Verschlüsselte Dateisystemcontainer unter Debian Etch
Wer einen Laptop sein Eigen nennt, oder einfach sichere Daten haben möchte, auch auf dem Desktoprechner, ist mit verschlüsselten Daten immer auf der richtigen Seite. Hier kann man seine pgp-Keys ablegen,das Verzeichniss des Firefox mit seinen Passwörtern verschlüsseln, das Verzeichniss des Mailclients etc. Ich denke Einsatzzwecke gibt es genug. Diese Anleitung beschäftigt sich mit diesem Thema und als Verschlüsselung für die Dateien haben ich EncFS gewählt. EncFS nutzt FUSE, Filesystem in Userspace.
Unter Debian Etch ist nicht wirklich viel zu tun, um in den Genuss dieser Verschlüsselung zu kommen.
Wie man sieht, werde alle Abhängigkeiten automatisch installiert und auch eine Kompilierung für den Kernel ist nicht notwendig.
Als nächstes sollte der eigene Username der Gruppe fuse hinzugefügt werden:
Da das Kernelmodul fuse nicht immer als root per modprobe fuse geladen werden soll, wird die Datei /etc/modules bearbeitet und fuse dort hinzugefügt.
Reboot.
Nach Eingabe des folgenden Befehls sollte in etwa folgende Zeile ausgegeben werden:
Und als normaler User sollte ein Aufruf von groups die Gruppe fuse beinhalten:
Als nächstes müssen die Ordner für das Einbinden angelegt werden, in meinem Falle nenne ich es SAFE.
Der versteckte Ordner ist dafür da, die spätere Datei für den Container zu halten (.SAFE), der Ordner ist für das Einbinden des Containers da.
Jetzt benutzt man encfs um das Dateisystem einzubinden, bei dem ersten Einbinden, möchte encfs ein Dateisystem anlegen, falls noch kein Dateisystem besteht:
Nach der Eingabe des Passwortes steht der SAFE nun zur Verfügung.
Es ist darauf zu Achten immer den vollen Pfad anzugeben, hier ist es bei mir der Homeordner ~/.
Nun kann man wichtige Dateien dort ablegen und mit einem:
den SAFE wieder schliessen.
encfsctl bietet Möglichkeiten wie z.B. das Passwort für das verschlüsselte Dateisystem neu zu setzen, oder auch Informationen über das verschlüsselte Dateisystem auszugeben.
Hier wird z.B. das erstellte Laufwerk aus dem obigen Beispiel angezeigt, es handelt sich um eine Blowfish-Verschlüsselung mit nur 160Bits Schlüssellänge.
Hier noch ein fixes kleines Script für das mounten und umounten von versch. encfs-Verzeichnissen. Herunterladen und in ~/bin/ ablegen. Ausführbar machen, dann kann es auch immer aus der Shell aufgerufen werden. Dieses Script bindet encfs-Verzeichnisse ein und löscht nach dem umount auch gleich das Verzeichniss in welches das verschlüsselte Verzeichniss eingebunden wurde.
In unserem Falle würde, wenn wir kein Verzeichniss SAFE haben, aber
Unter Debian Etch ist nicht wirklich viel zu tun, um in den Genuss dieser Verschlüsselung zu kommen.
takeshi:/home/seraphyn# apt-get install encfs
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut... Fertig
Die folgenden zusätzlichen Pakete werden installiert:
fuse-utils libfuse2 librlog1c2a
Die folgenden NEUEN Pakete werden installiert:
encfs fuse-utils libfuse2 librlog1c2aWie man sieht, werde alle Abhängigkeiten automatisch installiert und auch eine Kompilierung für den Kernel ist nicht notwendig.
Als nächstes sollte der eigene Username der Gruppe fuse hinzugefügt werden:
takeshi:/home/seraphyn# adduser seraphyn fuse
Füge Benutzer »seraphyn« der Gruppe »fuse« hinzu ...
Fertig.Da das Kernelmodul fuse nicht immer als root per modprobe fuse geladen werden soll, wird die Datei /etc/modules bearbeitet und fuse dort hinzugefügt.
Reboot.
