten und danach einen mount machen.

Hat jemand schon einmal so etwas gemacht und könnte mir auf die Sprünge helfen?

Posted: 23. Jan 2009 9:16
by petameta
So wie Du es vorhast, hab ich's nicht gemacht, und ich bin mir nicht sicher, ob das vom Aspekt der Sicherheit sinnvoll ist, wenn Passwort und Schlüssel gleich sind. Beispielsweise würdest Du bei jedem Login über SSH der Schlüssel benutzen. Das ist jetzt eine technische Sicht der Dinge und geht zu Lasten des Bedienkomforts ... mir fällt leider keine Lösung ein, die beide Aspekte erfüllt.

Posted: 23. Jan 2009 11:17
by Janka
Bei Verschlüsselung musst du immer beachten, dass diese *ausschließlich* sinnvoll ist, wenn du den Rechner gegen Diebstahl absichern willst. Ist das Kennwort einmal erst einmal eingegeben, ist die Verschlüsselung unwirksam. Das ganze System arbeitet dann nur noch mit der normalen Rechteverwaltung.

Es ist weiterhin sinnlos, nur einzelne Dateien oder Partitionen zu verschlüsseln, wenn nicht der Swap abgeschaltet oder ebenfalls verschlüsselt wird. Der Swap kann aber beim Booten jeweils neu angelegt und mit einem Zufallskennwort verschlüsselt werden. Damit wird er dann auch gleich danach wieder benutzbar gemacht. Nach einem Strom-aus lässt sich der Swap dann nicht mehr entschlüsseln.

Weiterhin musst du unbedingt Suspend (to-RAM, to-Disk) auf dem Rechner verhindern, da dabei der Rechner im "offenen" Zustand abgeschaltet wird.

Das Loginkennwort wird über PAM ermittelt. Du musst also nach einem PAM-Modul Ausschau halten, das außerdem das Kennwort auch zum Entschlüsseln benutzt. Guck hier
http://wiki.linux-club.de/opensuse/Mit_ ... _einbinden

petametas Einwand, dass das Login-Kennwort meist ungeeignet gewählt wird und daher so ohnehin Tresortüren in Papierwände gebaut werden, ist sicher richtig. Außerdem musst du beachten, dass das Login-Kennwort nicht mehr geändert werden kann, ohne das man das Kennwort des Containers ebenfalls mitändert.

Janka
All times are UTC+01:00
Page 1 of 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/