[erledigt] Linux erneuern bei verschlüsseltem Home

[dirkk]

Ich habe eine Root- und eine Home-Partition. Letztere ist verschlüsselt mit ecryptfs. Wie ist das bei einer Neuinstallation von Linux (in der Root-Partition)? Besteht die Gefahr, dass meine Home-Daten nicht mehr gelesen werden können? Konkret wäre es ein Wechsel von Ubuntu 10.10 zu Mint 12; letzteres ist ja nahezu identisch mit Ubuntu 11.10. (Noch bin ich nicht sicher, ob ich mir den Schritt von Gnome 2 auf Gnome 3 antun will; aber wenn, dann sollte diese Frage vorab geklärt sein.)

Also: ist bei einer derartigen Neuinstallation irgendwas spezielles zubeachten, oder geht es "problemlos". (Ja, Backup werde ich natürlich machen.)

 

[linrunner]

Ich habe keine Erfahrung mit ecryptfs, aber man kann sich ja im uu-Wiki aufschlauen. Dort steht, daß die für die Entschlüsselung erforderlichen Dateien sich in /home/.ecryptfs/<Benutzername>/.ecryptfs befinden. Das wäre innerhalb der Home-Partition. Ich würde trotzdem zusätzlich /home/.ecryptf/* auf ein externes Medium sichern. Ansonsten halt beim manuellen Partitionieren dran denken, die Home-Partiiton einzubinden, jedoch nicht zu formatieren.

Allerdings wirst Du ja sicher eine solche Aktion niemals ohne vollständige Datensicherung angehen, oder? (EDITH: wer lesen kann...)

 

[Evilandi666]

Also sofern es in Mint 12 das Paket ecryptfs-utils gibt und du /home komplett sicherst/zurückspielst (siehe Hinweis von linrunner), sprich am Ende sowohl /home/.ecryptfs vorhanden ist als auch die Symlinks von /home/$User/{.ecryptfs,.Private} auf die richtigen Ordner in /home/.ecryptfs/$User/ vorhanden sind, sehe ich da kein Problem. Anhand dieser Symlinks erkennt ecryptfs über die pam Einträge dass es was einzuhängen gibt und erhält davon auch das PW.

Eventuell kann es sein dass du noch ein paar Dateien in /etc/pam.d/ anpassen musst, das dürfte aber alles über das ecryptfs-utils Paket automatisch geschehen.

Ich hab übrigens bis vor einigen Tagen ecryptfs in Arch genutzt (von Hand eingerichtet...) und bin nun bei dm-crypt, nachdem letzteres nun trim/discard support hat, hat ecryptfs keine Vorteile mehr für mich.

 

[linrunner]

und du /home komplett sicherst/zurückspielst.

Er hat doch hat eine separate /home-Partition, da braucht er nichts zurückspielen ...

 

[dirkk]

Was ganz banales: wenn während der Installation (etwa von einer Live-CD) gefragt wird, ob der Home-Bereich verschlüsselt werden soll, dann muss ich "ja" angeben. Das hat aber nicht die Bedeutung, dass durch die Installation irgendwas am Home "aktualisiert" wird?

 

[xsid]

Hallo dirkk,

was versprichst Du dir von Linux Mint 12?

Warum speicherst Du nicht, deine für dich wichtigen Daten sicher ab und spielst die nach Installtion wieder zurück?
Linux Mint 12 hat andere Konfigurationdateien, Du produzierst evtl. Leichen oder Inkompatibelitäten.

Meines Wissens kann Ubuntu bei einem Upgrade keine Version überspringen, d. h. erst ein 11.04 Upgrade durchführen, dann zu 11.10.
Da bist Du mit einer Neuinstallation, ohne alte /home erheblich schneller.

Dein Statement " Gnome 3 antun will", so wird dir Gnome 3 nicht gefallen, viele ist dort anders, Du wirst einige Zeit investieren müssen um dich zu belesen.
Bei Linux Mint 12 ist dann noch wieder anders, die haben MSGE, Mint Gnome Shell Extensions.
Mint Gnome Shell Extensions ist irgendwie Frickelkram, es liegt zwar Gnome 3 darunter. Alles ein bischen umgestrickt, umbenannt und auf Gnome 2 Look gestrickt. Die Technik ist Gnome 3, aus meiner Sicht verwirrt Mint Gnome Shell Extensions nur.

