Hallo,
stimmt, wir haben Lehrerleihgeräte ausgegeben.
Nach meinen Recherchen gibt es neben LUKS noch ecryptfs, kenne aber Vor/Nachteile bei unserem Setting (noch) nicht.
Der Einsatz von Veracrypt verschlüsselt eben nur Dateien, die man aktiv hineinlegen muss, nicht von vorneherein Einstellungen/Daten der Browser und auch nicht eine Nextcloud-Syncronisation.
Grüße
Martin
Hallo Martin,
wenn ihr schon ausgerollt habt, dann wird es mit LUKS nix, weil du die /boot Partition brauchst für die Entschlüsselung (wie WIndows bei BitLocker auch). Also encryptfs. Schau mal nach, ob das nachträglich geht. Ich glaube ja, hab aber keien Erfahrung, weil ich immer überall LUKS nehme.
LG
Holger
Hi Holger,
kannst Du da ein bisschen was dazu sagen? Wo liegen da die Unterschiede?
Im Übrigen finde ich nicht, dass der Umgang mit nem Veracrypt-Container so kompliziert oder unkomfortabel ist, dass man es KuK nicht zumuten könnte.
Danke und viele Grüße,
Jochen
Hallo Holger,
Wenn Container = veracrypt, dann verstehe ich dein Argument, aber auch das von @jochen …
aber muss im Fall von Martin (und das würde bei uns auch so sein) „Vollverschlüsselung“ sein. Ich sehe nur das „/tmp“ Verzeichnis als mögliche Ablagefläche temporärer, aber personenbezogener DAten, die dann nicht verschlüsselt wären, wenn nur die Partition „/home“ verschlüsselt wäre…
Wenn meine Analyse stimmt, ist /tmp dann so kritisch zu beurteilen?
Wenn das nicht der Fall ist: ist es nicht deutlich einfacher und weniger fehleranfällig im Nachhinein „/home“ zu verschlüsseln bzw. einen User mit verschlüsseltem Home-Verzeichnis einzurichten, als eine Vollverschlüsselung?
erster Anlauf meinerseits wäre: Daten verschlüsseln › Wiki › ubuntuusers.de
zweiter Anlauf: ecryptfs: damit habe ich das schon mal bei mir gemacht gehabt. Bei nächstem Festplattenwechsel (von HDD auf SSD) aber wieder verworfen, weil ich dachte, dass die schlechte PErformanz auch daher kam. Wie man sich vorstellen kann, ist HDD->SSD wohl eher der Grund gewesen. wenn man das hier: ecryptfs › Wiki › ubuntuusers.de liest, will man das besser bleiben lassen. (mein Vorurteil: systemd ist schuld, die sind immer schuld)
@baumhof Die Begründung und Diskussion um den Unterschied von Dienstgerät und LEhrerleihgerät würde ich auch gerne kennen. Kann das in einen eigenen Thread?
VG, Tobias
ok, ich antworte mir selbst…
https://wiki.ubuntuusers.de/Vorbereitung_Teilverschlüsselung/
sagt schon eigentlich alles:
Angesichts dieser Tatsachen ist es vielleicht doch einfacher, (auch nachträglich) Vollverschlüsselung anzugehen, ob dabei LVM oder „ohne LVM“ sinnvoller ist und wie man dass so verschlüsselte System dabei noch mit LINBO verheiraten könnte: Das würde mich jetzt auch interessieren: Wer hat so was schon gemacht?
VG, Tobias
Hallo,
Ergebnis: für meine Konfiguration war nur die Verwendung von Teilverschlüsselung mit ecryptfs möglich - für /home und /tmp. Habe die Umsetzung dazu im Wiki dokumentiert:
https://wiki.linuxmuster.net/community/anwenderwiki:linuxclient:home_verschluesselung
Grüße
Martin
Hallo Martin! 
Danke!!!
Beste Grüße
Thorsten
Hallo Martin,
ich dachte Ubuntu 22.04 kommt erst im April dieses Jahres.
Viele Grüße
Wilfried
Hallo Wilfried,
ja, aber im kompletten Gegensatz zu Microsoft, wo man das Release kaum verwenden kann (Bananensoftware: reift beim Kunden) kann man bei ubuntu relativ schmerzfrei schon Monate vor Releas die Dinger installieren.
Ich hab das früher sehr oft gemacht, meist, weil ich aktuellere Softwarepakete wollte oder brauchte.
Am frühsten war ich mal Mitte Januar dran mit einem .04 Release (ich schätze, das war 2009).
Das letzte mal, dass ich so einen Stunt gemacht habe war das selber runterladen und kompilieren eines neueren Kernels: damals hatte ich gerade meinen Ryzen gekauft. Müßte irgendwann 2018 gewesen sein.
Der Kernel in Ubuntu hat den noch nicht so gut unterstützt: es gab Probleme mit dem Sound des ASUS Boards und den Stromsparfunktionen des Ryzen.
Ein aktueller Kernel hat das behoben. Der Ryzen 7 1700X läuft noch immer auf dem Board von damals in meinem Rechner.
