Hallo,
an der Schule haben wir Dienstgeräte, die mit LINBO bespielt werden und die eine Basiskonfiguration mit Ubuntu und einem lokalem Erstbenutzer haben. Jeder Lehrer legt dann für sich einen persönlichen weiteren Account an, mit dem er arbeitet. Die Homes des Erstbenutzers und der Lehrer liegen auf einer extra Partition. Per LINBO kann des Gerät auch offline zurückgesetzt werden und ggf. auch Ubuntu neu aufgespielet werden - das home bleibt dabei auf der extra-Partition erhalten.
Ich würde nun gerne das home des Lehrers verschlüsseln, da dort sicher auch mal personenbezogene Daten liegen werden. Eine Komplettverschlüsselung des Laptops kommt wegen LINBO ja nicht in Frage.
Hat das schon jemand gemacht?
Welche Systeme habt ihr verwendet?
Viele Grüße
Martin
Hej Martin,
wir machen das ja auch so - vermutlich mit dem selben Ausgangs-Image. 
Bin trotzdem keine große Hilfe, nur ein Gedanke:
Ich habe mir die Verschlüsselung des homes gespart. Die Verantwortung für korrekte Verschlüsselung liegt letztendlich eh beim/bei der Leihnehmer:in. Das will ich gar nicht unbedingt übernehmen.
Habe stattdessen Cryptomator und Veracrypt vorinstalliert. Wenn wir eine KuK-Fortbildung machen, dann zeige ich diese Programme… Vorteil ist: An der Fobi können dann auch die Personen teilnehmen, die kein L-Gerät erhalten haben.
Grüße
Michael
Hallo,
ich finde es essentiell wichtig, dass die Geräte vollverschlüsselt werden und nicht mit Containern gearbeitet wird (benutzt am Ende nämlich genau keiner … was verständlich, da umständlich ist).
Wir müssen hier den Lehrern unter die Arme greifen.
Ich habe die Yoga L13 mit Windows ausgeliefert und eine Anleitung geschrieben, wie die Lehrer
- ein individuelles ordentlcihes Passwort vergeben
- rebooten
- BitLocker Vollverschlüsselung einschalten.
Muss das Ding mit linbo zurückgesetzt werden, dann ist das halt platt: is halt so (dafür ist Verschlüsselung ja da).
Hätte ich Linux genommen, dann hätte ich geschaut: entweder wie der Lehrer im Nachinein die Vollverschlüsselung einscahlten kann (ich glaube das geht mit LUKS im Nachhinein, wenn man eine /boot Partition hat) oder wie sie im Nachhinein die Verschlüsselung des eigenen Homes einschalten können.
Bei mir sind die Lehrer Admins auf ihren Geräten.
Und noch was: habt ihr tatsächlich „Dienstgeräte“ ausgegeben? Ich denke nicht. Ihr solltet diese Bezeichnung unbedingt vermeiden: bei Dienstgeräten gelten ganz andere Dinge als bei Leihgeräten. Wir haben „Lehrerleihgeräte“ ausgegeben, aber keine Dienstgeräte.
LG
Holger
Hallo,
stimmt, wir haben Lehrerleihgeräte ausgegeben.
Nach meinen Recherchen gibt es neben LUKS noch ecryptfs, kenne aber Vor/Nachteile bei unserem Setting (noch) nicht.
Der Einsatz von Veracrypt verschlüsselt eben nur Dateien, die man aktiv hineinlegen muss, nicht von vorneherein Einstellungen/Daten der Browser und auch nicht eine Nextcloud-Syncronisation.
Grüße
Martin
Hallo Martin,
wenn ihr schon ausgerollt habt, dann wird es mit LUKS nix, weil du die /boot Partition brauchst für die Entschlüsselung (wie WIndows bei BitLocker auch). Also encryptfs. Schau mal nach, ob das nachträglich geht. Ich glaube ja, hab aber keien Erfahrung, weil ich immer überall LUKS nehme.
LG
Holger
Hi Holger,
kannst Du da ein bisschen was dazu sagen? Wo liegen da die Unterschiede?
Im Übrigen finde ich nicht, dass der Umgang mit nem Veracrypt-Container so kompliziert oder unkomfortabel ist, dass man es KuK nicht zumuten könnte.
Danke und viele Grüße,
Jochen
Hallo Holger,
Wenn Container = veracrypt, dann verstehe ich dein Argument, aber auch das von @jochen …
aber muss im Fall von Martin (und das würde bei uns auch so sein) „Vollverschlüsselung“ sein. Ich sehe nur das „/tmp“ Verzeichnis als mögliche Ablagefläche temporärer, aber personenbezogener DAten, die dann nicht verschlüsselt wären, wenn nur die Partition „/home“ verschlüsselt wäre…
Wenn meine Analyse stimmt, ist /tmp dann so kritisch zu beurteilen?
