1959761

Linux-Daten sicher in der Cloud verwahren

25.07.2014 | 10:38 Uhr |

Daten in der Cloud war die letzten Jahre ein überschätztes Thema, und die Cloud-Anbieter wuchsen wie Pilze. Die Erkenntnis, dass dort alle mitlesen, lässt Vernunft einkehren: Kritischer Umgang mit Verschlüsselung ist Thema der Stunde.

Neben allbekannten Cloud-Anbietern wie Dropbox, Ubuntu One, Google Drive, Hidrive, Skydrive, Spideroak, Wuala sind mittlerweile noch diverse Dienstleister und Hardware-Anbieter wie Telekom, GMX, Amazon oder Samsung auf die Datenwolke gesprungen. Und so mancher Linux- und Windows-Nutzer war überall dabei, wo kostenlos ein paar Gigabyte hergingen: Man könnte ja was verschenken. Dass Daten auf einem externen Server nützlich sein können, ist unbestritten. Aber jetzt, nach dem NSA-Skandal, dürfte klar sein, dass man seine Daten besser nicht bedenkenlos über den Globus verteilen sollte.

Dieser Artikel stammt aus dem Sonderheft PC-WELT XXL: Linux statt Windows!

Linux statt Windows - so nutzen Sie Ubuntu & Mint, Linux ohne Risiko neben XP, 7 & 8.1, alle Daten von Windows umziehen. Außerdem: Sieben komplette Windows-Alternativen auf DVD.

1. Motive für Cloud-Daten: Nicht alles muss ins Web

Bei heutigen Festplattengrößen, günstigen externen Platten und NAS-Lösungen muss niemand massenhaft Fotos, Musik oder Texte ins Internet sichern. Dagegen spricht neben dem Datenschutzaspekt vor allem die meist langsame Upload-Geschwindigkeit. Nachvollziehbare Motive für den Einsatz von Cloud-Speicher sind hingegen folgende:

  • Wichtige Daten wie Kontakte, Kennwörter, Projektdaten sollen zentral von jedem Ort und Gerät zugänglich sein. Für Bastler: Technische Daten wie externe und interne IP-Adressen, und Systemlogs der LAN-Geräte sollen via Cloud abrufbar sein.

  • Besonders wichtige Dateien sollen zusätzlich zur lokalen Sicherung auch im Internet liegen, damit sie im Web auch einen Elementarschaden zu Hause überleben.

  • Sie möchten Dateien für andere bereitstellen.

Online-Festplatte: Stratos Hidrive benötigt keine externe Software und lässt sich unter anderem mit dem WebDAV-Protokoll einbinden.
Vergrößern Online-Festplatte: Stratos Hidrive benötigt keine externe Software und lässt sich unter anderem mit dem WebDAV-Protokoll einbinden.

Für diese Einsatzzwecke genügen die kostenlosen zwei bis fünf Gigabyte in der Regel vollkommen, wie Sie etwa Ubuntu One, Dropbox oder Strato Hidrive anbieten. Nutzen Sie immer erst das Kontingent eines Anbieters: Je mehr Sie Ihre Daten über verschiedene Anbieter streuen, desto schneller geht der Überblick verloren und desto größer wird auch der Aufwand, sensibleDaten überall konsequent zu verschlüsseln.

Übrigens: Laut jüngster Denic-Statistik existieren im Bundesdurchschnitt 168 de-Domains pro tausend Einwohner. Davon besteht sicher der Großteil aus Firmenportalen und bloßen Domain-Reservierungen. Trotzdem dürften einige Millionen Deutsche eine eigene Homepage besitzen.

Wer aber einen virtuellen oder gar dedizierten Server bei einem Web-Hoster betreibt, hat damit auch seinen persönlichen Online-Speicher mit fünf GB aufwärts und kann die oben genannten Aufgaben auch ohne zusätzliche externe Cloud-Dienste erfüllen: Dies kann durch einfaches FTP geschehen, was unter Linux, Windows (Filezilla) wie Android (Total Commander) problemlos funktioniert.

