Kubuntu Benutzerverzeichnis nachträglich verschlüsseln

Nachdem ich mir mit diversen Anleitungen, die händisch Kopieren und „deluser“ verwenden, in den Fuß geschossen hatte, hier eine kurze Anleitung wie das bei mir unter Kubuntu, Ubuntu 14.04 wunderbar automatisiert funktioniert hat.

Hinweis

Auf dieser Seite findet Ihr einen persönlichen Erfahrungsbericht. Dies ist keine offizielle Support-Page! Ich Übernehme keinerlei Garantie für die Angaben und es gilt der rechtliche Hinweis.

An welche Leser wende ich mich? Es können Daten verloren gehen. Ihr auf jeden Fall experimentierfreudig sein. Alle Einstellungen, Konfiguration, Kommandos, etc. müsst Ihr bitte selber hin bekommen. Das heißt im wesentlichen:
  1. Alle Daten vorher sichern (Backup)
  2. apt bzw. den Adept Manager bedienen können
  3. Readme-Dateien lesen
  4. Die Fehlermeldungen lesen, im Internet suchen und die Problemchen lösen

Eine sehr gute Quelle für Hinweise und Fragen ist http://wiki.ubuntuusers.de/

Los geht’s

Ich gehe von einem Rechner mit nur einem Hauptbenutzer aus. Habt ihr mehrere Administrative Benutzer können die ihre Kollegen gegenseitig migrieren, das Ganze ist also etwas weniger aufwändig als hier dargestellt, wenn ihr mehrere Benutzer habt.

Kurzer Check: Die Migration legt eine unverschlüsselte Kopie des Hauptverzeichnis an (/home/<user>.XXXXXXXX). Auf dem Laufwerk muss entsprechend Platz vorhanden sein. Die aktuelle Größe findet ihr mit dem Dateimanager oder der Kommandozeile heraus

user@maschine:~$ du -sh /home/<user>
3,7 GB
user@maschine:~$ df -h
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf 
/dev/sda1 299G 146G 148G 49% /

Als Software wird encryptfs benötigt. Dies ist entweder mit dem grafischen Paketmanager oder der Kommandozeile zu installieren.

sudo apt-get install ecryptfs-utils

Nun müssen wir an eine Root-Shell herankommen, die nicht vom Hauptbenutzer aus aufgerufen wurde, denn ansonsten ist /home/<user> geöffnet und kann nicht migriert werden. Das geht in dem man den Rechner im Recovery-Modus bootet, dazu beim starten <Shift> halten (bei manchen Computern wohl auch <Esc>).

Im Menü „Wiederherstellungsmodus“ dann „root“ wählen. Es erscheint eine Kommandozeile. Das Dateisystem ist in dem  Moment „read-only“ eingebunden, um es schreibbar zu machen

mount -o remount,rw /

Jetzt kann die Aktion losgehen

ecryptfs-migrate-home -u <user>

Zum Ende der Migration kommt eine Meldung die bitte unbedingt zu beachten ist.

  1. Das die Migration erfolgreich war, jedoch der Nutzer sich sofort ohne zu booten(!) einzuloggen hat, um die Migration abzuschließen.
  2. Die Migration hat die Daten unverschlüsselt zuvor in ein Verzeichnis /home/<user>.XXXXXXXX gesichert. Dieses Verzeichnis sollte irgendwann gelöscht werden.
  3. Der <user> sollte sich beizeiten seine Passphrase notieren. Dies geht via dem Befehl ecryptfs-unwrap-passphrase bzw. über ein grafisches Tool nach dem ersten einloggen.
  4. Eine vollständige Verschlüsselung bezieht auch Swap ein (habe ich mir gespart)

Also unbedingt ohne Neustart!

login <user>
exit

Falls alles fehlerfrei abgelaufen ist, die Recovery-Root-Shell mit <Strg>-<D> verlassen und im Menü Resume wählen, um das System zu starten.

Der <user> kann sich nun grafisch einloggen und bekommt bei KDE via der kleinen Glühlampe in der Taskleiste vorgeschlagen sich seine Passphrase aufzuschreiben.

Viel Spaß!