Homeverzeichnis beim ersten Login erstellen und verschlüsseln

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
McAldo
Moderator
Beiträge: 2064
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Homeverzeichnis beim ersten Login erstellen und verschlüsseln

Beitrag von McAldo » 11.03.2018 21:41:48

Während des ersten Logins an einem Rechner ist es möglich, dass automatisch das Homeverzeichnis des User angelegt wird. Siehe dazu diese Seite: https://debian-administration.org/artic ... omatically

Ist es möglich auf diesem Weg auch gleich das Homeverzeichnis mit ecryptfs zu verschlüsseln? Dabei sollte gleich das Passwort des User genommen werden für die Verschlüsselung.

Wenn das geht ...., wie?
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Homeverzeichnis beim ersten Login erstellen und verschlüsseln

Beitrag von breakthewall » 12.03.2018 00:16:36

Das wäre ziemlich ineffizient. Zumal eCryptfs recht langsam arbeitet, und zusätzlich einen erheblichen Overhead verursacht, verglichen mit anderen Verschlüsselungsverfahren. Da hätte dm-crypt/LUKS im Bezug auf Effizienz und auch Sicherheit mehr zu bieten. Ich denke auch nicht, dass sich hier ohne etwas Neues zu programmieren, noch ein effizienter Zwischenschritt einfügen lässt, um ein frisch erstelltes Verzeichnis via PIM, zusätzlich noch zu verschlüsseln und direkt so einzubinden, sobald sich jemand via Netzwerk einloggt. Zumindest fällt mir dazu keine fertige Lösung ein. Könnte mir allerdings ein Python basierendes Shellscript als Systemdienst vorstellen, was Ereignis basierend überwacht, und dann verschlüsselte Volumes bzw. Container, entsprechend anlegt und jeweilige Verzeichnisse einbindet.

Benutzeravatar
McAldo
Moderator
Beiträge: 2064
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: Homeverzeichnis beim ersten Login erstellen und verschlüsseln

Beitrag von McAldo » 12.03.2018 10:36:22

Mit crypt/LUKS kann man doch nur eine Partition verschlüsseln. Oder ist das nun auch für ein Verzeichnis möglich, wie bei ecryptfs?

Sicher würde das auch mit einem Bash-Script funktionieren, welches man dazwischen hängt. An welcher Stelle müsste man das einklinken?

Das Script müsste das eingegebene Passwort nutzen um vor dem tatsächlichen Login und nach Erstellung des Home-Verzeichnis dieses Verschlüsseln und für den Login wieder entschlüsseln.
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Homeverzeichnis beim ersten Login erstellen und verschlüsseln

Beitrag von MSfree » 12.03.2018 10:43:11

McAldo hat geschrieben: ↑ zum Beitrag ↑
12.03.2018 10:36:22
Mit crypt/LUKS kann man doch nur eine Partition verschlüsseln.
Eine Partition kann aber auch eine Datei sein, die über Loopback angesprochen wird.

Man könnte also beim ersten Login eine leere Datei erstellen, diese per Loopback einbinden und partitionieren. Anschließend ein verschlüsseltes Dateisystem aufbringen und dann und /home/username mounten.

Antworten