Verschlüsseltes Homeverzeichnis lesen

[Jules Dreki]

Hallo Linux Mint Experten! ;-)

Mir ist bewusst, daß das Verschlüsseln des Homeverzeichnisses kein perfekter Schutz ist, da benutzte Dateien im Cache bzw. in der Swap-Partition landen. Einen Komplettschutz bietet also nur die Verschlüsselung aller Partitionen mit LUKS. Soweit wollte ich aber nicht gehen, da es mir nur um den Schutz meiner SSH-Schlüsseldateien geht, wenn doch mal ein PC gestohlen werden sollte.

Abgesehen davon wird im Linux Mint Setup eine automatische komplette Verschlüsselung nur für eine Festplatte mit ext4 als Filesystem angeboten. Mein Rechner hat aber 2 Festplatten, und ich möchte Btrfs nutzen. Natürlich habe ich das auch händisch versucht. Auf meinem Notebook ist mir das mit dem letzten Linux Mint auch gelungen, das ist aber hackelig, und ist mir erst nach etlichen Versuchen gelungen. Was mich dann etwas verunsichert zurückgelassen hat, ob nun auch wirklich alles klar gegangen ist.

Also habe ich bei der Neuinstallation des Linux Mint 21 nur die Option des Installationsprogrammes benutzt, mit dem das Homeverzeichnis verschlüsselt wird. Soweit alles gut und schön. Was ich aber bisher nicht geschafft habe, ist das Homeverzeichnis vom Livesystem aus zu lesen. Mit LUKS auf dem Notebook war das kein Problem, aber bei der genutzten Installationsoption wird ein anderes Verschlüsselungstool benutzt.

Hat jemand Infos dazu wie das Lesen des verschlüsselten Homeverzeichnisses vom Livesystem aus funktioniert? Ich habe dazu zwar einiges gefunden, was aber alles nicht so 100% gepasst hat.


Ciao Jules!

[Tron Mcp]

Hallo Jules,

ich verwende Mint nicht so wie du es willst, daher bin ich bisher nie auf dieses Problem gestossen.
Wenn dir Computer Sicherheit wichtig ist musst du die komplette Festplatte verschlüseln bevor das Betriebssystem ausgelesen wird.
So minimierst du extrem das Angriffpotential. Das geht übrigens auch perfekt mit mehreren (Wechsel-)Platten.
Das Home Verzeichnis zu sichern ist nur ein sekundär Schutz für mehr Privatsphäre unter Familien Mitgliedern oder Kollegen.

Aber ich will dich ja nicht im Regen stehen lassen, also habe ich mal in einer VM dein Problem nachgestellt.
Zunächt unverschlüsselt um überhaupt zu sehen wo das Problem liegen könnte.
Und da glaube ich schon fündig geworden zu sein.

Aber nun der Reihe nach zum Nachvollziehen.



Startest du Mint von einem USB InstallationsStick erfolgt zunächst eine startmenü Abfrage wenn ein installiertes Mediium gefunden wird.
Ich habe da nichts eingegeben und gewartet bis das System weiterläuft. In diesem Falle bootet es das Life System vom USB Stick.

Das Ergebnis sieht dann so aus:
   

Wichtig ist zu beachten das das Lifesystem zum Booten nicht nach Credentials gefragt hat.
Es kann also schon gar nicht wissen wie der installierte User heisst, und welches Passwort dieser verwendet.

Die installierte Platte wird gefunden und hier als 106GB Volume gemountet.

Wenn wir die Konsole aufmachen sehen wir im Prompt den aktiven User: Hier also "mint"
   

Nun schauen wir wie der User der Festplatten Installation heisst:

Dazu öffnen wir die Festplatte und suchen den HOME Ordner.
   

Hier befindet sich auf meinem Testrechner nur der User Tron.
   

Also versuchen wir nun auf dem Lifesystem uns als Tron einzuloggen um dessen Daten zu lesen
Dazu geben wir in der Konsole su tron ein. Nun sollte der Dialog zur Eingabe des Passwortes kommen.
   

