Unison: EncFs einrichten
Encfs einrichten
Encfs ist ein verschlüsseltes Userspace-Filesystem, welches Filenamen und Inhalte verschlüsselt auf herkömmlichen Filesystemen beliebiger Art ablegen kann- der Vorteil bei der Sache: man muss keine kompletten Partitionen verschlüsseln- die Nachteile sind auf der Homepage des Projektes erklärt, das würde jetzt hier zu weit führen. Das entscheidende ist, dass sich eine verschlüsselte Partition und encfs nicht ausschliessen, man kann auch beiden tun ;)
Zur Erinnerung:
Als Erstes erstellen wir das Encfs auf dem ssh-Client (weiss hinterlegt): Der User, der das encfs benutzt, muss Mitglied in der Gruppe fuse sein, sonst ensteht ein Zugriffsfehler auf das Device /dev/fuse!
encfs ~/.home_crypt ~/home_klar
Beim ersten Mal wird man durch die Erstellungsprozedur geleitet- das ist ziemlich einfach und gut erklärt. Wenn man dies später für die nun schon existierenden Verzeichnisse aufruft, wird man nur noch nach der Passphrase gefragt.
Wenn alles geklappt hat, sollte man in der Ausgabe von `mount' so etwas sehen:
encfs on /home/$user/home_klar type fuse.encfs (rw,nosuid,nodev,default_permissions,user=$user)
Beim Neustart des Rechners ist es praktisch, sich gleich eine Eingabeaufforderung für die Passphrase anzeigen zu lassen. Ich habe hierfür dieses Skript als ~/.kde/Autostart/home_klar.sh abgelegt, damit es beim Anmelden aufgerufen wird: (¬ sind Zeilenumbrüche)
#!/bin/bash ssh-askpass "Pedo mellon a minno" | encfs -S ~/.home_crypt/ ~/home_klar/ ||¬ (zenity --question --text="Falsches PW oder encfs schon gemountet!" ¬ || exit 1 && sh ~/.kde/Autostart/home_klar.sh;exit 1) ¬ || exit 1 touch ~/.home_klar.lock touch ~/.home_klar_check.lock
Die beiden touches am Ende brauchen wir später in den UnisshencCronjobs - Amsonsten leitet ssh-askpass das Eingegebe weiter an encfs, das mit -S vom Stdin liest- Schlägt das Kommando fehl, wird mit Zenity ein Meldung ausgegeben und das Ganze beim Druck auf OK wiederholt. Auch Freunde von Herr der Ringe kommen hier auf ihre Kosten, man sollte aber doch ein anderes Passwort nehmen XD
Tipp: Um Gewohnheiten und vor allem vorhandene Scripte nicht ändern zu müssen empfehle ich, die Verzeichnisse, die man mit dem ssh-Server syncen will in das Verzeichnis home_klar zu verschieben und entsprechende Symlinks von der bisherigen Position dorthin zu legen!
Wenn man jetzt in das verschlüsselte Verzeichnis schaut, sieht man nur kryptische Dateinamen mit ebensolchen Inhalten. Ausserdem gibt es eine Datei namens .encfs5 - diese Datei ist zur Entschlüsselung unverzichtbar und sollte unbedingt als Kopie sicher verwahrt werden! Sollte diese Datei verloren gehen, sind es die verschlüsselten Daten auch! Mit dem Kommando `encfsctl' kann man eine Passphrase ändern, damit wird auch ein neues .encfs5 erstellt, dass natürlich ebenso behandelt werden muss.
Weiter geht´s mit Unison: Unison einrichten