Ja, das ist IMHO die bessere Lösung.
Hallo zusammen,
ich hab mir letzens so überlegt ob es nicht reiche würde wenn der Benutzerorder verschlüsselt wäre anstelle des kompletten Systems. Denn alle privaten/persönlichen Daten, wenn das Linux Dateisystem eingehalten wird, sollten ja dort liegen?
Meinst du mit Benutzerordner dein Homeverzeichnis? Dann könnte es beim Start des Desktops Probleme geben, da deine Konfigurationen nicht gelesen werden können.
Besser wäre es wahrscheinlich, einen separaten Datenordner zu erstellen und den nur bei Bedarf zu entschlüsseln.
Ich verwende gocryptfs dafür.
Ein Ordner im Homeverzeichniss wo alles wie Passwörte, Zugangsdaten etc. verschlüsselt abgelegt ist.
Bei Bedarf entschlüssel ich mir das.
Meinst du mit Benutzerordner dein Homeverzeichnis?
ja genau
Dann könnte es beim Start des Desktops Probleme geben, da deine Konfigurationen nicht gelesen werden können.
Also wenn ich das booten richtig verstanden habe wird doch alles aus dem root geladen und erst nach dem einloggen beim Benutzer greift das System auf den Benutzerorder zu?
Also könnte man dann nicht mit dem Login auch das home-verzeichnis entschlüsseln?
ja genau
Also wenn ich das booten richtig verstanden habe wird doch alles aus dem root geladen und erst nach dem einloggen beim Benutzer greift das System auf den Benutzerorder zu?
Also könnte man dann nicht mit dem Login auch das home-verzeichnis entschlüsseln?
Mit dem Login des entsprechenden Benutzers wird das HOME-Verzeichnis dann entschlüsselt.
ecryptfs ist z.B. für die Verschlüsselung des HOME-Verzeichnisses geeignet während gocryptfs für einzelne Ordner geeignet ist.
Nun frag ich mich noch ob es weniger "sicher" ist wenn nur das home verzeichnis verschlüsselt ist.
Ja ist es, wenn jemand anderes potentiell physischen Zugriff auf deine Festplatte hat.
Das System ist dadurch weniger gegen Manipulation geschützt, z.B. könnte relativ einfach Schadcode installiert werden.
Ja ist es, wenn jemand anderes potentiell physischen Zugriff auf deine Festplatte hat.
Das System ist dadurch weniger gegen Manipulation geschützt, z.B. könnte relativ einfach Schadcode installiert werden.
sehe ich anders..... wenn Du eingeloggt bist im System ist das System entschlüsselt, weil sonst funktioniert es nicht. Also ist es meiner Meinung nach nicht unsicherer wenn nur das home-Verzeichniss verschlüsselt ist. Schadecode einzuspielen iost also immer möglich, egal ob verschlüsselt oder nicht.
Oder sehe ich das falsch?
sehe ich anders..... wenn Du eingeloggt bist im System ist das System entschlüsselt, weil sonst funktioniert es nicht. Also ist es meiner Meinung nach nicht unsicherer wenn nur das home-Verzeichniss verschlüsselt ist. Schadecode einzuspielen iost also immer möglich, egal ob verschlüsselt oder nicht.
Oder sehe ich das falsch?
Sorry falls ich mich falsch ausgedrückt habe, ich meine, dass es unsicherer ist, wenn nicht das gesamte System verschlüsselt ist, sondern nur das Home-Verzeichnis.
Wenn das Betriebssystem nicht verschlüsselt ist, kann man einfach Binarys austauschen, was man nicht so einfach bemerkt. Bei einer vollständig verschlüsselten Festplatte ist das nicht so einfach möglich.
Auch Sicherheitsmechanismen wie Secure Boot (wenn überhaupt aktiviert) schützen sonst nur begrenzt, wenn z.B. Programmdateien überschrieben werden.
Wenn das Betriebssystem nicht verschlüsselt ist, kann man einfach Binarys austauschen, was man nicht so einfach bemerkt. Bei einer vollständig verschlüsselten Festplatte ist das nicht so einfach möglich.
Habe das schon so verstanden. Wenn ich doch am System angemeldet bin, dann ist das System doch entschlüsselt, egal ob jetzt das ROOT-Verzeichnis oder "nur" HOME-Verzeichnis. Unter Benutzung kann also theoretisch immer Schadcode eingeschleust werden, egal ob verschlüsselt oder nicht. Verschlüsselung schütz nur davor wenn Dein System entwendet wird, also physikalischer Zugriff besteht, dann kommt der "Dieb" nicht so ohne weiteres ans System, weil das System ja verschlüsselt ist. Aber ein Trojaner z.B. kann beim Surfen genauso eingefangen werden wie bei einem komplett unverschlüsselten System. Um ein System benutzen zu können muss es entschlüsselt sein, sonst funktioniert es nicht.