LG
Holger
Hallo Holger,
gut zu wissen. Mich hat es auch interessiert, weil ich mir vorgenommen hatte, sobald mein Ubuntuclient 20.04 „serienreif“ ist (momentan läuft in der Schule noch bionic), zeitnah das upgrade auf 22.04 zu probieren. Dann wäre bis 2027 mal Ruhe.
Viele Grüße
Wilfried
Hallo!
Es ist hier nicht der Ubuntu-Client für die LMN7 gemeint. Ob der linuxclient7 funktioniert habe ich noch nicht probiert.
Es ist ein Ubuntu 22.04 für die Leihgeräte (Schüler und Lehrer). Ich musste den Schritt gehen (obwohl einiges noch nicht geht, z.B. Bildschirm teilen in BBB, weil das bei Wayland generell noch nicht geht und Xorg bei 22.04 einen Fehler wirft), weil wir 4 unterschiedliche Laptopsorten von 4 Herstellern bekommen haben und ich nur so Standby und HDMI-Ausgang zum Laufen bekommen habe.
Wenns einer haben mag, einfach melden 
Man kann sich momentan wöchentlich über neue Features freuen, gerade habe ich entdeckt, dass man rechts oben die Energieeinstellungen direkt vornehmen kann!
Hoffentlich kommt nicht mal ein Feature, dass mir die Lehrergeräte kaltstellt…
LG
Max
Moin,
falls hier auch KDE-User mitlesen: Mit KDE Vaults geht das Verschlüsseln einzelner Verzeichnisse sehr einfach und komfortabel. Ferner kann man dann die verschlüsselten Daten auch mit einer Cloud synchron halten (was bei den entschlüsselten Daten ja weniger sinnvoll wäre). Allein deswegen würde ich kein voll verschlüsseltes Dateisystem nehmen - wie macht man da stressfrei ein Backup?
LG
Andreas
Moin, das klingt sehr sinnvoll.
Aber einerseits sollte auch die Cloud die Daten server-verschlüsselt ablegen und im Idealfall kommst du mit 2FA an deine Daten in der Cloud - und dann wäre ein plaintext-Kopie deiner Daten die zugänglichere Variante (Von jedem sicheren Rechner kommt man an verschlüsselte Daten).
Andererseits hindert den Otto-Normal-Nutzer ja auch nicht das verschlüsselte System (oder nur verschlüsselte Home) zu nutzen und dann zusätzlich verschlüsselte Verzeichnisse oder Container zu erstellen, die dann mit einer (z.B. unverschlüsselten) Cloud gesynct werden.
Ist ein bisschen wie bei einer Kühlkette:
Entweder arbeitest du direkt im Kühllager und schickst die Ware mit Hilfe von Kühlschränken in andere Kühllager, aber sobald du das Kühllager betritts kommst du an dein Dinge. Und es hindert dich niemand daran trotzdem die Dinge zusätzlich im Kühlschrank im Kühllager aufzubewahren.
Oder du arbeitest bei Raumtemperatur und holst dir immer die Dinge aus deinen Kühlschränken und fürs Backup schickst du die Kühlschränke auf die Reise.
NAja, hinkt ein bissl.
Der Punkt aber ist: beim Arbeiten mit Raumtemperatur wird die Ware evtl. unbemerkt schlecht. A.k.a. Daten werden evtl. unverschlüsselt auf dem Rechner abgelegt.
Ich habe Kollegen, die sich fragen, ob empfange Emails per thunderbird dann auch verschlüsselt abgelegt sind, und ich muss bei ~.thunderbird eben passen: ne, ist nicht verschlüsselt, wenn ich nicht das System oder das Home verschlüssele.
Ebenso, was (temporär) Anhänge angeht, die in /tmp/.mozilla.... abgelegt werden.
VG, Tobias
Und noch ein Argument das für Vollverschlüsselung gilt:
Wer mal seinen Laptop weitergeben soll/muss, der sollte dafür sorgen, dass die Daten weg sind. Bei SSD/NVMe ist das m.E. ganz schön schwierig, denn die „Platte“ oder das Filesystem schreibt Daten hin, wo es will und bei einem „zeroing“ löscht es nicht unbedingt tatsächlich die Daten.
Wer sein System vollverschlüsselt, der hat (nahezu) keinen Platz mehr auf der SSD, wo unverschlüsselt DAten liegen können. ODer seh ich das falsch?
VG, Tobias
Hi Holger, kannst du das erklären, oder steht das irgendwo in ASK oder in offiziellen Dokumenten. Bin hier das erste Mal drübergestolpert… man sieht, dass wir uns schon sehr lange nicht mehr gesprochen haben… ich verpasse irgendwie viel.
Hallo Tobias,
Hi Holger, kannst du das erklären, oder steht das irgendwo in ASK oder
in offiziellen Dokumenten.
ich habe irgend wann vor ca. einem Jahr mal gehört, dass es ein
essentieller Unterschied ist, ob der Lehrer ein Dienstgerät (wird vom
Dienstherrn bereitgestellt und supportet) oder ein Leihgerät bekommt.
Nein: leider weiß ich nicht mehr wo das steht oder wer das gesagt hat.