Die wichtigsten Cloud-Dienste für Linux

2. Die prominentesten Cloud-Dienste

Einen Überblick über alle Cloud-Anbieter leistet die Webseite www.cloudsider.com mit allerdings nicht immer aktuellen Angaben. Wir nennen hier nur einige ganz populäre Dienste und beschränken diese kleine Auswahl aus den unten genannten Gründen noch weiter.

Weit Wichtiger als die angebotene Datenmenge ist die Möglichkeit einer bequemen Verschlüsselung, und dies ist nur mit einer Cloud gewährleistet, der eine Synchronisierungs-Software anbietet – und zwar möglichst plattformübergreifend.

Google Drive: Wer ein Konto bei Google besitzt, kann Google Drive nutzen. Fünf GB gibt es kostenlos, für 100 GB bis ein TB zahlt man zwei bis zehn Euro monatlich. Unter Linux ist Google Drive nicht erste Wahl, weil Google einen angekündigten Linux-Client bis heute nicht fertiggestellt hat. Somit ist die Google-Cloud ohne Drittanbieter-Hilfe nur mit dem Browser erreichbar. Als Drittanbieter stellt die Firma Insync für circa elf Euro einen kostenpflichtigen Client bereit – für Linux, Mac-OS X, Windows, Android, iOS, Windows Phone und Blackberry.

Microsoft Onedrive (Skydrive): Für Onedrive von Microsoft gilt Ähnliches wie bei Google. Sieben GB gibt es kostenlos, 50 bis 200 GB kosten vier bis neun Euro pro Monat. Aber auch Microsoft hat keine Synchronisierungs-Software für Linux parat. Die Cloud-Verwaltung der Firma Storagemadeeasy kann zwar unter anderem auch Onedrive-Daten lokal synchronisieren, verlangt dafür aber circa 43 Euro.

Strato Hidrive: Die Strato-Cloud hatschon mal als erstes Plus die strengerendeutschen Datenschutzregeln. Hidrive bietet zwar ebenfalls keinen Synchronisations-Client, braucht aber auch keinen: Es handelt sich um eine Online-Festplatte, die Sie flexibel einbinden können (WebDAV, FTP, SFTP, SMB/CIFS und Open VPN). Zum Laden ad hoc genügt zum Beispiel das einzeilige Mini-Script:

sshfs [nutzer]@sftp.hidrive.strato.com: ~/hidrive

Hidrive lässt sich aber auch dauerhaft in der Datei „fstab“ einbinden. Hidrive bietet fünf GB kostenlos an. Das kleinste kostenpflichtige Paket mit 20 GB Speicherkontingent kostet 1,49 Euro pro Monat, für 100 GB verlangt Strato 6,90 Euro.

Hidrive hat unter Linux wie unter Windows den Vorteil, dass es keinerlei zusätzliche Software braucht. Für mobile Geräte gibt es Clients für Android, iOS und Windows Phone 7. 

Die nachfolgend beschriebene Verschlüsselung mit Enc FS funktioniert analog auch für Hidrive-Daten. Dazu wird das Hidrive zum Beispiel mit sshfs erst in das Dateisystem gemountet und der Mount-Ordner im zweiten Schritt an das Verschlüsselungs-Tool übergeben. Da wir die diversen Mount-Möglichkeiten bei Hidrive nicht alle berücksichtigen können, beschreiben wir das Verschlüsselungsprinzip nur für Ubuntu One und Dropbox.

Dropbox: Einer der beliebtesten Cloud-Anbieter ist Dropbox. Dafür gibt es Synchronisierungs-Clients für Linux, Windows, Mac-OS X, Android und iOS, und somit können Sie plattformübergreifend arbeiten. Unter Ubuntu & Co. ist die Dropbox-Cloud einschließlich des lokalen Synchronisierungs-Clients über das Software-Center in wenigen Sekunden installiert. Dropbox bietet neuen Nutzern zwei GB Speicher kostenlos an. 100 GB gibt es ab etwa sieben Euro pro Monat.