Wenn das nicht der Fall ist: ist es nicht deutlich einfacher und weniger fehleranfällig im Nachhinein „/home“ zu verschlüsseln bzw. einen User mit verschlüsseltem Home-Verzeichnis einzurichten, als eine Vollverschlüsselung?
erster Anlauf meinerseits wäre: Daten verschlüsseln › Wiki › ubuntuusers.de
zweiter Anlauf: ecryptfs: damit habe ich das schon mal bei mir gemacht gehabt. Bei nächstem Festplattenwechsel (von HDD auf SSD) aber wieder verworfen, weil ich dachte, dass die schlechte PErformanz auch daher kam. Wie man sich vorstellen kann, ist HDD->SSD wohl eher der Grund gewesen. wenn man das hier: ecryptfs › Wiki › ubuntuusers.de liest, will man das besser bleiben lassen. (mein Vorurteil: systemd ist schuld, die sind immer schuld)
@baumhof Die Begründung und Diskussion um den Unterschied von Dienstgerät und LEhrerleihgerät würde ich auch gerne kennen. Kann das in einen eigenen Thread?
VG, Tobias
ok, ich antworte mir selbst…
https://wiki.ubuntuusers.de/Vorbereitung_Teilverschlüsselung/
sagt schon eigentlich alles:
- Vollverschlüsselung reduziert die PAssworteingabe auf ein Passwort
- Bei TEilverschlüsselung ist nicht nur „tmp“, sondern auch „swap“ und „locatedb“ ein Problem, das man mit obiger Seite auch angehen kann.
Angesichts dieser Tatsachen ist es vielleicht doch einfacher, (auch nachträglich) Vollverschlüsselung anzugehen, ob dabei LVM oder „ohne LVM“ sinnvoller ist und wie man dass so verschlüsselte System dabei noch mit LINBO verheiraten könnte: Das würde mich jetzt auch interessieren: Wer hat so was schon gemacht?
VG, Tobias
Hallo,
Ergebnis: für meine Konfiguration war nur die Verwendung von Teilverschlüsselung mit ecryptfs möglich - für /home und /tmp. Habe die Umsetzung dazu im Wiki dokumentiert:
https://wiki.linuxmuster.net/community/anwenderwiki:linuxclient:home_verschluesselung
Grüße
Martin
Hallo Martin! 
Danke!!!
Beste Grüße
Thorsten
Hallo Martin,
ich dachte Ubuntu 22.04 kommt erst im April dieses Jahres.
Viele Grüße
Wilfried
Hallo Wilfried,
ja, aber im kompletten Gegensatz zu Microsoft, wo man das Release kaum verwenden kann (Bananensoftware: reift beim Kunden) kann man bei ubuntu relativ schmerzfrei schon Monate vor Releas die Dinger installieren.
Ich hab das früher sehr oft gemacht, meist, weil ich aktuellere Softwarepakete wollte oder brauchte.
Am frühsten war ich mal Mitte Januar dran mit einem .04 Release (ich schätze, das war 2009).
Das letzte mal, dass ich so einen Stunt gemacht habe war das selber runterladen und kompilieren eines neueren Kernels: damals hatte ich gerade meinen Ryzen gekauft. Müßte irgendwann 2018 gewesen sein.
Der Kernel in Ubuntu hat den noch nicht so gut unterstützt: es gab Probleme mit dem Sound des ASUS Boards und den Stromsparfunktionen des Ryzen.
Ein aktueller Kernel hat das behoben. Der Ryzen 7 1700X läuft noch immer auf dem Board von damals in meinem Rechner.
LG
Holger
Hallo Holger,
gut zu wissen. Mich hat es auch interessiert, weil ich mir vorgenommen hatte, sobald mein Ubuntuclient 20.04 „serienreif“ ist (momentan läuft in der Schule noch bionic), zeitnah das upgrade auf 22.04 zu probieren. Dann wäre bis 2027 mal Ruhe.
Viele Grüße
Wilfried
Hallo!
Es ist hier nicht der Ubuntu-Client für die LMN7 gemeint. Ob der linuxclient7 funktioniert habe ich noch nicht probiert.
Es ist ein Ubuntu 22.04 für die Leihgeräte (Schüler und Lehrer). Ich musste den Schritt gehen (obwohl einiges noch nicht geht, z.B. Bildschirm teilen in BBB, weil das bei Wayland generell noch nicht geht und Xorg bei 22.04 einen Fehler wirft), weil wir 4 unterschiedliche Laptopsorten von 4 Herstellern bekommen haben und ich nur so Standby und HDMI-Ausgang zum Laufen bekommen habe.
Wenns einer haben mag, einfach melden 
Man kann sich momentan wöchentlich über neue Features freuen, gerade habe ich entdeckt, dass man rechts oben die Energieeinstellungen direkt vornehmen kann!
Hoffentlich kommt nicht mal ein Feature, dass mir die Lehrergeräte kaltstellt…
LG
Max
Moin,
falls hier auch KDE-User mitlesen: Mit KDE Vaults geht das Verschlüsseln einzelner Verzeichnisse sehr einfach und komfortabel. Ferner kann man dann die verschlüsselten Daten auch mit einer Cloud synchron halten (was bei den entschlüsselten Daten ja weniger sinnvoll wäre). Allein deswegen würde ich kein voll verschlüsseltes Dateisystem nehmen - wie macht man da stressfrei ein Backup?