Nach Eingabe des folgenden Befehls sollte in etwa folgende Zeile ausgegeben werden:
takeshi:/home/seraphyn# lsmod|grep fuse
fuse 39700 0Und als normaler User sollte ein Aufruf von groups die Gruppe fuse beinhalten:
seraphyn@takeshi~ >$ groups
seraphyn dialout cdrom floppy audio video plugdev fuse netdevAls nächstes müssen die Ordner für das Einbinden angelegt werden, in meinem Falle nenne ich es SAFE.
seraphyn@takeshi~ >$ mkdir SAFE
seraphyn@takeshi~ >$ mkdir .SAFEDer versteckte Ordner ist dafür da, die spätere Datei für den Container zu halten (.SAFE), der Ordner ist für das Einbinden des Containers da.
Jetzt benutzt man encfs um das Dateisystem einzubinden, bei dem ersten Einbinden, möchte encfs ein Dateisystem anlegen, falls noch kein Dateisystem besteht:
seraphyn@takeshi~ >$ encfs ~/.SAFE/ ~/SAFE/
Neues verschlüsseltes Volume wird angelegt.
Please choose from one of the following options:
enter "x" for expert configuration mode,
enter "p" for pre-configured paranoia mode,
anything else, or an empty line will select standard mode.
?>
Der Standardmode sollte für die meisten User ausreichen, somit sollten man Hier ENTER drücken.Standard Konfiguration gewählt.
Konfiguration abgeschlossen. Das angelegte Dateisystem hat die
folgenden Eigenschaften:
Dateisystem Ziffer: "ssl/blowfish", Version 2:1:1
Dateinamenkodierung: "nameio/block", Version 3:0:1
Schlüssellänge: 160 Bits
Blockgröße: 512 Bytes
Jede Datei enthält acht Byte Vorspann mit einmaligen IV Daten.
Dateinamenkodierung benutzt IV Verkettungsmodus.
Nun wird ein Kennwort für das Dateisystem benötigt.
Da es keinen Mechanismus zur Wiederhestellung gibt, müssen Sie
sich an das Kennwort erinnern! Das Kennwort kann mit encfsctl
nächträglich geändert werden.
Neues EncFS-Kennwort eingeben:Nach der Eingabe des Passwortes steht der SAFE nun zur Verfügung.
Es ist darauf zu Achten immer den vollen Pfad anzugeben, hier ist es bei mir der Homeordner ~/.
Nun kann man wichtige Dateien dort ablegen und mit einem:
seraphyn@takeshi~ >$ fusermount -u SAFE/den SAFE wieder schliessen.
encfsctl bietet Möglichkeiten wie z.B. das Passwort für das verschlüsselte Dateisystem neu zu setzen, oder auch Informationen über das verschlüsselte Dateisystem auszugeben.
seraphyn@takeshi~ >$ encfsctl .SAFE/
Verion 5 Konfiguration; Angelegt von EncFS 1.2.5 (revision 20040813)
Dateisystem Ziffer: "ssl/blowfish", Version 2:1:1
Dateinamenkodierung: "nameio/block", Version 3:0:1
Schlüssellänge: 160 Bits
Blockgröße: 512 Bytes
Jede Datei enthält acht Byte Vorspann mit einmaligen IV Daten.
Dateinamenkodierung benutzt IV Verkettungsmodus.Hier wird z.B. das erstellte Laufwerk aus dem obigen Beispiel angezeigt, es handelt sich um eine Blowfish-Verschlüsselung mit nur 160Bits Schlüssellänge.
Hier noch ein fixes kleines Script für das mounten und umounten von versch. encfs-Verzeichnissen. Herunterladen und in ~/bin/ ablegen. Ausführbar machen, dann kann es auch immer aus der Shell aufgerufen werden. Dieses Script bindet encfs-Verzeichnisse ein und löscht nach dem umount auch gleich das Verzeichniss in welches das verschlüsselte Verzeichniss eingebunden wurde.
In unserem Falle würde, wenn wir kein Verzeichniss SAFE haben, aber
encmount -m SAFE, also immer ohne vorstehenden Punkt aufrufen, der Ordner SAFE erstellt und unser Verschlüsseltes Verzeichniss .SAFE nach SAFE eingebunden. Mit encmount -u SAFE, wird das Verzeichniss SAFE wieder verschlüsselt und danach gelöscht, das heisst es bleibt nur das Verzeichniss .SAFE erhalten.
