Generalschlüssel
Mit PAM-Mount beim Anmelden verschlüsselte Partitionen einhängen
Neuer Schlüssel
Wenn der Debug-Modus von PAM-Mount bei einem ersten Test der Konfiguration zeigt, dass das System nicht in der Lage war, die Partition zu mounten, liegt das unter Umständen daran, dass sich die Passwörter für Login und Entschlüsseln unterscheiden.
Linux-PAM reicht mit der Option try_first_pass das Passwort des vorherigen Moduls ans folgende weiter – so auch an PAM-Mount, das erlaubt, das Login-Passwort als Passphrase zum Entschlüsseln zu nutzen. Haben Sie dieses verschlüsselte Laufwerk bereits früher mit einer anderen Passphrase angelegt, gibt Ihnen LUKS die Möglichkeit, dem Header der DM-Crypt-Partition eine weitere Passphrase hinzuzufügen. Eine neue Passphrase in einem anderen Slot erzeugt der folgende Befehl:
sudo cryptsetup --key-slot Slot-Nummer luksAddKey Gerät
Um zu prüfen, ob das auch funktioniert hat, lassen Sie sich mittels sudo cryptsetup luksDump Gerät
die bereits mit einer Passphrase besetzten Slots anzeigen.
Fazit
PAM-Mount eignet sich als Multitalent des Mountens bestens für den privaten wie auch für den beruflichen Bereich. Unglücklicherweise arbeitet mount.crypt nicht wie ein echter Mount-Befehl, also beispielsweise mount.ext3.
Das äußert sich darin, dass Sie mount.crypt keine Optionen mit -o übergeben dürfen. Demzufolge gelingt es nicht, benutzerspezifischen Daten wie UID oder GID durchzureichen. Das führt dazu, dass das System die Partition als root einhängt. Als kleinen Workaround richten Sie auf dem Volume ein Verzeichnis mit restriktiven Benutzerrechten ein, in dem Sie arbeiten.
Darüber hinaus arbeitet PAM-Mount nicht mit Partitionen zusammen, die Sie mit Truecrypt ab Version 5 angelegt haben: Der Befehl truecrypt fragt beim Mounten interaktiv nach dem Einhängepunkt, was sich zum Skripten nicht eignet.
Glossar
PAM
Pluggable Authentication Modules. Softwarebibliothek, die eine API für modulare Authentisierungsdienste zur Verfügung stellt. Teil des Standards "X/Open Single Sign-on" (XSSO).
FUSE
Filesystem in Userspace. Ein Kernel-Modul, das es ermöglicht, Dateisystem-Treiber aus dem Kernel-Mode in den User-Mode zu verlagern. So können auch nicht-privilegierte Benutzer eigene Dateisysteme einhängen.
LUKS
Linux Unified Key Setup. Erweitert die mit DM-Crypt verschlüsselten Daten um einen zusätzlichen Header mit Metadaten sowie Platz für bis zu acht Schlüssel.
Slot
LUKS erlaubt es, bis zu acht Passwörter für ein Volume zu vergeben. Das erleichtert beispielsweise den Wechsel des persönlichen Passworts, wobei die Daten weiter verfügbar bleiben. Die Slots fungieren dabei als Speicherort für die Passwörter.
[1] Linux-PAM: http://www.kernel.org/pub/linux/libs/pam/
[2] PAM-Mount: http://pam-mount.sourceforge.net
[3] File System in Userspace (FUSE): http://fuse.sourceforge.net
[4] DM-Crypt/LUKS: http://luks.endorphin.org
[5] EncFS: http://www.arg0.net/encfs
Einem Freund empfehlen
