Anleitung: Home-Verzeichnisse unter Linux verschlüsseln mit Gocryptfs

Wer unter Linux sein Home-Verzeichnis vor den neugierigen Blicken anderer Nutzer schützen möchte, sollte es verschlüsseln. Das erledigt Gocryptfs komfortabel.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 6 Beiträge

(Bild: Andreas Martini)

Von
  • David Wolski
Inhaltsverzeichnis

Auf Notebooks, gemeinsam genutzten PCs und Servern in fremden Rechenzentren verlangen vertrauliche Daten besonderen Schutz – durch Verschlüsselung. Diese soll möglichst transparent erfolgen, sodass sie die gewohnte Arbeit nicht stört. Ein etwa mit Cryptsetup komplett verschlüsseltes Linux-System schützt den Inhalt der Datenträger zwar vor Außenstehenden, aber nicht gegenüber anderen Benutzern oder dem Systemadministrator. Das leisten einzeln verschlüsselte Home-Verzeichnisse. Melden sich Benutzer mit ihrem Login-Passwort an, entsperren sie gleichzeitig den Hauptschlüssel, der ausschließlich Zugriff auf ihr persönliches Verzeichnis gibt. Melden sie sich wieder ab, liegen die Dateien nur noch verschlüsselt vor. Sie sind selbst mit Root-Rechten nicht einsehbar.

Gocryptfs übernimmt diese Aufgabe. Es vereinbart Komfort und Sicherheit miteinander. Zwar bietet auch das im Artikel "Linux-Konto sicher auf mehreren Linux-Systemen nutzen" vorgestellte Systemd-Homed verschlüsselte Home-Verzeichnisse an, aber wenn Sie nicht lange basteln möchten, nehmen Sie besser das etwas langsamere, aber bewährte Gocryptfs. Arch Linux und Fedora haben es in ihren Paketquellen. Debian und Ubuntu bringen zusätzlich vorbereitete Konfigurationsdateien mit. Die folgende Praxisanleitung zeigt die Einrichtung von Gocryptfs unter Debian und Ubuntu.

Gocryptfs nutzt transparente Verschlüsselung. Das bedeutet, dass Benutzer und Anwendungen davon nichts mitbekommen und auf Dateien über die gewohnten Verzeichnis- und Dateipfade zugreifen. Das Betriebssystem verschlüsselt im Hintergrund automatisch die Daten. Auf die dafür notwendigen Kernel-Schnittstellen haben Benutzer eigentlich keinen Zugriff. Das übernehmen privilegierte Dienste oder Kernel-Module, was den Lese- und Schreibzugriff zusätzlich zum Aufwand für die Ver- und Entschlüsselung verlangsamt. Surfen, Büroarbeit oder Programmieren beeinträchtigt das im Alltag kaum. Für Aufgaben, die viele Datenträgerzugriffe erfordern, wie Videoschnitt, ist ein verschlüsseltes Home-Verzeichnis eher ungeeignet.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, MIT Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich ab 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+