LG
Andreas
Moin, das klingt sehr sinnvoll.
Aber einerseits sollte auch die Cloud die Daten server-verschlüsselt ablegen und im Idealfall kommst du mit 2FA an deine Daten in der Cloud - und dann wäre ein plaintext-Kopie deiner Daten die zugänglichere Variante (Von jedem sicheren Rechner kommt man an verschlüsselte Daten).
Andererseits hindert den Otto-Normal-Nutzer ja auch nicht das verschlüsselte System (oder nur verschlüsselte Home) zu nutzen und dann zusätzlich verschlüsselte Verzeichnisse oder Container zu erstellen, die dann mit einer (z.B. unverschlüsselten) Cloud gesynct werden.
Ist ein bisschen wie bei einer Kühlkette:
Entweder arbeitest du direkt im Kühllager und schickst die Ware mit Hilfe von Kühlschränken in andere Kühllager, aber sobald du das Kühllager betritts kommst du an dein Dinge. Und es hindert dich niemand daran trotzdem die Dinge zusätzlich im Kühlschrank im Kühllager aufzubewahren.
Oder du arbeitest bei Raumtemperatur und holst dir immer die Dinge aus deinen Kühlschränken und fürs Backup schickst du die Kühlschränke auf die Reise.
NAja, hinkt ein bissl.
Der Punkt aber ist: beim Arbeiten mit Raumtemperatur wird die Ware evtl. unbemerkt schlecht. A.k.a. Daten werden evtl. unverschlüsselt auf dem Rechner abgelegt.
Ich habe Kollegen, die sich fragen, ob empfange Emails per thunderbird dann auch verschlüsselt abgelegt sind, und ich muss bei ~.thunderbird eben passen: ne, ist nicht verschlüsselt, wenn ich nicht das System oder das Home verschlüssele.
Ebenso, was (temporär) Anhänge angeht, die in /tmp/.mozilla.... abgelegt werden.
VG, Tobias
Und noch ein Argument das für Vollverschlüsselung gilt:
Wer mal seinen Laptop weitergeben soll/muss, der sollte dafür sorgen, dass die Daten weg sind. Bei SSD/NVMe ist das m.E. ganz schön schwierig, denn die „Platte“ oder das Filesystem schreibt Daten hin, wo es will und bei einem „zeroing“ löscht es nicht unbedingt tatsächlich die Daten.
Wer sein System vollverschlüsselt, der hat (nahezu) keinen Platz mehr auf der SSD, wo unverschlüsselt DAten liegen können. ODer seh ich das falsch?
VG, Tobias
Hi Holger, kannst du das erklären, oder steht das irgendwo in ASK oder in offiziellen Dokumenten. Bin hier das erste Mal drübergestolpert… man sieht, dass wir uns schon sehr lange nicht mehr gesprochen haben… ich verpasse irgendwie viel.
Hallo Tobias,
Hi Holger, kannst du das erklären, oder steht das irgendwo in ASK oder
in offiziellen Dokumenten.
ich habe irgend wann vor ca. einem Jahr mal gehört, dass es ein
essentieller Unterschied ist, ob der Lehrer ein Dienstgerät (wird vom
Dienstherrn bereitgestellt und supportet) oder ein Leihgerät bekommt.
Nein: leider weiß ich nicht mehr wo das steht oder wer das gesagt hat.
Ich verbreite es aber trotzdem, weil es mir einleuchtet.
Wären es Dienstgeräte, dann müßten wir uns hier nicht darüber
unterhalten, wer das einrichtet und wer den Support macht: dann wäre das
klar.
Wer an seiner Schule Geräte vom Dienstherren direkt an die Kollegen
fertig eingerichtet und mit Supportansprechpartnern bekommt, der kann
die gerne Dienstgeräte nennen: dann ist auch klar, wer die
Datenschutzkonform einzurichten hat.
Wer von irgendwem Palettenweise Geräte bekommt mit einem lapidaren „da
habt ihr sie“ und sich dann selber um provisionierung und Ausgabe
kümmern muss, dem würde ich raten, diese Geräte Leihgeräte zu nennen und
nicht Dienstgeräte (so mach ich das zumindest).
Ich denke nämlich, dass es nicht die Tätigkeit des Endusers ist, die den
Namen des Gerätes definiert sondern andere Dinge
Bin hier das erste Mal drübergestolpert… man
sieht, dass wir uns schon sehr lange nicht mehr gesprochen haben… ich
verpasse irgendwie viel.
… ja, das müssen wir beheben.
Ich denke, wir sollten dieses Jahr unbedingt wieder ein Listengrillen
machen.
25.6 wäre doch ein guter Termin …
LG
Holger
Hallo Holger,
ich kann an dem Samstag nicht 
Klar, man kann den Termin nicht jedem Recht machen. Aber schade, würde euch gerne mal wieder sehen.
Viele Grüße
Steffen