MfG

xsid

 

[Evilandi666]

Was ganz banales: wenn während der Installation (etwa von einer Live-CD) gefragt wird, ob der Home-Bereich verschlüsselt werden soll, dann muss ich "ja" angeben. Das hat aber nicht die Bedeutung, dass durch die Installation irgendwas am Home "aktualisiert" wird?

Das würde ich nicht machen. Wähle nein und installiere die Paket danach von hand (ecryptfs-utils hauptsächlich). Dafür kannst du ja irgendeinen Testuser erstellen. Danach erstellst du deinen alten User (ohne dass sein $Home überschrieben wird) und nach einem reboot sollte der Login klappen. Du weist nicht was passiert wenn der Installier ein verschlüsseltes $home anlegen will welches schon vorhanden ist.

Ich glaube der Mint Installer kann ecryptfs sowieso nicht, oder hat sich das mal verbessert? Prüfe auch ob ecryptfs unter Mint überhaupt verfügbar ist.

Mach dir von deinem $home aufjedenfall eine entschlüsselte Kopie, das erspart viel Stress. Zur Not: Erstelle User neu mit Verschlüsselung und kopier dann die Klartext Daten rein. Dann sind sie ja wieder verschlüsselt. Je nach Datenmenge dauert das nicht sonderlich lange

 

[linrunner]

Wäre interessant zu wissen ob der Installer überhaupt danach fragt. Schlauer wäre es, wenn er das verschlüsselte Home erkennt ...

 

[dirkk]

@xsid

Versions-Upgrade mache ich sowieso nicht. Seit ich das vor vielen Jahren mal mit Suse gemacht habe, lasse ich die Finger davon, auch wenn es heutzutage und bei anderen Distris besser sein mag. Von daher: Neuinstallation. Aber das HOME kann und will ich behalten. Warum gibt es für Dich nur die beiden Alternativen?

Gnome 3 unter Mint 12 hatte ich mal per Live-CD ausprobiert. Es ist in der Tat etwas völlig anderes, und es macht mir insgesamt einen noch sehr unaugereiften Eindruck. Das MSGE würde ich wohl auch nicht sinnvoll finden... man kann es aber einfach abschalten und hat dann Gnome 3 pur.

@Evilandi666

Mint kennt ecryptfs. Habe ich bei meinem Mint 11 auch. Ich denke, da gibt es zwischen Ubuntu und Mint keinen wesentlichen Unterschied.

Ich denke mal, dass meine Frage keinen Unterschied macht, ob ich nun Ubuntu 11.10 oder Mint 12 installieren möchte.

 

[Avathar]

also ich verwende ecryptfs nahezu seit es Ubuntu unterstützt..habe zwischendurch auch mal mint 10 und 11 verwendet, und hatte bei Neuinstallationen noch nie ein Problem

d.h., ich habe bei einer Neuinstallation immer das selbe Passwort wie vorher genommen und angehakt, dass er das Home-Verzeichnis verschlüsseln soll..danach hat eigentlich meistens alles wieder funktioniert..

du generierst aber wie vorher schon gesagt unter Umständen Leichen oder Inkompatibilitäten, hatte ich z.B. als ich auf Kubuntu gewechselt bin..
und ein Backup ist sowieso Pflicht..

 

[xsid]

@xsid

Versions-Upgrade mache ich sowieso nicht. Seit ich das vor vielen Jahren mal mit Suse gemacht habe, lasse ich die Finger davon, auch wenn es heutzutage und bei anderen Distris besser sein mag. Von daher: Neuinstallation. Aber das HOME kann und will ich behalten. Warum gibt es für Dich nur die beiden Alternativen?

Gnome 3 unter Mint 12 hatte ich mal per Live-CD ausprobiert. Es ist in der Tat etwas völlig anderes, und es macht mir insgesamt einen noch sehr unaugereiften Eindruck. Das MSGE würde ich wohl auch nicht sinnvoll finden... man kann es aber einfach abschalten und hat dann Gnome 3 pur.

Hallo dirkk,

Du wirst in deiner jetzigen /home die Konfigurationsdateien für die alten Programme (Gnom2 etc.), wenn Du diese nicht neu anlegst.
D. ist gerade wichtig, weil Du von Gnome2 zu Gnome3 wechselst. Deine jetztige persönlich Konfiguration ist somit hinfällig.
Zudem ist es aus meiner Sicht mehr Aufwand, zu versuchen dein jetztig /home für Gnome3 hinzutricksen.