Ubuntu One ist Geschichte: Dieser Cloud-Dienst stammt von der Ubuntu-Firma Canonical und war in Ubuntu bis Version 13.10 fester und hervorragend integrierter Bestandteil. Anfang April kündigte Canonical jedoch überraschend an, die eigene Cloud einzustellen. Die Kunden wurden per Mail informiert: Wer noch Daten auf Ubuntu One lagert, sollte diese bis spätestens 1. Juli 2014 abholen.

Oft genügt Packer-Verschlüsselung: Der Linux-Archivmanager codiert Daten sicher. Unter Windows ist 7-Zip damit kompatibel, unter Android unter anderem der Total Commander.
Vergrößern Oft genügt Packer-Verschlüsselung: Der Linux-Archivmanager codiert Daten sicher. Unter Windows ist 7-Zip damit kompatibel, unter Android unter anderem der Total Commander.

3. Werkzeuge zum Verschlüsseln der Cloud-Daten

Längst nicht alle Dateien oder Ordner, die Sie auf einen Cloud-Speicher kopieren, benötigen unbedingt Datenschutz durch Verschlüsselung. Daher genügt es Ihnen eventuell, die wirklich sensiblen Daten ad hoc manuell zu codieren. Für diese Aufgabe reichen Packerwie der unter Linux meist standardmäßiginstallierte Archivmanager (Paketname: „file-roller“) oder 7-Zip und Winrar unter Windows, die Archive mit Passwort schützen können und obendrein optional die Dateinamen unlesbar codieren. Bei ausreichend komplexem Passwort bieten diese Archive hohe Sicherheit. Kopieren Sie einfach statt der Originaldateien entsprechende Archive in den Sync-Ordner Ihrer Cloud. Die lassen sich auch mit Android-Geräten öffnen, etwa mit der Datei-Allzweckwaffe Total Commander für Android.

Die plattformübergreifende Verschlüsselungs-Software Truecrypt ist hingegen kaum Cloud-tauglich: Diese ist auf ganze Datenträger oder zumindest auf größere Daten-Container ausgelegt. Wenn Sie ein verschlüsseltes Volume mit 100 MB im lokalen Sync-Ordner der Cloud anlegen und später eine einzige kleine Datei des Volumes ändern, muss bei der Synchronisierung das gesamte Volume in die Cloud übertragen werden. Truecrypt-Container eignen sich daher allenfalls zur Sicherung abgeschlossener Projekte.

Die nachfolgend genauer beschriebene Enc-FS-Verschlüsselung ist flexibler als Truecrypt und komfortabler als Packer-Archive: Sie müssen nicht planen, wie groß Ihre Datenmengen werden, sondern legen einfach einen neuen Ordner an. Alles was Sie anschließend dort einstellen, wird automatisch verschlüsselt. Die Eingabe des Kennworts lässt sich ebenfalls automatisieren.

Unspektakuläre Ersteinrichtung eines Enc-FS-Ordners: Nach dem encfs-Kommando mit dem Quell-Ordner und dem Mount-Ordner ist nur noch die Kennwortvergabe erforderlich.
Vergrößern Unspektakuläre Ersteinrichtung eines Enc-FS-Ordners: Nach dem encfs-Kommando mit dem Quell-Ordner und dem Mount-Ordner ist nur noch die Kennwortvergabe erforderlich.

