| openSUSE-Dokumentation Teil VII. Sicherheit / Kapitel 36. Verschlüsseln von Partitionen und Dateien | ||||
|---|---|---|---|---|
 | 35.2. YaST-Module für die Verwaltung von Zertifizierungsstellen | 36.2. Verwenden von verschlüsselten Home-Verzeichnissen |  | |
| openSUSE-Dokumentation Teil VII. Sicherheit / Kapitel 36. Verschlüsseln von Partitionen und Dateien | ||||
|---|---|---|---|---|
| 35.2. YaST-Module für die Verwaltung von Zertifizierungsstellen | 36.2. Verwenden von verschlüsselten Home-Verzeichnissen | | |
Inhaltsverzeichnis
Vertrauliche Daten, die kein unberechtigter Dritter einsehen sollte, hat jeder Benutzer. Je mehr Sie sich auf die mobile Arbeit am Computer und verschiedene Umgebungen und Netzwerke verlassen, desto sorgfältiger sollten Sie mit Ihren Daten umgehen. Die Verschlüsselung einzelner Dateien oder gar ganzer Partitionen wird dringend empfohlen, wenn andere Personen direkt oder über das Netzwerk auf Ihr System zugreifen können. Laptops und Wechseldatenträger wie externe Festplatten oder USB-Sticks gehen sehr schnell verloren oder werden gestohlen. Daher sollten Sie Dateien mit vertraulichen Daten unbedingt verschlüsseln.
Es gibt mehrere Möglichkeiten, Ihre Daten mittels Verschlüsselung zu schützen:
Sie können eine verschlüsselte Partition mit YaST während der Installation oder in einem bereits installierten System erstellen. Einzelheiten finden Sie unter Abschnitt 36.1.1, „Anlegen einer verschlüsselten Partition während der Installation“ und Abschnitt 36.1.2, „Einrichten einer verschlüsselten Partition im laufenden System“. Diese Option kann auch für Wechseldatenträger, wie externe Festplatten, verwendet werden (siehe Abschnitt 36.1.4, „Verschlüsseln des Inhalts von Wechselmedien“).
Mit YaST können Sie jederzeit eine verschlüsselte Datei auf Ihrer Festplatte oder auf einem Wechseldatenträger erstellen. Die verschlüsselte Datei kann dann verwendet werden, um darin andere Dateien oder Ordner zu verwahren. Weitere Informationen hierzu finden Sie in Abschnitt 36.1.3, „Erstellen einer verschlüsselten Datei als Container“.
Mit openSUSE können Sie auch verschlüsselte Home-Verzeichnisse für Benutzer erstellen. Wenn sich der Benutzer am System anmeldet, wird das verschlüsselte Home-Verzeichnis eingehängt und die Inhalte werden dem Benutzer verfügbar gemacht. Weitere Informationen finden Sie unter Abschnitt 36.2, „Verwenden von verschlüsselten Home-Verzeichnissen“.
Wenn Sie nur wenige ASCII-Textdateien mit vertraulichen Daten haben, können Sie sie einzeln verschlüsseln und mithilfe des vi-Editors mit einem Passwort verschlüsseln. Weitere Informationen finden Sie unter Abschnitt 36.3, „Verschlüsselung einzelner ASCII-Textdateien mit vi“.
![[Warning]](admon/warning.png) | Das Verschlüsseln von Medien bietet nur eingeschränkten Schutz |
|---|---|
Die in diesem Kapitel beschriebenen Methoden bieten nur eingeschränkten Schutz. Ein laufendes System können Sie nicht vor Manipulation und Beschädigung schützen. Nachdem ein verschlüsseltes Medium erfolgreich eingehängt wurde, können alle Benutzer mit den entsprechenden Berechtigungen darauf zugreifen. Die Verwendung verschlüsselter Medien ist jedoch von Vorteil, wenn Ihr Computer verloren geht oder gestohlen wird oder um zu verhindern, dass unbefugte Personen Ihre vertraulichen Daten lesen. | |
Verwenden Sie YaST zur Verschlüsselung von Partitionen oder Teilen Ihres Dateisystems bei der Installation oder in einem bereits installierten System. Das Verschlüsseln einer Partition in einem bereits installierten System ist jedoch schwieriger, da Sie hierbei die Größe der bestehenden Partitionen bzw. die Partitionen selbst ändern müssen. In solchen Fällen ist es oft einfacher, eine verschlüsselte Datei mit einer festgelegten Größe zu erstellen, in der andere Dateien oder Teile des Dateisystems verwahrt werden können. Zum Verschlüsseln einer gesamten Partition legen Sie eine zu verschlüsselnde Partition im Partitionsschema fest. Die Standardpartitionierung, wie sie YaST bei der Installation vorschlägt, sieht keine verschlüsselte Partition vor. Sie müssen sie im Partitionsdialogfeld manuell hinzufügen.
| Passworteingabe |
|---|---|
Merken Sie sich das Passwort für Ihre verschlüsselten Partitionen. Ohne dieses Passwort haben Sie keine Möglichkeit, auf die verschlüsselten Daten zuzugreifen oder diese wiederherzustellen. | |
Das YaST-Expertendialogfeld für die Partitionierung bietet die Möglichkeit zum Anlegen einer verschlüsselten Partition. Zum Erstellen einer neuen verschlüsselten Partition gehen Sie wie folgt vor:
Wählen Sie im YaST-Kontrollzentrum + aus, um das Partitionierungsprogramm von YaST zu starten.