Wie wir aber sehen kennt das Lifesystem NICHT den auf der HD installierten User tron.
Daher können wir uns auch nicht ummelden, und erst recht nicht dessen Daten lesen wenn dieses Verzeichnis verschlüsselt wäre.

Im meinem Testfall war das System eigentlich mit Passwort Abfrage für den User installiert, und ich dachte es wäre das Userprofil dann verschlüsselt. Tatsächlich befanden sich die Daten im Userprofil aber unverschlüsselt, und konnten auch ohne User Anmeldung gelesen werden.
Wenn man brav von der HD bootet merkt man von diesem Desaster nichts. Das ist definitiv nicht ein empfehlenswertes Verhalten.

Daher glaube ich das deine User Verzeichnis Entschlüsselung schon daran scheitert das das Lifesystem die User gar nicht kennt.
Die beiden HOME Ordner von Lifesystem und HD liegen auf komplett verschiedenen Medien.

Viele Grüße Tron

[Jules Dreki]

Hallo Tron,

vielen Dank, daß Du Dir die Mühe gemacht hast mein Problem nachzuvollziehen. Das das Livesystem den entsprechenden User nicht kennt, ist logisch und keine Überraschung. Allerdings hatte ich mir die Folgen nicht so ganz klar gemacht, wie Du das jetzt formuliert hast. Mit einem Betriebssystem, hier das Livesystem, in userabhängige Daten einzuloggen, dessen User es nicht kennt, muss problematisch sein, da hast Du natürlich Recht. Mittlerweile bin ich auch darüber gestolpert, daß man im Linux Mint Setup neben den eigentlichen Schlüssel auch einen Recovery-Schlüssel generieren kann. Ob das am Ende mit dem Recovery-Mode vom Linux Mint zu nutzen ist, kann ich nicht sagen. Aber schon der Begriff Recovery deutet darauf hin, daß es um eine Wiederherstellung der Daten, und nicht um einen Zugriff auf die vorhandenen Daten geht. Sei es wie es sei, daß geht nicht in die Richtung, was ich will, und für meinen Geschmack wird das Ganze für den Notfall zu kompliziert.

So wie Du das empfiehlst und wie ich das mit dem 20er Linux Mint auf meinen Notebook probiert habe, werde ich dann doch lieber zur "LUKS" Verschlüsselung zurückkehren. Dabei werden user-unabhängig ganze Partitionen verschlüsselt, so daß man nur den Schlüssel kennen muss, um auch unabhängig von einem User auf die Daten zugreifen zu können. Mittlerweile habe ich auch ein paar interessante Links gefunden, die die Probleme bei meinem ersten Versuch geklärt haben.

Ich habe bei meinem ersten Versuch alles hinsichtlich der Partitionierung und der Verschlüsselung innerhalb des Linux Mint Setups versucht einzurichten. Es geht letztendlich zwar, aber es ist schwierig. Ich hätte schon damals gern mit externen Tools wie gparted die Festplatten eingerichtet. Mir war aber nicht klar, daß das Linux Mint Setup mit extern verschlüsselten Partitionen umgehen kann, wenn diese vorher mit "cryptsetup luksopen ..." entschlüsselt/geöffnet wurden.

1) Vollverschlüsseltes System mit LVM und LUKS

2) LVM Grundlagen

Die LVM-Begriffe in den nachfolgenden Bildern werden gut im 2. Link erklärt. Der erste Link erklärt, wie man mit dem Ubuntu Livesystem ein vollverschlüsseltes Linux aufsetzt.

   

Entsprechend dem ersten Link ergibt sich eine Festplattenstruktur, wie im vorangegangenen Bild. Andreas sein Blog ist aber schon älteren Datums. Für aktuelle Systeme fehlt daher dort eine FAT32 formatierte EFI-Partition. Ausserdem fehlt mir in dem Beispiel die Verwendung zweier Festplatten. Daher habe ich mir überlegt, wie die HD-Struktur für mich aussehen müsste.