4. Enc FS auf den Sync-Ordner der Cloud anwenden

Enc FS bietet einen komfortablen Weg, entweder alle Cloud-Daten zu verschlüsseln oder – in einem Unterverzeichnis – jenen vertraulichen Teil, den weder der Cloud-Betreiber noch Geheimdienste einsehen sollen. Enc-FS-verschlüsselte Daten sind theoretisch unter jedem Betriebssystem verwendbar: Neben Linux können Android-Geräte mit der voll kompatiblen App Cryptonite die Enc-FS-Daten lesen. Für Mac-Anwender gibt es nach einem gewissen Installationsaufwand ein praktisch identisches Enc FS. Auf Windows lässt sich das – allerdings nur bedingt – kompatible Boxcryptor einsetzen. Das kostenlose Boxcryptor Free scheitert, wenn Enc FS mit Dateinamenverschlüsselung arbeitet – und das ist ohne Benutzereingriff der Standard. 

Enc FS ist auf Linux-Distributionen meist nicht vorinstalliert, aber in den Repositories aller namhaften Distributionen enthalten. Unter Ubuntu können Sie es im Software-Center suchen oder das relativ kleine System-Tool inwenigen Sekunden im Terminal mit

sudo apt-get install encfs

installieren. Ein zusätzliches grafisches Frontend wie der gnome-encfs-manager vereinfacht zwar die Bedienung, solche GUI-Tools sind aber nicht mit jedem System, jeder Version oder jedem Desktop kompatibel. Daher beschreiben wir im Folgenden die generell taugliche Nutzung auf der Kommandozeile.

Im Beispiel gehen wir davon aus, dass Sie einen Synchronisierungsordner von Dropbox verschlüsseln möchten – also etwa „/home/[username]/Dropbox“. Wenn sich darin bereits Daten befinden, spielt das keine Rolle, diese bleiben dann aber weiterhin unverschlüsselt. Legen Sie an beliebiger Stelle im Dateisystem einen Mount-Ordner an, etwa am Desktop mit dem Namen „Dropbox“. Dann geben Sie im Terminal diesen Befehl ein:

encfs /home/[username]/Dropbox/home/[username]/Arbeitsfläche/Dropbox
Technisch exzellent, aber wirtschaftlich erfolglos: Die auslaufende Ubuntu-Cloud zeigt hier in der Statusmeldung, dass Enc FS seine Aufgabe korrekt erledigt hat.
Vergrößern Technisch exzellent, aber wirtschaftlich erfolglos: Die auslaufende Ubuntu-Cloud zeigt hier in der Statusmeldung, dass Enc FS seine Aufgabe korrekt erledigt hat.

Je nach Linux kann die „Arbeitsfläche“ auch „Schreibtisch“ oder „Desktop“ heißen. Der erste Parameter nach „encfs“ ist das zu verschlüsselnde Verzeichnis, also der Synchronisierungsordner der Cloud. Als zweiter Parameter folgt der Mountpunkt für Enc FS. Bei der Ersteinrichtung werden Sie nun nach dem Einrichtungsmodus gefragt, was Sie mit der Enter-Taste einfach überspringen und damit den völlig ausreichenden „Standard-Modus“ auslösen. Dieser Standard bietet 192-Bit-AES-Verschlüsselung inklusive Dateinamens-Codierung. Danach müssen Sie nur noch ein Kennwort eingeben und dieses ein zweites Mal bestätigen. Ignorieren Sie künftig, jedenfalls wenn Sie die Daten verschlüsseln möchten, den eigentlichen Sync-Ordner, und arbeiten Sie ausschließlich im Mount-Ordner mit den lesbaren Daten (hier im Beispiel der Ordner „Dropbox“ am Desktop).

Alles, was Sie dort einstellen oder bearbeiten, landet umgehend verschlüsselt im eigentlichen Sync-Ordner. Von dort gehen dann die Daten weiter zum Cloud-Server im Web. Wenn Sie einen verschlüsselten Ordner für die weitere Linux-Sitzung nicht mehr benötigen, entladen Sie seinen Mountpunkt mit folgendem Befehl:

fusermount -u /home/user/Arbeitsfläche/Dropbox

Künftiges, erneutes Laden geschieht mit genau demselben Enc-FS-Befehl wie oben bei der Ersteinrichtung. Dabei wird dann nur noch das Kennwort abgefragt. Die Tipps im untenstehenden Kasten zeigen weitere Möglichkeiten, den Komfort zu erhöhen.

