23.3. Verschlüsseln von Partitionen und Dateien

Vertrauliche Daten, die kein unberechtigter Dritter einsehen sollte, hat jeder Benutzer. Je vernetzter und mobiler Sie arbeiten, desto sorgfältiger sollten Sie im Umgang mit Ihren Daten sein. Die Verschlüsselung von Dateien oder von ganzen Partitionen macht immer dann Sinn, wenn Dritte entweder über eine Netzwerkverbindung oder direkt Zugriff auf das System haben.

[Warning]Das Verschlüsseln von Medien bietet nur eingeschränkten Schutz

Beachten Sie, dass die in diesem Abschnitt beschriebenen Methoden nicht Ihr laufendes System vor Manipulation schützen können. Nachdem die verschlüsselten Medien erfolgreich gemountet wurden, können nur Benutzer mit den entsprechenden Berechtigungen auf diese zugreifen. Das Verschlüsseln von Medien macht dann Sinn, wenn Sie Ihren Computer verloren haben oder er gestohlen wird und unbefugte Personen Ihre vertraulichen Daten lesen möchten.

In der folgenden Liste sind einige mögliche Szenarien beschrieben.

Notebooks

Wenn Sie mit Ihrem Notebook reisen, empfiehlt es sich, alle Festplattenpartitionen, die vertrauliche Daten enthalten, zu verschlüsseln. Wenn Sie Ihr Notebook verlieren oder es gestohlen wird, können Fremde nicht auf Ihre Daten zugreifen, wenn diese sich in einem verschlüsselten Dateiystem oder in einer einzelnen verschlüsselten Datei befinden.

Wechselmedien

USB-Flash-Laufwerke oder externe Festplatten sind ebenso diebstahlgefährdet wie Notebooks. Auch in diesem Fall bietet ein verschlüsseltes Dateisystem Schutz gegen den unbefugten Zugriff durch Dritte.

Arbeitsstationen

In Unternehmen, in denen fast jede Person auf Ihren Computer zugreifen kann, empfiehlt es sich, Partitionen oder einzelne Dateien zu verschlüsseln.

23.3.1. Einrichten eines verschlüsselten Dateisystems mit YaST

YaST bietet Ihnen sowohl während der Installation als auch im installierten System die Möglichkeit, Dateien oder Partitionen zu verschlüsseln. Eine verschlüsselte Datei kann jederzeit erstellt werden, da sie sich in das vorhandene Partitionsschema problemlos einfügt. Zum Verschlüsseln einer gesamten Partition legen Sie eine zu verschlüsselnde Partition im Partitionsschema fest. Die Standardpartitionierung, wie sie YaST bei der Installation vorschlägt, sieht keine verschlüsselte Partition vor. Sie müssen sie im Partitionsdialogfeld manuell hinzufügen.

23.3.1.1. Anlegen einer verschlüsselten Partition während der Installation

[Warning]Passworteingabe

Beachten Sie bei der Passworteingabe die Warnungen zur Passwortsicherheit und merken Sie sich das Passwort gut. Ohne das Passwort können Sie die verschlüsselten Daten weder öffnen noch wiederherstellen.

Das in Abschnitt 3.7.5, „Partitionierung“ (↑Start) beschriebene YaST-Expertendialogfeld für die Partitionierung bietet die Möglichkeit zum Anlegen einer verschlüsselten Partition. Klicken Sie wie beim Anlegen einer normalen Partition auf Anlegen. Es wird ein Dialogfeld geöffnet, in dem Sie die Partitionierungsparameter für die neue Partition, z. B. die gewünschte Formatierung und den Mountpunkt, festlegen können. Schließen Sie den Prozess ab, indem Sie auf Dateisystem verschlüsseln klicken. Geben Sie im folgenden Dialogfeld das Passwort zweimal ein. Die neue verschlüsselte Partition wird erstellt, wenn Sie das Dialogfeld durch Klicken auf OK schließen. Beim Booten des Systems werden Sie vor dem Mounten der Partition zur Eingabe des Passworts aufgefordert.

