Home-Laufwerk Verschlüsselung für zwei Nutzer
Hier wird eine 1TB SSD verwendet, Hauptsystem Tumbleweed, home-Partition sind 10GB für zwei Usern plus eine große Datenpartition für Diverses. Mittlerweile komme ich zu der Ansicht, dass die home-Verzeichnisse der beiden User auf meinen Rechner verschlüsselt sein sollten. Die Datenpartiton braucht nicht verschlüsselt zu werden. Etwas Nachlesen führt zu einigen Fragen: Wie ich es verstehe, könnten bei einer verschlüsselten Home-Partition mit LUKS beide User auf auf alles in home zugreifen, dies wäre nicht so gut. Ich sehe zwei andere Optionen: Zwei Container in die ich jeweils die home-Verzeichnisse verlinke oder eCryptFS, beides mit entschlüsseln beim Einloggen. Sollte funktionieren? Ich sichere die Daten mit rsync. das ist kein Problem mit eCryptFS, wie sieht es jedoch mit Containern aus, werden da die ganzen 10 GB immer koplett gesichert oder nur der Teil, der sich verändert hat? Wie sieht das mit dem TRIM-Befehl aus. Ich finde ältere Hinweise, dass die Container nicht mit TRIM "gesäubert" werden können. Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 08.11.2018 um 10:32 schrieb Peter McD:
Hier wird eine 1TB SSD verwendet, Hauptsystem Tumbleweed, home-Partition sind 10GB für zwei Usern plus eine große Datenpartition für Diverses.
Mittlerweile komme ich zu der Ansicht, dass die home-Verzeichnisse der beiden User auf meinen Rechner verschlüsselt sein sollten. Die Datenpartiton braucht nicht verschlüsselt zu werden.
Etwas Nachlesen führt zu einigen Fragen:
Wie ich es verstehe, könnten bei einer verschlüsselten Home-Partition mit LUKS beide User auf auf alles in home zugreifen, dies wäre nicht so gut.
Ich sehe zwei andere Optionen: Zwei Container in die ich jeweils die home-Verzeichnisse verlinke oder eCryptFS, beides mit entschlüsseln beim Einloggen. Sollte funktionieren?
Ich sichere die Daten mit rsync. das ist kein Problem mit eCryptFS, wie sieht es jedoch mit Containern aus, werden da die ganzen 10 GB immer koplett gesichert oder nur der Teil, der sich verändert hat?
Wie sieht das mit dem TRIM-Befehl aus. Ich finde ältere Hinweise, dass die Container nicht mit TRIM "gesäubert" werden können.
Peter
Hi, wer hindert Dich daran, /home nicht als eigene Partition anzulegen, sondern als unverschlüsseltes Verzeichnis. Stattdessen 2 Partitionen /home/usr1 und /home(usr2 darunter zu mounten und die zu verschlüsseln? cu jth -- Joerg Thuemmler -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 08.11.18 um 10:54 schrieb Joerg Thuemmler:
Am 08.11.2018 um 10:32 schrieb Peter McD:
...
Etwas Nachlesen führt zu einigen Fragen:
Wie ich es verstehe, könnten bei einer verschlüsselten Home-Partition mit LUKS beide User auf auf alles in home zugreifen, dies wäre nicht so gut. ...
wer hindert Dich daran, /home nicht als eigene Partition anzulegen, sondern als unverschlüsseltes Verzeichnis. Stattdessen 2 Partitionen /home/usr1 und /home(usr2 darunter zu mounten und die zu verschlüsseln?
Das wäre auch eine saubere Lösung, allerdings brauche ich dann eine weitere Partition, bzw. müsste vorher die bisherige home-Partition teilen. Andererseits brauche ich die Verschlüsselung nur bei einem User. Peter
cu jth
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 08.11.2018 um 15:25 schrieb Peter McD:
Am 08.11.18 um 10:54 schrieb Joerg Thuemmler:
Am 08.11.2018 um 10:32 schrieb Peter McD:
...
Etwas Nachlesen führt zu einigen Fragen:
Wie ich es verstehe, könnten bei einer verschlüsselten Home-Partition mit LUKS beide User auf auf alles in home zugreifen, dies wäre nicht so gut. ...
wer hindert Dich daran, /home nicht als eigene Partition anzulegen, sondern als unverschlüsseltes Verzeichnis. Stattdessen 2 Partitionen /home/usr1 und /home(usr2 darunter zu mounten und die zu verschlüsseln?
Das wäre auch eine saubere Lösung, allerdings brauche ich dann eine weitere Partition, bzw. müsste vorher die bisherige home-Partition teilen. Andererseits brauche ich die Verschlüsselung nur bei einem User.
Peter
cu jth
Hi, ja dann leg halt nur für den "verschlüsselten User eine Partition an (kannst Du i.Allg. ganz gut mit "gparted" tun - home am Ende was wegnehmen und es user1 geben) und häng die in ein unverschlüsseltes home ein... cu jth -- Joerg Thuemmler -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 8 Nov 2018 10:32:17 +0100
schrieb Peter McD
Ich sehe zwei andere Optionen: Zusätzlich noch eine Idee, falls Deine Sicherheitsanforderungen nicht allzu hoch sind: Du beläßt /home auf einer verschlüsselten Partition (alle User erhalten das Paßwort oder, falls es weniger als 7 User sind und bleiben, jeder ein eigenes) und setzt die Rechte der einzelnen User-Verzeichnisse auf 700. Ich bin mir aber nicht ganz sicher, ob die Idee wirklich so funktioniert oder ob möglicherweise die Funktion von Anwendungen beeinträchtigt wird, weil die den Gruppen-Teil der Rechte brauchen. Das müßtest Du ausprobieren.
Ich sichere die Daten mit rsync. das ist kein Problem mit eCryptFS, wie sieht es jedoch mit Containern aus, werden da die ganzen 10 GB immer koplett gesichert oder nur der Teil, der sich verändert hat? Das hängt von den Umständen ab. Sind während des Backups Quell- _und_ Zielcontainer entschlüsselt und gemountet, sieht rsync die Inhalte als Teil des Dateibaumes und überträgt auch nur die tatsächlich darin geänderten Dateien. Sind Quell- und Zielcontainer nicht entschlüsselt und gemountet, sieht rsync eine ganz normale Dateien mit "Datenmüll" und überträgt sie im Falle des Falles komplett. Du solltest immer darauf achten, daß Quell- und Zielcontainer den gleichen Status haben, sonst bekommst Du ungewollte und ganz unliebsame Nebeneffekte!
Wie sieht das mit dem TRIM-Befehl aus. Ich finde ältere Hinweise, dass die Container nicht mit TRIM "gesäubert" werden können. Die Container-Datei belegt unabhängig von ihrem Inhalt immer die gleiche Größe, die Du beim Erstellen angeben mußtest. Insofern ist Trim in Bezug auf den Inhalt des Containers nicht relevant.
Viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
Joerg Thuemmler
-
Matthias
-
Peter McD