Wenn Du die wichtigen Daten deiner jetzigen /home sicherst geht dir doch nicht verloren. Die Kurz-Sicherung kann sogar auf der gleichen HDD erfolgen. Du kopierst einfach von einer Partition zu einer anderen.

Warum hängst Du so an deiner jetzigen /home und willst diese nicht neu anlegen?

Zu Linux Mint 12:

Den große Vorteil von Linux Mint 12 habe ich einfach noch nicht erfaßt.

Mir fällt dazu folgendes ein:

- MSGS Oberfläche, wenn es denn als Vorteil gesehen wird, aus meiner Sicht nicht.
- Ubuntu Unity Verweigerer, die durch Mint ihre Missgunst ausdrücken wollen
- Multimedia braucht nicht extra Installiert zu werden.


Zudem würde ich auch an deiner Stelle abwägen ob ein Wechsel zu dm-crypt nicht auch für sinnvoll ist.

Welche Vorteile hat für dich ecryptfs gegenüber dm-crypt?

MfG

xsid


Edit:

http://onlinebackup.im-vergleich.in...es-homeverzeichnis-unter-debian-mit-ecryptfs/

Ecryptfs hat aber einige Vorteile für mich:
Jeder Benutzer kann die Dateien in seinem Homeverzeichnis mit seinem eigenen Passwort verschlüsseln.
Die Dateien werden automatisch entschlüsselt, sobald sich der Benutzer einloggt.
Mehrere verschlüsselte Benutzerverzeichniss können auf einer Partition liegen. Das bringt eine bessere Ausnutzung von Speicherplatz.
Mit ecryptfs ist es möglich ein dateibasiertes Backup durchzuführen ohne die Dateien entschlüsseln zu müssen.

http://www.linux-magazin.de/Heft-Abo/Ausgaben/2005/08/Geheime-Niederschrift

 

[elarei]

Hallo,

ohne die Expertendiskussion stören zu wollen: ich habe schon mehrfach Ubuntu mit Bordmittel-verschlüsselter Homepartition neuinstalliert. Gibt man bei der Installation die passende Partition für Home an und verschlüsselt das eigene Homeverzeichnis unter gleichem Benutzernamen mit dem gleichen Passwort erneut, werden die Daten on the fly 1:1 übernommen.

Gruss

 

[Evilandi666]

Hallo,

ohne die Expertendiskussion stören zu wollen: ich habe schon mehrfach Ubuntu mit Bordmittel-verschlüsselter Homepartition neuinstalliert. Gibt man bei der Installation die passende Partition für Home an und verschlüsselt das eigene Homeverzeichnis unter gleichem Benutzernamen mit dem gleichen Passwort erneut, werden die Daten on the fly 1:1 übernommen.

Gruss

Jetzt muss nur noch jemand schauen ob der Mint Installer das auch kann

@dirkk installier dir bitte nie Archlinux oder Debian Testing oder so .. da wirds echt hart ohne Upgrades
(oder wäre das vllt. gerade was für dich, weil du Versionsupdates scheust? <- was ich gut verstehen kann, zumindest bei Ubuntu).

 

[xsid]

@Evilandi666

Hallo Evilandi666,

Ich hab übrigens bis vor einigen Tagen ecryptfs in Arch genutzt (von Hand eingerichtet...) und bin nun bei dm-crypt, nachdem letzteres nun trim/discard support hat, hat ecryptfs keine Vorteile mehr für mich.

Hatte ecryptfs bisher kein trim/discard support ?

Welche Vorteile hattest Du zuvor von ecryptfs?

Welche weiteren Vorteile hat man von dm-crypt?

MfG

xsid

 

[Evilandi666]

Hallo Evilandi666,

Hatte ecryptfs bisher kein trim/discard support ?

Welche Vorteile hattest Du zuvor von ecryptfs?

Welche weiteren Vorteile hat man von dm-crypt?