   

Der LVM darf nicht nur dafür benutzt werden, sicherzustellen daß man nur einen Schlüssel beim Systemstart eingeben muß. Sondern er sollte seinen eigentlichen Zweck erfüllen, und zunächste beide Festplatten zu einer LVM Volume Group zusammenfassen. Man muss also die Reihenfolge der Verschlüsselung und der Erstellung der LVM Volume Group vertauschen. Die Folge ist dann aber, daß nicht die Festplatte direkt sondern erst die LVM Volume Group verschlüsselt werden muß. Nach meinen Recherchen nach sollte das aber gehen (PS: Genau das geht nicht. Meine endgültige Lösung poste ich noch.).

Momentan habe ich das Alles noch nicht praktisch nachvollzogen. Sobald das passiert ist, melde ich mich zu dem Thema noch einmal.

Ciao Jules!


PS: Die Vollverschlüsselung die das Linux Mint Setup anbietet, ist für mich nicht nutzbar. Diese Option verwendet nur eine Festplatte und wird automatisch ext4 formatiert. Wie oben zu sehen ist, handelt es sich bei meinem PC um ein System mit 2 Festplatten. Ausserdem möchte ich btrfs als Dateisystem benutzen. Mehr dazu später.

[Jules Dreki]

Wenn das Verschlüsseln der LVM Volume Group nicht geht. Könnte ich mir als Lösung vorstellen in der gesamten LVM Volume Group nur ein LVM Logical Volume anzulegen, und dieses dann zu verschlüsseln und mit btrfs zu formatieren. Dann könnte man für /, /home und einem Swap-File jeweils ein btrfs-subvolume anlegen. Das ist aber vorerst auch nur eine theoretische Überlegung.

Nur wie würde man das Ganze lösen, wenn man ext4 als Dateisystem einsetzen möchte? Irgendwie muss das doch gehen mit LVM die Platten zusammenzufassen, das gesamte System zu verschlüsseln, und dennoch nur ein Kennwort für die Entschlüsselung eingeben zu müssen! Hat da jemand eine Idee? Oder läuft das auch bei ext4 darauf hinaus, daß das Linux dann eben nur in einem verschlüsselten Logical Volume komplett unter / installiert wird, und hier ebenfalls ein Swap-File verwendet wird?

[Jules Dreki]

Eine einfachere Lösung ohne LVM, und mit der Eigenschaft nur einmal das Kennwort eingeben zu müssen, habe ich mittlerweile. Leider wird das btrfs Dateisystem durch das Linux-Mint Setup nur rudimentär eingerichtet. Da das aber noch eng mit der grundlegenden Installation verbunden ist, möchte ich die detaillierte Einrichtung des btrfs Dateisystems noch in meine Anleitung aufnehmen. Sorry, aber das dauert noch ein klein wenig, bis ich dann das Ergebnis mit Euch teilen kann.

Allerdings hier schon mal die Lösung, um nur ein Kennwort eingeben zu müssen, ob wohl mehrere Partitionen auf 2 Festplatten verteilt sind. Den LVM benutze nicht nicht. Und wie gerade angedeutet, werden die Partitionen auf beiden Festplatten direkt verschlüsselt, formatiert und in den Verzeichnisbaum gemountet.

Auszug:
...
Damit die Crypto-Laufwerke direkt beim Booten automatisch zur Entschlüsselung angefordert werden, muss noch die Datei "/etc/crypttab" um entsprechende UUID-Einträge der verschlüsselten Partitionen ergänzt werden. Die folgenden Befehle ermitteln die UUID's und schreiben die benötigte Zeilen in die Datei "/etc/crypttab". Die Label "root", "swap" und "home" am Anfang der folgenden Befehle stammen aus den Gerätebezeichungen /dev/mapper/root, /dev/mapper/swap und /dev/mapper/home, die so auch in der /etc/fstab stehen. Durch die identischen Namen ist die Zuordnung der Definitionen in beiden Dateien zueinander gegeben. Linux-Mint liefert ein Kennwort-Chaching-Script "decrypt_keyctl" mit dem "cryptsetup" Paket aus. Das Skript "decrypt_keyctl" stellt mehreren verschlüsselten LUKS-Zielen das selbe Kennwort zur Verfügung, so daß man es nicht mehrfach eingeben muß.

