Lubuntu verschlüsseln

Bei der Live-Installation von Lubuntu gibt es leider keine Möglichkeit, wenigstens das eigene Homeverzeichnis zu verschlüsseln. Da es auch keine Alternate-Variante gibt, bei der man während der Installation ein verschlüsseltes LVM einrichten kann, muss man eben sein bestehendes Homeverzeichnis nach der Installation verschlüsseln. Das ist zwar ein bisschen aufwendiger, aber auch machbar.

Zuerst sollte man allerdings ein Backup seines Home-Verzeichnisses erstellen. Außerdem habe ich den Root-Account aktiviert, weil ich zu bequem war, in den Recovery-Modus zu wechseln. Soweit ich weiß, rät Ubuntuusers aber von dieser Vorgehensweise ab:

sudo passwd root

Anschließend habe ich mich als einfacher Benutzer vom System abgemeldet, um mit der Tastenkombination STRG + ALT + F1 in die Shell zu wechseln, wo ich mich als Superuser Root wieder angemeldet habe. Danach bin ich der Beschreibung zu ecryptfs-utils im Wiki von Ubuntuusers.de gefolgt.

Zuerst muss man die Datei /etc/adduser.conf anpassen, da sie die Inhalte vorgibt, die übernommen werden sollen. Man öffnet sie dazu in einem Editor und kommentiert die Zeile mit dem Eintrag SKEL=/etc/skel aus, indem man ein # davor setzt, und fügt darunter folgende neue Zeile ein:

SKEL=/home/backup

Dann folgt die Umstellung des Homeverzeichnisses in exakt dieser Reihenfolge:

deluser <BENUTZERNAME>
mv /home/<BENUTZERNAME> /home/backup
adduser --encrypt-home --force <BENUTZERNAME>
adduser <BENUTZERNAME> admin
rm -rf /home/backup/

Danach stellt man den alten Zustand der Datei /etc/adduser.conf wieder her, indem man das Kommentarzeichen entfernt und die neu erstellte Zeile ebenfalls löscht. <BENUTZERNAME> muss man natürlich durch seinen eigentlichen Benutzernamen ersetzen. In meinem Fall ist das zum Beispiel der Benutzer christian. Abweichend zur Beschreibung im Wiki von Unbuntuusers musste ich beim Anlegen eines neuen Benutzers mit verschlüsseltem Homeverzeichnis Gewalt anwenden und an adduser --encrypt-home noch ein --force anhängen. Das könnte vielleicht daran liegen, dass der Benutzer christian auf dem System schon existiert hat? Wie dem auch sei, mit dem Zusatz --force wurde das Passwort für den Benutzer neu erfragt und das verschlüsselte Homeverzeichnis eingerichtet. Mit exit kann man sich dann als Root abmelden, um sich wieder als einfacher Benutzer neu anzumelden. Danach kann man das System mit dem Befehl reboot neu starten und sich als Benutzer wieder am grafischen Login ganz normal anmelden.

Von der Verschlüsselung bekommt man als normaler Benutzer nichts mit, da sie transparent im Hintergrund verläuft. Das Homeverzeichnis wird beim Einloggen automatisch ent- und beim Ausloggen wieder verschlüsselt. Wer es nicht glaubt, dass sein Homeverzeichnis von jetzt an verschlüsselt ist, kann sich mit dem mount-Befehl ansehen, wohin das eigene Verzeichnis gemountet wurde:

christian@Gobuchul:~$ sudo mount
/dev/sda1 on / type ext4 (rw,errors=remount-ro)
[...]
/home/christian/.Private on /home/christian type ecryptfs (ecryptfs_sig=d39381115d7debef,ecryptfs_fnek_sig=f92fac96abcae55f,ecryptfs_cipher=aes,ecryptfs_key_bytes=16)
christian@Gobuchul:~$

Folgendes ist von mir noch ungetestet: Falls man sich automatisch in Lubuntu einloggt, dürfte das Entschlüsseln nicht so ohne weiteres funktionieren, da man sonst den Sicherheits-Aspekt unterlaufen würde. Damit man nach einem automatischen Login auf das verschlüsselte Homeverzeichnis zugreifen kann, sollte es auch unter Lubuntu möglich sein, das Verzeichnis zu öffnen und die Datei Access Your Private Data anzuklicken. Es sollte sich dann ein Terminal öffnen, in das man seine Passphrase eingeben kann. Nachdem man das Terminal wieder geschlossen hat, dürften die verschlüsselten Daten zugänglich sein. Doch dieser Test steht, wie gesagt, noch aus.