Wer nach einer unkomplizierten und universellen Methode sucht, um sein Home-Verzeichnis unter Linux zu verschlüsseln, findet mit EcryptFS eine passende Lösung. Nach korrekter Einrichtung können Nutzer ihre privaten Daten ohne großen Aufwand nahtlos ver- und entschlüsseln.
Spoiler-Warnung: Am Ende dieses Artikels finden Sie ein Video-Tutorial.
Installation von EcryptFS
Bevor die Verschlüsselung beginnen kann, muss das entsprechende Tool installiert werden. EcryptFS ist sehr verbreitet, funktioniert auf fast allen Linux-Distributionen und ist benutzerfreundlich. Sie können es unter Ubuntu, Debian, Arch Linux, Fedora oder OpenSUSE installieren oder es aus dem Quellcode kompilieren, falls Sie eine andere Distribution verwenden.
Ubuntu
sudo apt install ecryptfs-utils
Debian
sudo apt-get install ecryptfs-utils
Arch Linux
sudo pacman -S ecryptfs-utils
Fedora
sudo dnf install ecryptfs-utils
OpenSUSE
sudo zypper install ecryptfs-utils
Andere Linux-Distributionen
Finden Sie kein installierbares Paket für EcryptFS auf Ihrem System? Dann müssen Sie den Quellcode herunterladen und die Software manuell installieren. Bei Problemen mit dem Kompilieren hilft die EcryptFS-Dokumentationsseite.
Verschlüsselung des Home-Verzeichnisses
Während dieses Prozesses erstellen wir einen temporären Benutzer. Dieser wird am Ende des Tutorials wieder entfernt. Ein temporäres Superuser-Konto ist notwendig, da ein Benutzerverzeichnis nicht verschlüsselt werden kann, während man damit angemeldet ist.
Einen neuen Benutzer anlegen
Öffnen Sie ein Terminal und melden Sie sich als Root an.
su
oder
sudo -s
Sobald Sie Root-Rechte haben, verwenden Sie `useradd`, um das temporäre Konto zu erstellen. Achten Sie darauf, `-M` hinzuzufügen, damit kein neues Home-Verzeichnis erstellt wird.
useradd -M encrypt-admin
Der Benutzer ist zwar angelegt, hat aber kein Passwort. Weisen Sie `encrypt-admin` mit `passwd` ein neues UNIX-Passwort zu.
passwd encrypt-admin
`encrypt-admin` ist nun einsatzbereit, kann aber keine Root-Befehle ausführen. Um dies zu ermöglichen, muss der Benutzer der `sudoers`-Datei hinzugefügt werden. Bearbeiten Sie die Konfigurationsdatei mit `visudo`.
EDITOR=nano visudo
Suchen Sie im Nano-Texteditor den Abschnitt „# User privilege specification“. Darunter sollte „root ALL=(ALL:ALL) ALL“ stehen. Drücken Sie die Eingabetaste und fügen Sie darunter folgende Zeile ein:
encrypt-admin ALL=(ALL:ALL) ALL
Speichern Sie die Datei mit Strg + O und schließen Sie Nano mit Strg + X.
Verschlüsselung starten
Melden Sie sich von dem Benutzerkonto ab, das verschlüsselt werden soll. Drücken Sie im Anmeldebildschirm Alt + Strg + F1. Sollte das nicht funktionieren, versuchen Sie es mit F2 bis F6.
Geben Sie in der TTY-Eingabeaufforderung `encrypt-admin` ein, gefolgt von dem eben erstellten Passwort. Verwenden Sie dann EcryptFS, um die Verschlüsselung zu starten.
Hinweis: Ersetzen Sie „IhrBenutzername“ durch den Namen des Benutzerkontos, von dem Sie sich abgemeldet haben. Wiederholen Sie den Befehl für jedes zu verschlüsselnde Benutzerkonto.
sudo ecryptfs-migrate-home -u IhrBenutzername
Der obige Befehl migriert Ihr Benutzerkonto in ein verschlüsseltes Home-Verzeichnis. Sie können sich nun vom temporären Administratorkonto abmelden und sich wieder mit Ihrem regulären Benutzer anmelden. Melden Sie sich von der TTY-Konsole ab mit:
exit
Mit diesem Befehl sollten Sie automatisch zum Anmeldebildschirm zurückkehren. Drücken Sie Alt + F2 bis F7, um zum grafischen Modus zurückzukehren.
Benutzerkonto entfernen
EcryptFS ist nun vollständig eingerichtet. Entfernen wir das `encrypt-admin`-Konto. Beginnen Sie damit, den Eintrag in der `sudoers`-Datei zu entfernen. Öffnen Sie ein Terminal und bearbeiten Sie die Datei mit `visudo`.
sudo -s EDITOR=nano visudo
Suchen Sie in der Datei nach der Zeile, die Sie zuvor hinzugefügt haben, und entfernen Sie sie.
encrypt-admin ALL=(ALL:ALL) ALL
Speichern Sie die `sudoers`-Datei in Nano mit Strg + O und beenden Sie den Editor mit Strg + X.
`encrypt-admin` kann nun nicht mehr auf Root-Rechte zugreifen oder das System verändern. Es ist harmlos und könnte theoretisch so belassen werden. Wenn Sie jedoch keine unnötigen Benutzer auf Ihrem System haben möchten, ist es ratsam, ihn zu löschen. Verwenden Sie dazu im Terminal `userdel`.
sudo userdel encrypt-admin
Verschlüsselungspasswort hinzufügen
EcryptFS ist nun fast einsatzbereit. Es fehlt lediglich noch ein Passwort. Öffnen Sie ein Terminal (ohne `sudo` oder Root-Rechte) und fügen Sie eine neue Passphrase hinzu. Beachten Sie, dass eine Verschlüsselung ohne sicheres Passwort sinnlos ist. Verwenden Sie strongpasswordgenerator.com, um eine starke Verschlüsselungspassphrase zu erstellen.
Hinweis: Sie wollen keinen Generator verwenden? Lesen Sie diesen Artikel, um zu erfahren, wie Sie selbst eine sichere Passphrase erstellen können.
ecryptfs-add-passphrase
Nachdem der Befehl abgeschlossen ist, sollte Ihr Home-Verzeichnis vollständig verschlüsselt sein. Starten Sie Ihren Computer neu. Beim Neustart wird EcryptFS Ihre neue Passphrase verlangen.