Thursday, 1. August 2013

Vor kurzem beschrieb ich, wie mit encfs die Dropbox verschlüsselt werden kann. Inzwischen hat sich mein System ein bisschen verändert und ich will diesen Ansatz nochmal beschreiben.

Homeverzeichnis

Erste Änderung: Das Homeverzeichnis ist ebenfalls mit encfs verschlüsselt. Dafür loggt man sich im Wiederherstellungsmodus ein, kopiert das bestehende Homeverzechnis und erstellt dann die Verschlüsselung:

encfs /home/.USER /home/USER

und kopiert alles wieder zurück.

Natürlich muss das aber automatisch beim Login eingehängt werden, die Lösung mit dem Shellskript greift zu spät. Daher war mein erster Schritt, jedweden Autologin zu deaktivieren. Da ich auch keinen Displaymanager habe, begrüßt mich beim Login das tty1 mit einer Loginaufforderung. Für den Automount installierte ich das Paket libpam-encfs installiert, in /etc/pam.d/common-auth

session required    pam_encfs.so

und in /etc/pam.d/common-session

auth	sufficient        		pam_encfs.so

hinzugefügt, jeweils vor der Zeile mit pam_unix. Dann fehlt nur noch die /etc/security/pam_encfs.conf, bei der unten auf das Homeverzeichnis verwiesen werden muss:

onli    /home/.onli    /home/onli    -v      allow_other

Genauer wird das im Ubuntu-Wiki beschrieben.

Dropbox

So, die Dropbox ebenfalls automatisch einzuhängen ist kein Problem, dachte ich, einfach unter die Zeile schreiben die das Homeverzeichnis einhängt. Das aber funktioniert nicht, denn pam_encfs hängt nur ein einziges Verzeichnis ein, eine Information, die ich nur versteckt in der online-Readme fand.

Blieb der Weg über pam_mount. Dafür muss das Paket libpam-mount installiert werden. In /etc/pam.d/common-auth kommt ein

auth    optional    pam_mount.so

In /etc/pam.d/common-session

session optional    pam_mount.so

Jeweils ganz nach unten.

Dann fehlt noch die Konfiguration des Verzechnisses, diesmal mit einer XML-Datei namens /etc/security/pam_mount.conf.xml:

<pam_mount>
    <volume user="onli" fstype="fuse" path="encfs#/home/onli/Dropbox/encrypted" mountpoint="/home/onli/Dropbox-decrypted" />
</pam_mount>

Genau nachgelesen werden kann das hier und hier.

Wahrscheinlich könnte ich jetzt auf pam_encfs verzichten, aber immerhin ist so sichergestellt, dass das Homeverzeichnis zuerst eingehängt wird.

Kommentare (2) | Trackbacks (0) | in Linux

Tags für diesen Artikel: überwachung

Artikel mit ähnlichen Themen:

Trackbacks

Keine Trackbacks

Kommentare

Christoph am Thursday, 1. August 2013:

Für die Verschlüsselung des Homeverzeichnisses benutzte ich "ecryptfs". Für die Migration gibt es den Befehl "ecryptfs-migrate-home" (siehe Anleitung)

Ecryptfs wurde bei der Installation von Ubuntu ebenfalls genutzt - ob es immer noch der Fall ist, weiß ich nicht, da ich schon länger ArchLinux benutze. ;)

Ob es nun einen Unterschied zwischen ecryptfs und encfs gibt, weiß ich aber nicht.

onli am Thursday, 1. August 2013:

Ecryptfs wird von Ubuntu immer noch genutzt. Gibt natürlich Unterschiede, ist aber scheinbar für die Aufgabe absolut geeignet.

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Phone* HTML-Tags werden in ihre Entities umgewandelt. Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet. Umschließende Sterne machen ein Wort kursiv (wort), per wort wird es fett. [http://www.example.com Link] fungiert als URL-Tag.
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen