Dienstgeräte - Verschlüsselung des home

Smalltalk IT in der Schule
21

Hallo @martin.res, hallo @dorian ,

ich habe mir jetzt unabhängig von dir, Martin, noch die Mühe gemacht und noch die Verschlüsselung der Leihgeräte mit LUKS durchgezogen. Den Nachteil, den du schreibst: „kann nur ein Benutzer“ habe ich hingenommen, da es sich wirklich um einzel-Verleihen von Geräten geht. Wenn eines zurück geht, kann der/die nächste sich das einrichten. Daher habe ich beschlossen das über zwei Partitionen zu regeln: „tmp“ für das TMP-Verzeichnis und /var/tmp wie bei dir und „/home/user“ für den User.

grafik
grafik1386×534 122 KB

Entscheidend ist die (1) Vorbereitung der Partitionen und eben noch ein paar Kleinigkeiten um einen lokalen User sich einloggen zu lassen und (2) ein turnkey-Skript, das die Verschlüsselung erstellt und das Einbinden des verschlüsselten User-Homes macht.

Momentan macht das bei mir pam_mount.
Jetzt kommt eventuell @dorian ins Spiel:

  • Ich habe das Gefühl, dass pam_mount zu Gunsten von pam_exec rausgeflogen ist… also würde ich das gerne im Sinne des linuxmuster-linuxclient7 „richtig“ machen… bloß wie?
  • Ich habe mein turnkey-Skript in bash und zenity geschrieben wegen der vielen Bash-Befehle, sonst würde ein python-skript mit einer GUI auch gehen.
  • Ich würde mir wünschen, dass wir uns hier einigen, wie man am besten einen oder mehrere lokale User anlegt und das dem linuxmuster-linuxclient7 Befehl zur Einrichtung beibringt. Ich habe z.B. einen user „anonym“ für autologin falls kein Leihgerät und nicht im Netzwerk. Ich habe einen User „alex“ für obiges Einloggen und Einrichten der Verschlüsselung und dann gibt es noch „linuxadmin“, den wohl jeder hat… usw. da gibt es verschiedene Ansätze, kann ich mir vorstellen.

Hier mal zwei Beispiele in Aktion (erster Versuch nochmal gelöscht, weil der admin.key fehlt)

Ich würde mich freuen, wenn wir die Version von Martin oder mir in linuxmuster-linuxclient7 einbauen könnten, so dass das jeder einrichten kann.

Hier noch mein Skript inkl. Desktop-Datei: linuxmuster-privateaccount-turnkey.tgz (3,2 KB)

Und ich habe es auf der Wikiseite noch dokumentiert: anwenderwiki:linuxclient:home_verschluesselung [CommunityWiki]

VG, Tobias