So machen Sie Cloud-Dienste sicher

5. Tipps zur optimierten Enc-FS-Bedienung

Tipp 1: Wenn Sie einen Cloud-Ordner auf die beschriebene Weise für Enc-FS-Verschlüsselung eingerichtet haben, der vorher bereits Daten enthielt, bleiben diese älteren Daten unverschlüsselt. Nur neue, im Mount-Verzeichnis erstellte Dateien werden codiert. Wenn Sie nun auch die älteren Dateien des Cloud-Ordners nachträglich verschlüsseln wollen, ist das ganz einfach: Verschieben Sie diese Dateien vom tatsächlichen Sync-Ordner in das Enc-FS-Mount-Verzeichnis.

Tipp 2: Die ständige Eingabe des Kennworts beim Mounten des Enc-FS-Ordners können Sie sich sparen: Wenn Sie dem Programmaufruf encfs die Option - stdinpass oder kurz -S mitgeben, übergeben Sie das Kennwort mit echo direkt per Script:

echo kennwort | encfs -stdinpass [Quellordner] [Mount ordner]

Ein Shell-Script zum Mounten eines verschlüsselten Ordners könnte dann so aussehen:

echo kennwort | encfs -stdinpass /home/[username]/Dropbox/home/user/Arbeitsfläche/Dropbox nautilus /home/[username]/Arbeitsfläche/Dropbox

Tipp 3: Wenn Sie Enc FS für mehrere Zwecke nutzen, etwa für mehrere Cloud-Ordner sowie für USB-Sticks, kann ein wenig Planung nicht schaden:

  • Verwenden Sie für alle verschlüsselten Ordner dasselbe Passwort. Das verringert zwar die Sicherheit, ist aber praktikabler.

  • Legen Sie alle Mountpunkte in einen Sammelordner unter „Home“, also etwa „~/EncFS/Dropbox“, „~/EncFS/Stick16GB“. Das sorgt für mehr Durchblick, als die Mountpunkte irgendwo im Dateisystem zu streuen.

Tipp 4: Ein komfortables Alias für das Terminal in der Standard-Script-Datei „~/.bashrc“ zum Mounten eines verschlüsselten Ordners könnte dann so aussehen:

alias dp='echo kennwort | encfs -S ~/Dropbox ~/Arbeitsfläche/Dropbox;nautilus ~/ Arbeitsfläche/Dropbox'

Künftig genügt im Terminal die Eingabe dp , um das Kennwort zu übergeben (wichtig: Schalter „-S“), den Cloud-Ordner in den Enc-FS-Mountpunkt zu laden und diesen dann auch gleich im Standard-Dateimanager anzuzeigen.

Tipp 5: Wenn Sie sich über die Sicherung oder die verschlüsselte Sicherung aktueller Projekte möglichst wenig Gedanken machen wollen, bearbeiten und speichern Sie diese einfach im Synchronisierungsordner Ihres Cloud-Dienstes. Sofern Sie die empfohlene Enc-FS-Verschlüsselung einsetzen, wäre dann stattdessen der Mount-Ordner von Enc FS der geeignete Arbeitsordner. So oder so landenneu hinzukommende oder neu bearbeitete Dateien in kurzer Frist automatisch im Cloud-Speicher.

Da aktuell geöffnete Daten oft gesperrt sind und nicht kopiert werden können, sollten Sie sich bei dieser Arbeitsweise angewöhnen, den Rechner nach Beendigung der Arbeit nicht sofort herunterzufahren, sondern der Cloud-Synchronisierung ein paar Minuten Zeit zu lassen, um die Daten zu übertragen.

0 Kommentare zu diesem Artikel
1959761