Habe das schon so verstanden. Wenn ich doch am System angemeldet bin, dann ist das System doch entschlüsselt, egal ob jetzt das ROOT-Verzeichnis oder "nur" HOME-Verzeichnis. Unter Benutzung kann also theoretisch immer Schadcode eingeschleust werden, egal ob verschlüsselt oder nicht. Verschlüsselung schütz nur davor wenn Dein System entwendet wird, also physikalischer Zugriff besteht, dann kommt der "Dieb" nicht so ohne weiteres ans System, weil das System ja verschlüsselt ist. Aber ein Trojaner z.B. kann beim Surfen genauso eingefangen werden wie bei einem komplett unverschlüsselten System. Um ein System benutzen zu können muss es entschlüsselt sein, sonst funktioniert es nicht.
Klar, phyischer Zugriff vorausgesetzt.
Ok, dann habe ich es richtig verstanden.
Aber dann muss quasi jemand erst die Festplatte physisch manipulieren und mir wieder unterschieben, ist jetzt nicht ganz so trivial.
Aber mit einem nicht verschlüsselten root kann man jetzt nicht einfacher das home knacken?
Eine Verschlüsselung schütz nur davor wenn jemand z.B. Deinen PC netwendet hat und ohne Kenntnisse Deines Passworts an die Daten will, z.B. das Bundeskriminalamt weil man verdächtigt wird eine Straftat begangen zu haben. Da haben die es schwieriger an die Beweise zu kommen.
Wenn Du aber an Deinem PC angemeldet bist ist dieser ja entschlüsselt, sonst funktioniert das System ja nicht. Das OS muss entschlüsselt sein damit es funktioniert. Solange Du am System angemeldet bist gibt es kein Unterschied ob einfacher oder schwerer irgendwas zu knacken.
Ich mache es z.B. so das ich mir mit gocryptfs ein verschlüsseltes Verzeichnis angelegt habe wo ich alle meine wichtigen Daten verschlüsselt ablege, wie Passwörter usw. Wenn ich ein PW z.B. brauche für einen Login entschlüssel ich mir das kurz und dann heben ich die entschlüsselung wieder auf. Ist im Grunde nichts anderes wie KeePass nur das ich einen Ordner habe ohne Programm drum herum.
Das root oder gar das ganze home-Verzeichnis an einen Stand-PC zu verschlüsseln halte ich für übertrieben. Sehe da keinen Vorteil. Bei einem Notebook was man ständig unterwegs dabei hat sieht es schon anders aus.
Wenn das man wegkommt sind meine Daten geschützt --> Vorraussetzung natürlich es war zu dem Zeitpunkt nicht der Benutzer angemeldet gewesen der die Verschlüsselung aufgehoben hat.
Wenn Du aber an Deinem PC angemeldet bist ist dieser ja entschlüsselt, sonst funktioniert das System ja nicht. Das OS muss entschlüsselt sein damit es funktioniert. Solange Du am System angemeldet bist gibt es kein Unterschied ob einfacher oder schwerer irgendwas zu knacken.
Das ist mir schon bewusst, ich wollte nur wissen ob es explizite Unterschiede zwischen voll Verschlüsselung und home Verschlüsseung gibt.
Ich gehe immer vom Idealfall aus nicht am System angemeldet zu sein.
Das ist mir schon bewusst, ich wollte nur wissen ob es explizite Unterschiede zwischen voll Verschlüsselung und home Verschlüsseung gibt.
Ich gehe immer vom Idealfall aus nicht am System angemeldet zu sein.
Das muss Du für Dich entscheiden..... wenn Du paranoid bist verschlüsseltst Du halt alles,
Das war aber auch nicht die Frage; es geht mir explizit darum ob die Angriffsfläche kleiner ist wenn man die Platte komplett verschlüsselt 
Das war aber auch nicht die Frage; es geht mir explizit darum ob die Angriffsfläche kleiner ist wenn man die Platte komplett verschlüsselt
Das habe ich doch geschrieben..... wenn PC ausgeschaltet entwendet wird ja.
Das habe ich doch geschrieben..... wenn PC ausgeschaltet entwendet wird ja.
Ja aber du meintest den fall wenn mir das gerät dann wieder untergeschoben wird, das mir klar das dann Systemdateien bearbeitet worden sein konnten oder hab ich was überlesen?
Nur wie sieht es aber mit dem brechen der Verschlüsselung aus, ist das einfacher wenn man zugriff aufs System auf der Platte hat oder nimmt sich das nichts?
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
