Workshop: Rechner mit Luks und ZFS on Linux komplett verschlüsseln

Der Dummheit sind zwar sprichwörtlich keine Grenzen gesetzt. Aber niemand käme auf die Idee, den nächsten Businessplan der eigenen Firma auf Facebook zu posten. Auf Laptops jedoch tragen viele ihn spazieren. Bei einer Studie [1] gaben 86 Prozent der befragten IT-Sicherheitsfachkräfte an, dass in ihrem Unternehmen mindestens ein Laptop gestohlen oder verloren wurde. In 56 Prozent der Fälle kam es dabei zur Verletzung der Datensicherheit. 61 Prozent der deutschen IT-ler sagten, der Datenverlust wiege schwerer als der materielle Schaden, nur 13 Prozent grämten sich mehr über die abgängige Hardware.

Was tun? Herkömmliche Linux-Laptops verwenden zwar moderne Dateisysteme wie Ext 4 oder XFS, die für Validität der Dateien sorgen, legen die Daten aber unverschlüsselt ab – keine Hürde für einen Datendieb, der in den Besitz des Geräts gelangt ist. Techniken wie Truecrypt speichern Daten dagegen in verschlüsselten Containern, in Kombination mit einer starken Passphrase gilt das als sicher. Truecrypt kann jedoch Linux-Systeme nicht als Ganzes verschlüsseln.

Dieser Artikel stellt ein nahezu komplett verschlüsseltes System vor, das auf einer stark verschlüsselten Hauptpartition läuft. Nur die kleine »/boot« -Partition mit Kernel und Initram-FS bleibt unverschlüsselt. Als Filesystem kommt das Feature-reiche ZFS on Linux (ZoL, [2]) zum Einsatz. Damit ist der Speicherplatz zwischen allen ZFS-Dateisystemen dynamisch verteilbar. ZFS sorgt durch Block-Prüfsummen zudem für Datenintegrität und kann Dateien wenn nötig transparent komprimieren.

Das Linux-Magazin Online veröffentlicht erstmals alle Print-Artikel, die in den vergangenen sechs Jahren im Linux-Magazin erschienen sind. Damit steht Ihnen ein hochwertig bestücktes Archiv bis hin zu den Beiträgen der aktuellen Ausgabe online zur Verfügung. Die über 1200 Artikel sind größtenteils kostenlos zugänglich, nur für Beiträge (als PDF) der jüngsten zehn Linux-Magazine ist eine Gebühr von jeweils 99 Cent fällig.