1822783

Linux bombensicher: So klappt das Verschlüsseln

01.06.2014 | 15:31 Uhr |

Auch bei Linux können Unbefugte an vertrauliche Daten gelangen, die sie nichts angehen, etwa wenn Sie Ihr Notebook verlieren. Wir zeigen, wie Sie sich davor schützen.

Schreibzugriff unter Linux ist nur im Home-Verzeichnis und in „/tmp“ erlaubt. Ohne root-Passwort lässt sich weder über die Paketverwaltung Software installieren noch sind Änderungen an den Systemeinstellungen möglich. Noch mehr Sicherheit lässt sich erreichen, wenn Sie das Home- Verzeichnis verschlüsseln. Das ist vor allem bei tragbaren Geräten sinnvoll, damit bei Verlust andere Personen Ihre Daten nicht einsehen können. Außerdem lassen sich die Rechte im Dateisystem so setzen, dass für weitere Nutzer des PCs der Zugriff auf Ihr Home-Verzeichnis verweigert wird.

Hinweis: Die Tipps beziehen sich auf Ubuntu 13.04. Bei anderen Linux-Distributionen stehen die Funktionen möglicherweise nicht zur Verfügung oder sind auf anderem Wege zu erreichen.

Zugriffschutz einrichten über Benutzerrechte

Ubuntu legt die Zugriffrechte für die Benutzerverzeichnisse so fest, dass jeder Benutzer den Inhalt fremder Home-Verzeichnisse sehen und die Dateien kopieren oder öffnen kann. Wenn Sie das nicht wünschen, klicken Sie im Dash auf das Icon „Dateien“ und gehen unter „Geräte“ auf „Rechner“. Wechseln Sie in das Verzeichnis „home“. Klicken Sie den Ordner mit Ihrem Anmeldenamen mit der rechten Maustaste an, wählen Sie im Kontextmenü „Eigenschaften“, und gehen Sie jetzt auf die Registerkarte „Zugriffsrechte“. Unter „Andere“ stellen Sie hinter „Zugriff“ den Wert „keiner“ ein und beenden dann die Aktion mit Klick auf „Schließen“.

Wenn andere Benutzer jetzt versuchen, Ihr Home-Verzeichnis zu öffnen, erhalten diese die Meldung „Dieser Ort kann nicht angezeigt werden“ – und der Zugriff wird verweigert. Anders als bei verschlüsselten Ordnern können jedoch Benutzer, die root- Rechte besitzen oder den PC von einer Live-CD starten, jederzeit den Inhalt Ihres Home-Verzeichnisses einsehen.

Linux-Tools für mehr Sicherheit

Home-Verzeichnis verschlüsseln

Ein verschlüsseltes und damit sicheres Home-Verzeichnis lässt sich am einfachsten gleich bei der Ubuntu-Installation anlegen. Wenn Sie bei der Installation das Fenster „Wer sind Sie?“ sehen, setzen Sie ein Häkchen vor „Meine persönlichen Daten verschlüsseln“. Nach der ersten Anmeldung beim neu installierten System erscheint ein Fenster mit dem Hinweis „Ihre Verschlüsselungspassphrase notieren“. Klicken Sie auf „Diese Aktion ausführen“. Danach geben Sie das Anmeldepasswort ein und bestätigen mit der Enter-Taste. Sie sehen dann das von Ubuntu zufällig generierte Passwort für die Verschlüsselung. Notieren Sie dieses, denn Sie benötigen es im Problemfall vielleicht später einmal für die Wiederherstellung eines defekten Dateisystems.

Für den Zugriff auf Ihr Home-Verzeichnis genügt aber die Anmeldung bei Ubuntu mit dem bei der Installation vergebenen Passwort. Die Entschlüsselung erfolgt automatisch im Hintergrund. Vor anderen Benutzern am selben PC ist das verschlüsselte Home-Verzeichnis ebenfalls sicher. Diese erhalten beim Zugriff eine Fehlermeldung, die auf fehlende Rechte hinweist.

Home-Verzeichnis eines neuen Benutzerkontos verschlüsseln:

Über die grafische Oberfläche gibt es bisher keine Möglichkeit, neue Benutzer mit einem verschlüsselten Home- Verzeichnis anzulegen. Das müssen Sie über die Kommandozeile erledigen. Öffnen Sie mit der Tastenkombination Strg-Alt-T ein Terminalfenster. Geben Sie die Zeile

sudo adduser --encrypt-home Benutzername

ein. „Benutzername“ ersetzen Sie durch den Namen des Benutzers, den Sie neu erstellen möchten. Tippen Sie das root- Passwort ein, und bestätigen Sie mit der Enter-Taste. Anschließend legen Sie das Passwort für den neuen Benutzer hinter „Geben Sie ein neues Unix-Passwort ein:“ fest. Geben Sie die Benutzerinformationen ein, oder lassen Sie die Zeilen leer und bestätigen einfach mit der Enter-Taste. Die letzte Frage „Sind diese Informationen korrekt?“ bestätigen Sie ebenfalls mit der Enter-Taste. Danach kann sich der neu angelegte Benutzer mit dem von Ihnen festgelegten Passwort anmelden und das verschlüsselte Home-Verzeichnis nutzen. Auch er erhält einen Hinweis, sich die Verschlüsselungspassphrase zu notieren.

Das große Kompendium zur Netzwerksicherheit

Bereits vorhandenes Home-Verzeichnis verschlüsseln:

Es ist bei Ubuntu standardmäßig nicht vorgesehen, die Verschlüsselung nachträglich zu aktivieren. Am einfachsten ist es, alle persönlichen Dateien an einem anderen Ort zu sichern, den bisherigen Benutzer zu löschen, dann einen neuen Benutzer mit verschlüsseltem Home- Verzeichnis anzulegen und die gesicherten Dateien danach in das neue Home-Verzeichnis zu kopieren. Eine genaue Anleitung dazu lesen Sie im Folgeartikel auf Seite 34.

Einzelne Dateien oder Ordner verschlüsseln

Ein komplett verschlüsseltes Home- Verzeichnis ist bequem, weil Sie sich dann weiter um nichts mehr kümmern müssen. Allerdings müssen Sie die Verschlüsselung erst umständlich einrichten, wenn Sie sie nicht schon bei der Installation aktiviert haben.

Wenn es Ihnen vor allem darum geht, einzelne Dateien oder Ordner mit vertraulichen Informationen zu verschlüsseln, gibt es einfachere Wege. Sie können die Dateien beispielsweise in ein ZIP-Archiv packen und mit einem ausreichend langen (mehr als 15 Zeichen) und sicheren Passwort versehen. Der Vorteil verschlüsselter ZIP-Archive ist, dass sie sich per Mail versenden oder auf einem USB-Stick sichern lassen. Sie lassen sich außerdem mit gängigen Archivierungsprogrammen unabhängig vom Betriebssystem entschlüsseln und entpacken.

Und so geht’s: Klicken Sie einen Ordner oder eine Datei mit der rechten Maustaste an und wählen im Kontextmenü „Komprimieren“. Geben Sie einen Dateinamen für das Archiv ein und wählen Sie auf der rechten Seite des Fensters „.zip“. Klicken Sie auf „Erweiterte Einstellungen“ und dann auf „Anlegen“. Danach können Sie die Originaldateien löschen.

Als Alternative zur ZIP-Verschlüsselung bietet sich das sichere und plattformunabhängige Truecrypt an. Damit lassen sich Dateien in verschlüsselten Container ablegen oder ganze Partitionen verschlüsseln.

0 Kommentare zu diesem Artikel
1822783