Hallo Heinz und Jan,
Das Konzept der Sicherheit sollte auf den Kriterien des Benutzers basiert sein. Wenn also jemand, angenommen, alle Daten in /home als soweit kritisch betrachtet, dass absolut niemand dazu Zugriff haben soll, dann bedeutet das Konzept: so viel Sicherheit wie technisch moeglich. konkret:
Vollverschluesselung mit Kopie aller unverschl. Sektoren (MBR, /boot etc.) auf einem externen Medium. Ueberwachung des Rechners mit Video 24h in einem mit Stahltuer und Codeschloss gesicherten Raum. Usw. usw. ....
Wenn es z.B. darum geht, dass alle Daten in /home in soweit sensibel sind, als das der Bruder und die Mutter beim Rumsuchen auf dem Rechner nicht die netten kleinen Pornofilmchen und Tittenbilder sehen sollen, dann reicht eine Veschluesselung von /home und loeschen von /tmp problemlos aus. Evtl. sogar ein guten Passwort im BIOS.
[...]
Kurz: ich meine, bevor man an die Umsetzung geht, sollte man sich sehr klar darueber werden, was man an Sicherheit benoetigt, und was sich davon auch reell umsetzen laesst.
um noch mal die Anforderung genau festzusetzen. Ich habe ein kleines mobiles Notebook was ich immer im Zug zur Arbeit und sonst wo mitnehmen will. Bei Verlust des Geräts sei es durch Diebstahl oder Verlust will ich erreichen, dass keiner an meine Daten kommt die in meiner Home-Partition liegt. Ich bin außer meiner Freundin der einzige der dieses Notebook nutzen wird und vor ihr will ich und brauche ich auch keine Daten zu verstecken. (Falls das auch noch benötigt werden würde, wäre meiner Meinung auch ecryptfs besser, da hier immer auch nur das jeweilige Home-Verzeichnis des Benutzers eingebunden wird und nicht wie bei LUKS die Home-Partition aller Usern eingehangen wird!?). So wie ich jetzt diesen Thread verfolgt habe, habe ich folgendes in Erfahrung gebracht. Die Daten die in /var/tmp oder /tmp liegen, sind nicht zu verachten, da diese Teile meiner Dokumente im /home-Verzeichnis besitzen könnten. Ein leeren der beiden Verzeichnisse beim booten bringt nicht, da erstens die Daten wiederhergestellt werden könnten und zweitens beim Verlust des Gerätes der Löschvorgang ja erst beim Booten ausgeführt wird (eventuell zu spät). Also entweder benutze ich gar kein SWAP und lege /var/tmp und /tmp in den RAM oder verschlüssele das ganze System. Ein komplett verschlüsseltes System wäre einheitlicher und Suspend to Disk sollte wohl damit auch möglich sein. Danke für die zahlreichen Antworten und frohe Weihnachten ;) Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org