Wenn die verschlüsselte Partition nicht während des Bootvorgangs gemountet werden soll, drücken Sie die Eingabetaste, wenn Sie zur Eingabe des Passworts aufgefordert werden. Verneinen Sie anschließend die Nachfrage, ob Sie das Passwort erneut eingeben möchten. Das verschlüsselte Dateisystem wird in diesem Fall nicht gemountet, das Betriebssystem setzt den Bootvorgang wie gewohnt fort und blockiert somit den Zugriff auf Ihre Daten. Nach dem Mounten steht die Partition allen Benutzern zur Verfügung.

Wenn das verschlüsselte Dateisystem nur bei Bedarf gemountet werden soll, aktivieren Sie die Option Nicht beim Systemstart mounten im Dialogfeld Optionen für Fstab. Die betreffende Partition wird beim Booten des Systems nicht berücksichtigt. Um sie anschließend verfügbar zu machen, mounten Sie sie manuell mit mount Name_der_Partition Mountpunkt. Geben Sie das Passwort ein, wenn Sie dazu aufgefordert werden. Wenn Sie die Partition nicht mehr benötigen, unmounten Sie sie mit umount Name_der_Partition, um zu verhindern, dass andere Benutzer auf sie zugreifen.

23.3.1.2. Einrichten einer verschlüsselten Partition im laufenden System

[Warning]Aktivieren der Verschlüsselung auf einem laufenden System

Das Anlegen verschlüsselter Partitionen auf einem laufenden System erfolgt wie das Anlegen der Partitionen während der Installation. Durch das Verschlüsseln einer vorhandenen Partition werden jedoch alle darauf enthaltenen Daten zerstört.

Wählen Sie auf einem laufenden System im YaST-Kontrollzentrum die Option System+Partitionierung. Klicken Sie auf Ja, um fortzufahren. Klicken Sie nicht wie oben beschrieben auf Anlegen, sondern wählen Sie Bearbeiten. Führen Sie alle verbleibenden Schritte wie oben beschrieben aus.

23.3.1.3. Installieren verschlüsselter Dateien

Anstelle einer Partition können Sie für vertrauliche Daten in einzelnen Dateien auch verschlüsselte Dateisysteme erstellen. Diese werden im selben YaST-Dialogfeld erstellt. Wählen Sie Kryptodatei und geben Sie den Pfad zu der zu erstellenden Datei sowie den Platzbedarf der Datei an. Übernehmen Sie die Voreinstellungen für die Formatierung und den Dateisystemtyp. Geben Sie anschließend den Mountpunkt an und legen Sie fest, ob das verschlüsselte Dateisystem beim Booten des Systems gemountet werden soll.

Der Vorteil verschlüsselter Dateien ist, dass sie dem System hinzugefügt werden können, ohne dass die Festplatte neu partitioniert werden muss. Sie werden mithilfe eines Loop-Device gemountet und verhalten sich wie normale Partitionen.

23.3.1.4. Verschlüsseln von Dateien mit vi

Der Nachteil verschlüsselter Partitionen ist, dass bei gemounteter Partition root immer auf die Daten zugreifen kann. Um dies zu verhindern, kann vi im verschlüsselten Modus verwendet werden.

Geben Sie zur Bearbeitung einer neuen Datei vi -x Dateiname ein. vi fordert Sie auf, ein neues Passwort festzulegen und verschlüsselt anschließend den Inhalt der Datei. Bei jedem Zugriff auf die Datei fordert vi das richtige Passwort an.

Um die Sicherheit noch mehr zu erhöhen, können Sie die verschlüsselte Textdatei in einer verschlüsselten Partition ablegen. Dies wird empfohlen, da die vi-Verschlüsselung nicht sehr stark ist.

23.3.2. Verschlüsseln des Inhalts von Wechselmedien

Wechselmedien wie externe Festplatten oder USB-Sticks werden von YaST ebenso erkannt wie andere Festplatten auch. Dateien oder Partitionen auf solchen Medien können wie oben beschrieben verschlüsselt werden. Geben Sie allerdings nicht an, dass diese Medien beim Booten des Systems gemountet werden sollen, da sie in der Regel nur an das laufende System angeschlossen werden.