MfG

xsid

Sorry falls das unverständlich formuliert war:

- ecryptfs unterstützt natürlich Trim/Discard. (bzw. das hängt vom Dateisystem darunter ab)
- Vorteil von ecryptfs war eigentlich Trim/Discard (und theoretisch etwas mehr Leistung, da /usr/bin nicht verschlüsselt war).

dm-crypt kann seit Kernel 3.1 auch Trim/Discard, daher hat ecryptfs keine Vorteile für mich mehr - und da ich in letzter Zeit doch gerne auch /etc verschlüsselt hätte (da dort doch manchmal PWs oder sowas in Konfigs drin stehen), war das ganz praktisch dass nun dm-crypt auch trim/discard kann. Zumal mit ecryptfs es doch manchmal ganz schön nervig ist, wenn dein $home erst nach dem Login da ist (Skripte) usw. Manchmal gab es da auch ganz seltsame Probleme, z.B. wenn man ein Sambashare in einem $home erstellt, welches ecryptfs verschlüsselt ist, ging das früher (weiß nicht ob das nun geht) manchmal nicht richtig (es ließ sich dann von außen nicht zugreifen oder nicht schreiben), obwohl die Rechte aber stimmten.

Und da ich mit dm-crypt auch nur ein PW eingeben muss und es auch via ssh "aufschließen" kann, habe ich eigentlich nichts eingebüßt bis auf den Mehrbenutzerbetrieb (den ich nicht brauche).

Ich will aber ecryptfs nicht schlecht reden, es begleitete mich lange Zeit ganz gut auf dem Laptop

 

[elarei]

Jetzt muss nur noch jemand schauen ob der Mint Installer das auch kann

Sorry, ich dachte das wäre implizit: ja, der kann das auch, hab ich auch schon mehrfach gemacht.

 

[dirkk]

So, eben habe ich den Schritt gewagt (siehe Signatur)... mit gemischten Gefühlen. Denn Ubuntu 10.10 war für mich perfekt eingerichtet. Andererseits müsste ich in einigen Monaten sowieso erneuern. Und da ich mich mit Gnome 3 anfreunden möchte, ist es besser, das System installiert zu haben und sich nach eigenem Geschmack einrichten zu können. Habe auch schon die erste Gnome Erweiterung installiert: CPU-Temperatur-Anzeige.

Zu der Problematik mit dem Home: Momentan habe ich keinen Zugriff darauf. Die Daten sind aber noch da. (Ob ich sie lesen werde können, muss sich noch zeigen.) Wie gehe ich vor? In /etc/fstab die Partition bei /home einhängen? Was passiert mit den nach der Installation schon angelegten Daten im Home?

Nochewtas. In /etc/fstab haben die Partitionen eine lange UUID. Kann ich einfach die alte fstab nehmen (und damit die alten UUIDs)? Außerdem hat meine momentan, neue fstab folgenden Eintrag:

/dev/mapper/cryptswap1 none swap sw 0 0

Kann ich den getrost löschen?

 

[linrunner]

Du wirst ums Einhängen des /home nicht herumkommen ... . Dabei darfst Du aber keinesfalls mit deinem Benutzer angemeldet sein, sondern in einer virtuellen Konsole (Strg+Alt+F1) als root. Vergib zuvor ein root-PW per

sudo -i passwd

Falls sich die UUIDs geändert haben kannst Du die alten natürlich nicht verwenden, bis auf dein altes /home. Anzeigen aller aktuellen UUIDs auf deiner Disk mit:

sudo blkid

Der gezeigte fstab-Eintrag ist eine verschlüsselte Swap-Partition und wird denke ich benötigt - es sei denn Du wolltest kein Swap.

 

[dirkk]

Danke linrunner, das hat zwar geklappt, aber es gab seltsame Probleme, dass manche Anwendungen doppelt oder dreifach angezeigt wurden, was vermutlich aus einer Durchmischung der Konfigurationsdateien resultierte, was ich aber nicht in den Griff bekam. Dann habe ich nochmal installiert. Diesmal habe ich aber von vornherein die anderen Partitionen besser berücksichtigt (das habe ich beim ersten mal im Installer wohl falsch gemacht), und dann war alles problemlos.

Wie ist das mit dem Swap? Meine Swap-Partition scheint er zu ignorieren und nimmt stattdessen diesen verschlüsselten Swap.

FF und TB wurden auf v8.0 aktualisiert. Aktuell ist doch 9.0. Muss man das (bei Ubuntu 11.10) per PPA regeln?

 

[linrunner]

Der verschlüsselte Swap ist nur eine Softwareschicht über der tatsächlichen Partition. Schau mal in /etc/crypttab, dort müßte die UUID der Partition auftauchen.