Netbook-Konzept f. root + 3 User mit crpyto-Filesystem

Netbook mit Crypto-FS haben sicher schon einige mit Netbooks eingesetzt. Ich bin mir aber nicht klar, wie man so was möglichst einfach realisiert, ohne es mit den Pw zu _kompliziert_ werden zu lassen. Meine Frage bezieht sich also primär auf die konzeptionelle Umsetzung. Auf einen USB-Stick möchte ich verzichten. Ich denke an ein gutes PW mit 8 Zeichen.

Situation:
root
3 User, 2 dieser User kennen auch das root-PW.

Da es also 1 User gibt, der keinesfalls das Root-PW erhalten soll und nur auf seine Home-Partition zugreifen soll können, stehe ich etwas an. Das Sicherheitsbedürfnis ist nicht übertrieben. Es soll einfach, wenn das Netbook verloren geht, nicht so leicht auf die Daten zugegriffen werden können, d.h ein Finder mit geringen Linux-Kenntnissen soll aufgeben da weiter rumzuschnüffeln. Wer Monate lang daran tüfteln will, wie auf die Daten zugegriffen werden kann, soll meinetwegen Erfolg haben. Für Fremde sind die Daten mehr als uninteressant.

Als Problem sehe ich, wie ein User ohne root-PW den Rechner hochfahren kann.

Sieh dir mal http://www.linupedia.org/opensuse/Mit_dm-crypt/luks_verschl%C3%BCsselte_Home-Partition_beim_Login_einbinden an.

http://www.linupedia.org/opensuse/Mit_dm-crypt/luks_verschlüsselte_Home-Partition_beim_Login_einbinden
Das Einrichten eines verschlüsselten Homeverzeichnisses st zugegeben vergleichsweise mühsam, noch fehlt eine Unterstützung durch ya

Hat sich dazu bei 11.3 etwas verändert? Ich habe nichts gefunden, es könnte aber sein, dass dafür ein Paket nicht installiert ist.

siouxie schrieb:

http://www.linupedia.org/opensuse/Mit_dm-crypt/luks_verschlüsselte_Home-Partition_beim_Login_einbinden
Das Einrichten eines verschlüsselten Homeverzeichnisses st zugegeben vergleichsweise mühsam,
noch fehlt eine Unterstützung durch ya
.

Zum Vergrößern anklicken....

Wenn du mit ya Yast meinst, liegst du falsch. Yast kann sehr wohl verschlüsselte Partitionen erstellen etc.

CryptoFS = Verschlüsseltes Dateisystem, was quasi das Selbe ist wie eine verschlüsselte Partition.

Sorry hatte von der Webseite nur ya statt yast kopiert.

Ich verstehe noch nicht ganz die Vorgehensweise. Mir ist klar, dass man beim Partitionieren mit yast angeben kann, dass die Partition verschlüsselt werden soll. Das war es dann aber schon mit dem Verständnis.

Ich hätte gerne, dass die verschlüsselte Partition beim Hochfahren nicht eingebunden wird, damit man hier nicht nach einem PW gefragt wird. Ich wurde sogar nach dem PW für die verschlüsselte Partition gefragt, obwohl ich die Partitionen in der fstab deaktiviert hatte. Das ist nicht brauchbar, wenn man beim Hochfahren mehrmals nach dem Crypto-FS-PW gefragt wird.

Ich hätte also gerne, dass man sich ganz normal in einem unverschlüsseltes Home mit PW anmeldet und man während des Bootens nicht nach einem PW gefragt wird. Irgendwann danach sollte man nach dem PW für die verschlüsselte Partition gefragt werden, falls man ein berechtigter User ist und bei korrektem PW wird die Partition dann auch eingebunden. Ich denke es sollte reichen, wenn zwischen nur Leserechten und Schreib- und Leserechten für die verschlüsselte Partition bei den Usern unterschieden wird.

Der Login am System und das Passort für die Verschlüsselung sind zwei verschiedene Paar Schuhe. Deswegen wirst du auch nach einem PW gefragt (User haben und sollten eben unterschiedliche Passwörter haben)

Das ist mir schon klar, dass User-PW und "Crypto-PW" unterschiedlich sind.

Wenn ich beim Partitionieren eine bzw. mehrere verschlüsselte Partitionen erstelle, die keine Systempartitionen sind, dann möchte ich beim _Hochfahren_ nach _keinem_ Crypto-PW gefragt werden. Ich denke, das funktioniert nur, wenn die "Crypto-Partition" nicht gemountet wird, oder?

Wenn das also so ist, wie eben geschildert, dann muss die "Crypto-Partition" später gemountet werden und das sollte automatisiert werden, am besten beim Anmelden des Users.