Klicken Sie auf und wählen Sie eine primäre oder eine logische Partition aus.
Wählen Sie das gewünschte Dateisystem, die Größe und den Einhängepunkt für die Partition aus.
Wenn das verschlüsselte Dateisystem nur bei Bedarf eingehängt werden soll, aktivieren Sie die Option im Dialogfeld .
Aktivieren Sie das Kontrollkästchen .
Klicken Sie auf . Sie werden zur Eingabe eines Passworts zur Verschlüsselung dieser Partition aufgefordert. Das Passwort wird nicht angezeigt. Um auszuschließen, dass Sie sich bei der Eingabe verschrieben haben, müssen Sie das Passwort ein zweites Mal eingeben.
Schließen Sie den Vorgang mit ab. Die neue verschlüsselte Partition wird nun erstellt.
Das Betriebssystem fordert während des Starts das Passwort an, bevor die Partition eingehängt wird. Nach dem Einhängen steht die Partition allen Benutzern zur Verfügung.
Um das Einhängen der verschlüsselten Partition während des Starts zu überspringen, drücken Sie die Eingabetaste, wenn Sie aufgefordert werden, das Passwort einzugeben. Verneinen Sie anschließend die Nachfrage, ob Sie das Passwort erneut eingeben möchten. Das verschlüsselte Dateisystem wird in diesem Fall nicht eingehängt, das Betriebssystem setzt den Boot-Vorgang wie gewohnt fort und blockiert somit den Zugriff auf Ihre Daten.
Wenn Sie Ihr System auf einem Computer installieren, auf dem bereits mehrere Partitionen vorhanden sind, können Sie auch entscheiden, während der Installation eine bestehende Partition zu verschlüsseln. Befolgen Sie in diesem Fall die Anweisungen unter Abschnitt 36.1.2, „Einrichten einer verschlüsselten Partition im laufenden System“ und bedenken Sie, dass durch diese Aktion alle Daten in der bestehenden Partition, die Sie verschlüsseln möchten, gelöscht werden.
| Aktivieren der Verschlüsselung auf einem laufenden System |
|---|---|
Das Erstellen verschlüsselter Partitionen ist auch auf einem laufenden System möglich. Durch das Verschlüsseln einer bestehenden Partition werden jedoch alle darin enthaltenen Daten gelöscht und die bestehenden Partitionen müssen in der Größe verändert und neu strukturiert werden. | |
Wählen Sie auf einem laufenden System im YaST-Kontrollzentrum die Option +. Klicken Sie auf , um fortzufahren. Wählen Sie im die zu verschlüsselnde Partition aus und klicken Sie auf . Führen Sie alle verbleibenden Schritte wie in Abschnitt 36.1.1, „Anlegen einer verschlüsselten Partition während der Installation“ beschrieben aus.
Anstatt eine Partition zu verwenden, können Sie eine verschlüsselte Datei mit einer bestimmten Größe erstellen, in der andere Dateien oder Ordner mit vertraulichen Daten verwahrt werden können. Solche so genannten Containerdateien werden in YaST im Dialogfeld "Festplatte vorbereiten: Expertenmodus" erstellt. Wählen Sie aus und geben Sie den vollständigen Pfad der Datei und ihre Größe ein. Übernehmen oder ändern Sie die Voreinstellungen für die Formatierung und den Dateisystemtyp. Geben Sie den Einhängepunkt an und legen Sie fest, ob das verschlüsselte Dateisystem beim Booten des Systems eingehängt werden soll. Stellen Sie sicher, dass das Kontrollkästchen aktiviert ist.
Der Vorteil verschlüsselter Containerdateien gegenüber verschlüsselten Partitionen besteht darin, dass sie dem System hinzugefügt werden können, ohne dass die Festplatte neu partitioniert werden muss. Sie werden mithilfe eines Loop-Device eingehängt und verhalten sich wie normale Partitionen.
Wechselmedien, wie externe Festplatten oder USB-Flash-Laufwerke, werden von YaST auf dieselbe Weise behandelt wie herkömmliche Festplatten. Containerdateien oder Partitionen auf solchen Medien können, wie oben beschrieben, verschlüsselt werden. Aktivieren Sie jedoch (Während des Bootens nicht einhängen) im Dialogfeld , da entfernbare Medien in der Regel erst verbunden werden, wenn das System ausgeführt wird.
Wenn Sie Ihr Wechselgerät mit YaST verschlüsselt haben, erkennen die KDE- und GNOME-Desktops automatisch die verschlüsselte Partition und fordern zur Eingabe des Passwortes auf, sobald das Gerät erkannt wird. Wenn Sie ein FAT-formatiertes entfernbares Gerät verbinden, während KDE oder GNOME ausgeführt wird, ist der Desktop-Benutzer, der das Passwort eingibt, automatisch der Eigentümer des Geräts und kann Dateien lesen und schreiben. Bei Geräten, deren Dateisystem nicht FAT ist, müssen Sie die Eigentümerschaft explizit für alle Benutzer außer dem root ändern, damit diese Benutzer Dateien auf dem Gerät lesen oder schreiben können.