Ich verbreite es aber trotzdem, weil es mir einleuchtet.
Wären es Dienstgeräte, dann müßten wir uns hier nicht darüber
unterhalten, wer das einrichtet und wer den Support macht: dann wäre das
klar.
Wer an seiner Schule Geräte vom Dienstherren direkt an die Kollegen
fertig eingerichtet und mit Supportansprechpartnern bekommt, der kann
die gerne Dienstgeräte nennen: dann ist auch klar, wer die
Datenschutzkonform einzurichten hat.
Wer von irgendwem Palettenweise Geräte bekommt mit einem lapidaren „da
habt ihr sie“ und sich dann selber um provisionierung und Ausgabe
kümmern muss, dem würde ich raten, diese Geräte Leihgeräte zu nennen und
nicht Dienstgeräte (so mach ich das zumindest).
Ich denke nämlich, dass es nicht die Tätigkeit des Endusers ist, die den
Namen des Gerätes definiert sondern andere Dinge
Bin hier das erste Mal drübergestolpert… man
sieht, dass wir uns schon sehr lange nicht mehr gesprochen haben… ich
verpasse irgendwie viel.
… ja, das müssen wir beheben.
Ich denke, wir sollten dieses Jahr unbedingt wieder ein Listengrillen
machen.
25.6 wäre doch ein guter Termin …
LG
Holger
Hallo Holger,
ich kann an dem Samstag nicht 
Klar, man kann den Termin nicht jedem Recht machen. Aber schade, würde euch gerne mal wieder sehen.
Viele Grüße
Steffen
Hallo @martin.res, hallo @dorian ,
ich habe mir jetzt unabhängig von dir, Martin, noch die Mühe gemacht und noch die Verschlüsselung der Leihgeräte mit LUKS durchgezogen. Den Nachteil, den du schreibst: „kann nur ein Benutzer“ habe ich hingenommen, da es sich wirklich um einzel-Verleihen von Geräten geht. Wenn eines zurück geht, kann der/die nächste sich das einrichten. Daher habe ich beschlossen das über zwei Partitionen zu regeln: „tmp“ für das TMP-Verzeichnis und /var/tmp wie bei dir und „/home/user“ für den User.
Entscheidend ist die (1) Vorbereitung der Partitionen und eben noch ein paar Kleinigkeiten um einen lokalen User sich einloggen zu lassen und (2) ein turnkey-Skript, das die Verschlüsselung erstellt und das Einbinden des verschlüsselten User-Homes macht.
Momentan macht das bei mir pam_mount.
Jetzt kommt eventuell @dorian ins Spiel:
Hier mal zwei Beispiele in Aktion (erster Versuch nochmal gelöscht, weil der admin.key fehlt)
Ich würde mich freuen, wenn wir die Version von Martin oder mir in linuxmuster-linuxclient7 einbauen könnten, so dass das jeder einrichten kann.
Hier noch mein Skript inkl. Desktop-Datei: linuxmuster-privateaccount-turnkey.tgz (3,2 KB)
Und ich habe es auf der Wikiseite noch dokumentiert: anwenderwiki:linuxclient:home_verschluesselung [CommunityWiki]
VG, Tobias
Hallo Tobias,
warum willst Du den linuxmuster-linuxclient auf den Leihgeräten haben? Eigentlich braucht man den doch nicht, oder willst Du in der Schule dann die Serverhomes mounten lassen?
Meine Sorge wäre hier, dass wenn es Updates gibt, irgendwas nicht mehr geht, was man normalerweise mit einem neuen Image löst, aber das geht ja bei diesen Geräten nur schwierig.
Ich hätte ein Ubuntu 22.04 für den Zweck, wenn Du magst…
LG
Max
Morgen!
Oh, danke für das abermalige Angebot, und wenn mein Ansatz scheitert, dann komm ich auf dein Angebot zurück.
Aber: ja ich will dasselbe image wie in der Schule, sonst ist das für manche Lehrer ja kein Vorteil.
Ich habe meinen Lehrern angekündigt: sie können entweder selbst updates machen, oder sie stöpseln ab und zu ihren Rechner ins grüne Netz (jeder hat einen eigenen Adapter) und kriegen ein neues Image mit update.
Das home-Verzeichnis bleibt davon unberührt.
Es fehlt daher nur noch ein „leihgeräte“-switch, so dass das Image weiß, dass der Lehrer z.B. seinen offline-Nutzer behalten kann. Ich gebe zu, das habe ich noch nicht ganz durchdacht, weil im Image ja /etc/passwd und /etc/shadow und /etc/group definitiv drin sind…Aber das lässt sich ja lösen: Es sind sicher nur ein paar wenige Dateien, die im Falle eines „Leihgeräte“-Switch-on anders sind als in allen anderen Fällen.
Und mir geht es auch nicht um den linuxmuster-linuxclient7 an sich. Die Funktionalität von server-homes usw. sollte man auch deaktivieren können. Mir ging es um die neue Funktionalität: offline-user ordentlich einrichten zu können und zu aktivieren / deaktivieren.
VG, Tobias
