Einleitung

Für ein kleines Büro wurde ein Dateiserver gesucht. Heute scheint man für sowas ein Network Attached Storage (NAS) und als Datensicherung die Cloud zu benutzen.

Recherchen ergaben, daß einige NAS-Geräte die gleiche Datenverschlüsselung anbieten, die auch bei Debian GNU/Linux (und folglich auch bei Ubuntu) eingesetzt wird: „Das kryptographische Dateisystem eCryptfs“. Dieses System gibt vor, nach dem Login des Benutzers, seien in einem Verzeichnis ~/Private die Dateien. Diese sind für alle Anwendungen les- und schreibbar. Tatsächlich sind aber verschlüsselte Dateien in einem anderen Verzeichnis ~/.Private (man beachte den Punkt). Jede einzelne dieser verschlüsselten Dateien entspricht einer einzelnen Datei aus Benutzersicht.

Der Vorteil gegenüber Programmen wie TrueCrypt ist hier, daß jede Datei einzeln verschlüsselt wird, also bei einer dateiweisen Datensicherung, wie sie von rsync vorgenommen wird, nur die veränderten Dateien gesichert werden und nicht ein ganzer, großer Container.

Läßt man nicht das Verzeichnis ~/Private (ohne Punkt), sondern ~/.Private (mit Punkt) in die Cloud sichern, müssen sich Unbefugte schon viel einfallen lassen, um Firmengeheimnisse angucken zu können. Theoretisch sollte es möglich sein, ~/.Private direkt in die Cloud zu legen und nicht auf der lokalen Festplatte zu speichern. Diese Idee verfolge ich aber jetzt nicht weiter. Bei ADSL ist das vermutlich zu langsam.

Erster Test: Datensicherung

Für den ersten Test steht ein PC zur Verfügung, dieser läuft unter Debian GNU/Linux Version 7.0 „Wheezy“. Installiert ist das Paket „ecryptfs-utils“ in Version 99-1. Vorhanden ist natürlich auch der Benutzer „harald“.

Die Installation und Einrichtung von eCryptfs ist im Web gut erklärt und auch denkbar einfach. Der Benutzer harald öffnet ein Terminal und befielt:

harald@wheezy:~$ ecryptfs-setup-private

Jetzt können Dateien nach ~/Private kopiert werden und man kann eine Prüfsumme anlegen:

harald@wheezy:~/Private$ find * -type f -exec md5sum -b {} \; | sort –output=md5summen.txt

Gerade wird mir klar, daß das gar keine Prüfsummen sind, weil md5 gar nicht addiert. Hab ich eigentlich ADS oder läßt sich jeder so leicht ablenken? Naja, egal.

Die Datensicherung ist einfach: Alle Dateien aus ~/.Private werden nach /media/Backup/dateien/ und alle Dateien aus ~/.ecryptfs/ nach /media/Backup/ kopiert. Wichtig ist, daß im Backup alle Dateien für alle Benutzer lesbar sind und alle Benutzer in alle Verzeichnisse gucken können:

harald@wheezy:~$ find /media/Backup/dateien/ -type d -exec chmod ugo+x {} \;

Mit dem Befehl:

harald@wheezy:~/Private$ ecryptfs-unwrap-passphrase

wird uns (nach Eingabe des Loginpaßwortes für „harald“) die Passphrase (z.B. „5da13cdb547ef87a064136b703d85e39“) angezeigt. Diese Zahl müssen wir uns gut merken (oder in eine Textdatei auf /media/Backup/ schreiben).

Theoretisch brauchen wir jetzt einen zweiten PC, den haben wir aber nicht. Also nehmen wir einen zweiten Benutzer auf diesem Rechner:

harald@wheezy:~/Private$ sudo adduser ecryptfs

Dann das Terminal schließen und „harald“ abmelden.

Erster Test: Datenzugriff

Nach dem Login als „ecryptfs“ brauchen wir wieder ein Terminal und beginnen wieder mit

ecryptfs@wheezy:~$ ecryptfs-setup-private

Dann wird das Terminal geschlossen und der PC neu gestartet. Vermutlich hätte es gereicht, den Benutzer ab- und wieder anzumelden.

Wieder als ecryptfs brauchen wir ein Terminal, um das verschlüsselte Dateisystem zu manipulieren: Von /media/Backup/ wird die Datei Private.sig nach ~/.ecryptfs/ kopiert und eine neue Datei „wrapped-passphrase“ angelegt:

ecryptfs@wheezy:~/.ecryptfs$ ecryptfs-wrap-passphrase wrapped-passphrase

Das Programm fragt nach einer Passphrase und weiter oben steht ja, daß wir uns eine solche gut einprägen wollten...

Ohne zu wissen, ob es notwendig ist, habe ich an dieser Stelle wieder einen Neustart des PC gemacht und mich danach wieder als Benutzer ecryprfs angemeldet. Dann werden einfach nur alle Dateien von /media/Backup/dateien/ nach ~/.Private kopiert und stehen in ~/Private zur Verfügung, z.B. um die md5summen zu prüfen.

wird fortgesetzt

27.August 2014

Sitemap:

Serviceübersicht

Hauptseite

Datenrettung

Weitwinkelkonverter

verschlüsseltes Dateisystem

Impressum