Code:

echo "root UUID=$(cryptsetup luksUUID /dev/nvme0n1p3) crypt_disks luks,discard,keyscript=decrypt_keyctl" >> /etc/crypttab
echo "swap UUID=$(cryptsetup luksUUID /dev/sda1) crypt_disks luks,discard,keyscript=decrypt_keyctl" >> /etc/crypttab
echo "home UUID=$(cryptsetup luksUUID /dev/sda2) crypt_disks luks,discard,keyscript=decrypt_keyctl" >> /etc/crypttab

Die Änderungen an der Datei "/etc/crypttab" müssen jetzt noch übernommen werden. Danach kann die Chroot-Umgebung verlassen und das System neu gestartet werden.

Code:

update-initramfs -u -k all
exit
sudo reboot

...

Ciao Jules!

[Jules Dreki]

Ich glaube mit der bisher angestrebten Systemkonfiguration bin ich zu sehr der "Zeit voraus". In der Konfiguration Vollverschlüsselt mit btrfs als Dateisystem finde ich keinen Installationsweg, an dessen Ende alles funktioniert.

Verschlüsselt man die Festplatte komplett wird in der Regel eine unverschlüsselte Boot-Partition empfohlen. Dann wird das aber am Ende ein eigenes btrfs-Volume und Snapshots mit Timeshift stoppen vor diesem Volume und sichern es nicht mit. Ich habe keinen Weg gefunden, Timeshift zu überzeugen das Boot-Volume mitzusichern.

Die Alternative wäre keine extra Boot-Partition zu benutzen. Immerhin unterstützt Grub seit der Version 2.02 das Entschlüsseln von Luks-Partitionen, und Linux-Mint kommt mit dem Grub 2.06 daher. Problem dabei laut dem folgenden Link funktioniert das nur mit Luks1 verschlüsselten Partitionen. Aktuell ist der Typ Luks2. Man muß also downgraden, was mir an sich schon nicht gefällt. Außerdem wird in diesem Zusammenhang von Umgehungen zur Lösung der Probleme gesprochen. Man geht also dann keine Standardwege mehr. Bei so tiefen Eingriffen in das System befürchte ich, wird es dann später bei Updates Probleme geben.

https://cryptsetup-team.pages.debian.net...-boot.html

Die manuelle Vollverschlüsselung ist zwar auch ein tiefer Eingriff. Es ist aber am Ende nur eine Unterstützung des in seinen Fähigkeiten begrenzten Installers. Das Linux-Mint Setup selbst läuft ja nach der Verschlüsselung wie gewohnt.

Ich habe mich jetzt für einen Kompromis entschieden. Die Festplatte komplett verschlüsseln ja, aber als Dateisystem werde ich das gute alte Ext4 nehmen. Schade, ich hatte mir von den btrfs Snapshots in Verbindung mit den Befehlen btrfs-send und btrfs-receive schnellere Backups erhofft. Aber die Anwendung auf einem Produktivsystem scheint noch zu früh zu sein.

[Jules Dreki]

Hallo Zusammen,

die Installation mit einer kompletten Verschlüsselung unter der Verwendung von Ext4 als Dateisystem hat gut funktioniert. Die Anleitung findet ihr in dem PDF unten. Die Informationen wurden nach besten Wissen und Gewissen zusammengestellt und ausprobiert. Es kann nicht garantiert werden, daß die beschriebene Installation immer wie erwartet von statten geht. Deshalb wird für direkte oder indirekte Schäden die durch Nutzung der Informationen in diesem Dokument entstehen, keine Garantie oder Haftung übernommen.


  Verschlüsselte-Linux-Mint-Installation.pdf (Größe: 157,53 KB / Downloads: 117)

PS: Die Partitionsgrößen in den Bildern zum Gparted passten nicht zu den Partitionsgrößen in der Tabelle 1, das mußte ich leider korrigieren.