Vor kurzem beschrieb ich, wie mit encfs die Dropbox verschlüsselt werden kann. Inzwischen hat sich mein System ein bisschen verändert und ich will diesen Ansatz nochmal beschreiben.
Homeverzeichnis
Erste Änderung: Das Homeverzeichnis ist ebenfalls mit encfs verschlüsselt. Dafür loggt man sich im Wiederherstellungsmodus ein, kopiert das bestehende Homeverzechnis und erstellt dann die Verschlüsselung:
encfs /home/.USER /home/USER
und kopiert alles wieder zurück.
Natürlich muss das aber automatisch beim Login eingehängt werden, die Lösung mit dem Shellskript greift zu spät. Daher war mein erster Schritt, jedweden Autologin zu deaktivieren. Da ich auch keinen Displaymanager habe, begrüßt mich beim Login das tty1 mit einer Loginaufforderung. Für den Automount installierte ich das Paket libpam-encfs installiert, in /etc/pam.d/common-auth
session required pam_encfs.so
und in /etc/pam.d/common-session
auth sufficient pam_encfs.so
hinzugefügt, jeweils vor der Zeile mit pam_unix. Dann fehlt nur noch die /etc/security/pam_encfs.conf, bei der unten auf das Homeverzeichnis verwiesen werden muss:
onli /home/.onli /home/onli -v allow_other
Genauer wird das im Ubuntu-Wiki beschrieben.
Dropbox
So, die Dropbox ebenfalls automatisch einzuhängen ist kein Problem, dachte ich, einfach unter die Zeile schreiben die das Homeverzeichnis einhängt. Das aber funktioniert nicht, denn pam_encfs hängt nur ein einziges Verzeichnis ein, eine Information, die ich nur versteckt in der online-Readme fand.
Blieb der Weg über pam_mount. Dafür muss das Paket libpam-mount installiert werden. In /etc/pam.d/common-auth kommt ein
auth optional pam_mount.so
In /etc/pam.d/common-session
session optional pam_mount.so
Jeweils ganz nach unten.
Dann fehlt noch die Konfiguration des Verzechnisses, diesmal mit einer XML-Datei namens /etc/security/pam_mount.conf.xml:
<pam_mount>
<volume user="onli" fstype="fuse" path="encfs#/home/onli/Dropbox/encrypted" mountpoint="/home/onli/Dropbox-decrypted" />
</pam_mount>
Genau nachgelesen werden kann das hier und hier.
Wahrscheinlich könnte ich jetzt auf pam_encfs verzichten, aber immerhin ist so sichergestellt, dass das Homeverzeichnis zuerst eingehängt wird.