Konsequenzen aus der NSA-Überwachung zu ziehen ist derzeit eines der beherrschenden Themen hier. Dropbox als fremdgehosteter Dienst mit vollem Zugriff auf wichtige Daten musste also irgendwann in meinen Fokus geraten. Meine erste Tendenz war zu wechseln, auf aeroFS oder BitTorent Sync. Doch letztendlich nutze ich Dropbox für meine derzeitige Beschäftigung, mehrere Freigaben von Projekten sind derzeit aktiv und überhaupt hab ich den Account damals nur angelegt, damit ein schwedischer Forschers mir seine Mistral-Konfiguration freigeben konnte. Also bleibt Dropbox, aber ich brauche irgendeine Absicherung.
Genug der Motivation. Dropbox zu sichern ist einfach genug. Ich folge dem Konzept von Boxcryptor und nutze dafür - wie andere vor mir - encfs: Es wird ein Ordner Dropbox/encrypted angelegt, der verschlüsselte Dateien enthält. Ein anderer Ordner im Homeverzeichnis, Dropbox-decrypted, zeigt die entschlüsselten Dateien - ein mount plus Entschlüsselung. Wird etwas diesem Ordner hinzugefügt, wird es automatisch in Dropbox/encrypted verschlüsselt gespeichert und so von Dropbox gesynct, ohne dass Dropbox je die entschlüsselten Dateien sehen würde.
Dropbox verschlüsseln
Installiert werden muss das Paket encfs. Danach:
encfs ~/Dropbox/encrypted ~/Dropbox-decrypted
Dem Wizard folgen, wobei die Voreinstellung p völlig ok sein sollte. Passwort wählen. Fertig.
Unmounten geht mit fuserumount -u, mounten mit dem gleichen Befehl wie bei der Erstellung.
Automount
Nun soll das ganze natürlich noch automatisch beim Login ausgeführt werden Da gibt es verschiedene Wege, von pam_mount zu pam_encfs bis hin zu gnome-encfs.
Die Grundidee bei den pam-Modulen ist, beim Login das Passwort gleich nochmal zu nutzen um encfs auszuführen. Bei meinem momentan noch genutzten rungetty-Autologin keine Option. gnome-encfs dagegen speichert das Passwort in Gnomes Keyring und startet encfs per Gnomes Autostart, wobei ersteres generell auch ohne Gnome eine tolle Idee ist, nur dass bei mir dbus nicht und damit kein Keyring funktioniert.
Deswegen meine händische Lösung: Bei jedem Login wird per .icewm/startup ein Skript ausgeführt, das die Dropbox entschlüsselt. So sieht es aus:
#!/bin/bash
i=0
decryptDropbox() {
encfs --extpass="/usr/lib/openssh/gnome-ssh-askpass 'Decrypt Dropbox'" ~/Dropbox/encrypted ~/Dropbox-decrypted
if [ $? != 0 ]; then
zenity --title="encFS: mount failed" --info --text="The decryption failed" 0x0
let i++
if [[ "$i" -le 2 ]]; then
decryptDropbox
fi
else
notify-send "Dropbox" "successful decrypted"
fi
}
decryptDropbox
Die benötigten Pakete sind ssh-askpass-gnome, zenity und libnotify-bin, was notify-send
beinhaltet und alternativ samt dem else-Zweig weggelassen werden kann.
Langsam eicht sich das Nährhörnchen. Die NSA-Verteidigung hat hiermit eine Mauer mehr.
onli blogging am : encfs reloaded: Dropbox, home und X verschlüsseln
Vorschau anzeigen
onli blogging am : Condoleezza Rice bei Dropbox
Vorschau anzeigen
onli blogging am : Dropbox-Speicher mit Mailbox unter Linux erhöhen
Vorschau anzeigen