Linuxclient7 veracrypt

wilfried · 11. Februar 2022 um 18:21

Hallo,

ich habe heute eine Lösung für veracrypt versucht und folgendes probiert:

Das erste Problem war, dass Veracrypt sudo braucht, aber ein Eintrag der teacher in die Datei /etc/sudoers leider dazu führt, dass sich die Lehrer im Folgenden nicht mehr einloggen können, wie von Holger hier beschrieben:

Also habe ich, wie in dem thread von Dorian vorgeschlagen, eine Datei

/etc/sudoers.d/98-linuxmuster-linuxclient7

mit folgendem Inhalt angelegt:

%role-teacher ALL=(root) ALL

Danach kann man sich einloggen und mit veracrypt arbeiten, muss sich allerdings einmal mit seinem Passwort legitimieren.
Das zweite Problem war etwas hartnäckiger: Der entschlüsselte Container blieb als Laufwerk auch für nochfolgende User sichtbar, auch wenn diese nicht darauf zugreifen konnten. Die Lösung habe ich hier gefunden:

Was Dorian hier mit Bedauern erwähnt, passt in diesem Fall. Ich habe eine Datei

/etc/linuxmuster-linuxclient7/onLogoutAsRoot.d/veracrypt.sh

mit folgendem Inhalt angelegt:

#!/bin/bash
/usr/bin/veracrypt --dismount

Die sorgt dafür, dass beim logout das veracrypt-Laufwerk sauber ausgehängt wird.
Vielleicht hat jemand von euch eine einfachere Lösung?

Viele Grüße

Wilfried

S.Senft · 20. Juni 2022 um 09:39

Hallo,

gibt es mitlerweile jemanden, der veracrypt auf seinem Linuxclient so zum Laufen gebracht hat, dass alle Benutzer es nutzen können, ohne dass alle dann root-Rechte für alles haben?

Gruß
Stefan

hoches · 20. Juni 2022 um 09:51

Hallo Stefan.

Mit dem letzten Parameter bei jedem Benutzer / jeder Gruppe, Also root ALL = (ALL:ALL) ALL das letzte „All“, kann man definieren für welche befehle / Skripte die Ausführung als Sudo erlaubt werden
wenn da jetzt z.b. Steht

%users ALL=(root) /usr/local/bin/veramount.sh

Dann darf nur für dieses veramount.sh sudo angewendet werden.

Viele Grüße
Der Hoches

S.Senft · 20. Juni 2022 um 22:40

Hallo Kevin,

Danke für den Hinweis!

Mit Holgers Hinweis, müsste es dann wohl so aussehen, wenn man den Lehrer veracrypt erlauben will:

visudo /etc/sudoers.d/99-linuxmuster-linuxclient7

%role-teacher	ALL=(root) NOPASSWD: /usr/bin/veracrypt
%role-student ALL=(root) NOPASSWD: /usr/share/linuxmuster-linuxclient7/scripts/sudoTools
%role-teacher ALL=(root) NOPASSWD: /usr/share/linuxmuster-linuxclient7/scripts/sudoTools
%role-schooladministrator ALL=(ALL:ALL) NOPASSWD: ALL
%role-globaladministrator ALL=(ALL:ALL) NOPASSWD: ALL

Nach etwas Recherche habe ich allerdings bemerkt, dass es wohl keinen wirklich sichern Weg gibt veracrypt unter Linux einzusetzen, da es um zu funktionieren immer erlaubt sein muss, ein Dateisystem mit Root-Rechten zu nutzen.

Und auch lehrerfortbildung-bw.de schränkt die Empfehlung zum Gebrauch so ein, dass man es höchstens noch am privaten Computer einsetzen soll und das auch nur mit Vorsichtmaßnahmen:

https://lehrerfortbildung-bw.de/st_digital/medienwerkstatt/dossiers/sicherheit/stickcrypt/vc/2config/linuxconfig/

Hat jemand eine Ahnung, ob es ohne zu großen Aufwand sicher eingesetzt werden kann, wenn man es in einer Sandbox zum Laufen bekommt - z.B. mit Firejail? Damit kenne ich mich noch gar nicht aus.

Gruß
Stefan

irrlicht · 21. Juni 2022 um 05:21

Morgen,
aus meiner Sicht sind die Schuelerrechner sowieso Kanonenfutter, gelten fuer mich per Definition als kompromitiert, da diese ja auf vielen Wegen uebernommen werden koennen. Ob das jetzt ein Boot-USB-Stick ist, einer der regelmaessigen Kernelexploits oder was auch immer. Den USB-Stick zieh ich ja nach der Nutzung auch wieder raus.

Ich sehe da keine grossen Probleme, wenn ich an Rechnern in PC-Raeumen arbeite, dann „mounte“ ich da grundsaetzlich keine sensiblen Devices und mache von dort auch keine ssh-Sitzungen auf Server mit schuetzenswertem Inhalt.
Gruss Harry

maxEG · 21. Juni 2022 um 10:10

… zumal man das auch definitiv gar nicht darf… Nur so als Reminder
LG
Max

Till · 21. Juni 2022 um 12:59

„Generell“ spricht ja nichts dagegen diese Logout Hook als Root laufen zu lassen und darüber hinaus den Befehl mit Sudo Rechten für alle Nutzer oder Teacher freizugeben.

So kann ich unter sysvol einfach in den Serverseitigen Startscripten einfach so etwas hier reinschreiben:

    #!/bin/bash
    validRooms="nb"
    for room in $validRooms; do
      if [ "$room" = "$Computer_sophomorixComputerRoom" ]; then
        if ! cat /etc/sudoers.d/99-linuxmuster-linuxclient7 | grep "%role-teacher ALL=(ALL:ALL) ALL" ; then
          # write teachers permission in first line so nopasswd for linuxmuster-linuxclient7 tools overrides need for password
          sed -i '1s/^/%role-teacher ALL=(ALL:ALL) ALL\n/' /etc/sudoers.d/99-linuxmuster-linuxclient7
        fi
      fi
    done

Und mit einmal haben Lehrer jegliches Sudo Recht in diesem Raum. Mit den Informationen hier im Thread kann man das natürlich noch anpassen und das ALL durch das Veracrypt Mount Kommando oder ein eigenes Script anpassen.