Bei einer näheren Kontrolle wird jedoch die verschlüsselte Partition gefunden werden. Die Verschlüsselung selbst ist zwar so stark wie Ihr Login-Passwort, in der Praxis entscheidet über die Knackbarkeit der Verschlüsselung aber die Tiefe der “Kryptanalyse” des bereisten Staates: Wer Länder bereist, die Gartenschlauch-Kryptanalyse betreiben, sollte ein aufwendigeres Verschlüsselungsmodell mit geschachtelten Containern (TrueCrypt) verwenden, welches allerdings umständlicher zu nutzen ist.

Software-Installation und Vorbereitung der Partition

Zunächst muss etwas Software nachinstalliert werden:

sudo apt-get install cryptsetup libpam-mount

Rebooten Sie anschließend, um sicherzustellen, dass alle Bibliotheken richtig geladen werden.

Nun geht es um die Identifikation der Partition. Prüfen Sie mit fdisk -ul die Partitionierung des Ziellaufwerkes und stellen Sie sicher, dass es nicht gemoutet ist. Mein Ziellaufwerk war die im Kartenslot steckende SD-Karte, deren erste Partition ich mit fdisk mit einer normalen Linux-Partition versah. Hier die Partitionierung:

Platte /dev/sdb: 4029 MByte, 4029677568 Byte
233 Köpfe, 63 Sektoren/Spuren, 536 Zylinder, zusammen 7870464 Sektoren
Einheiten = Sektoren von 1 × 512 = 512 Bytes
Disk identifier: 0x00000000

   Gerät  boot.     Anfang        Ende     Blöcke   Id  System
/dev/sdb1              63     7867943     3933940+  83  Linux

Verschlüsseln der Zielpartition

Zunächst sollten die ersten Megabyte der Zielpartition mit Zufallszahlen überschrieben werden. In diesem Bereich sitzen später die LUKS-Schlüssel, die sich nicht von den umgebenden Daten abheben sollten:

sudo dd if=/dev/urandom of=/dev/sdb1 bs=1M count=2

Im nächsten Schritt wird die Verschlüsselung der Partition vorbereitet. Sie erhält noch kein Dateisystem. Geben Sie das Passwort an, welches später als Login-Passwort verwendet werden wird:

sudo cryptsetup luksFormat -c aes-cbc-essiv:sha256 -s 256 -y /dev/sdb1

Mit dem Subkommando luksOpen wird die verschlüsselte Partition als Gerätedatei verfügbar gemacht. Ich verwendete /dev/mapper/mattias, weil die verschlüsselte Partition mein Heimatverzeichnis aufnehmen soll.

sudo cryptsetup luksOpen /dev/sdb1 mattias

Eine verschlüsselte Partition sollte möglichst kein Muster erkennen lassen und keine Reste der früher enthaltenen unverschlüsselten Daten aufweisen. Recht pragmatisch ist es daher, Nullen als Eingabe zu nutzen, die verschlüsselt ein scheinbar zufälliges Muster ergeben. Wenn nicht große Teile des Ziellaufwerkes mit Daten belegt werden, erleichtert die Kenntnis der Plaintext-Daten (hier der Ansammlung von Nullen) das Knacken des Schlüssels. Um auf Nummer sicher zu gehen können Sie statt /dev/zero daher /dev/urandom als Eingabedatenstrom verwenden — allerdings dauert dann das “randomisieren” deutlich länger:

sudo dd if=/dev/zero of=/dev/mapper/mattias bs=8192

Nun endlich kann die verschlüsselte Partition mit einem Dateisystem versehen und gemountet werden:

sudo mkdir /tmp/home_mattias
sudo mkfs.ext3 /dev/mapper/mattias
sudo mount /dev/mapper/mattias /tmp/home_mattias

Kopieren der Daten

Damit sichergestellt ist, dass keine meiner Dateien geöffnet sind, habe ich zunächst ein Root-Passwort vergeben, rebootet und mich dann auf einer Konsole ([Strg]+[Alt]+[F2]) als Root angemeldet:

sudo passwd

Das Kopieren der Dateien erledigt nun rsync, fancy zum Zuschauen, “trailing slashes” nicht vergessen:

rsync -avHP /home/mattias/ /tmp/home_mattias/

Nun können die Überreste des unverschlüsselten Heimatverzeichnisses auf der Systempartition gelöscht werden. Nach dem Aushängen des Dateisystems muss übrigens die verschlüsselte Gerätedatei abgemeldet werden — sonst droht Datenverlust:

umount /tmp/home_mattias/
cryptsetup luksClose mattias
rm -rf /home/mattias
mkdir /home/mattias
chown -R mattias:mattias /home/mattias

Sollte die Gefahr bestehen, dass sensible Daten zurückgeblieben sind, nullen Sie einfach die freien Festplattenbereiche:

dd if=/dev/zero of=/home/nix.nul bs=8192
sync
rm /home/nix.nul

Konfiguration von pam_mount

Zuerst müssen die “Pluggable Authentication Modules” konfiguriert werden. Um “pam_mount” zu aktivieren genügt es, an die Datei /etc/pam.d/common-session die folgende Zeile anzuhängen:

@include common-pammount

Im nächsten Schritt wird die Datei /etc/security/pam_mount.conf.xml angepasst, damit beim Login die Partition mit dem verschlüsselten Heimatverzeichnis gemountet wird. Mit nur einem Volume sah der Dateianfang bei mir so aus — relevant ist vor allem die mit <volume ... beginnende Zeile:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
	See pam_mount.conf(5) for a description.
-->
<pam_mount>
<!-- Volume definitions -->
<volume user="mattias" fstype="crypt" path="/dev/sdb1" mountpoint="/home/mattias" options="fsck" />
<!-- pam_mount parameters: General tunables -->

That’s it! Nun noch einmal rebooten und per Passwort mit dem neuen verschlüsselten Heimatverzeichnis einloggen.

Feintuning zum Schluss

Der verschlüsselte User ist wertlos, wenn es sich um den einzigen Nutzer handelt. Ich habe daher einen zusätzlichen Nutzer ms mit einfachem Passwort angelegt. Diesem User habe ich Zugangsdaten zu oft von mir benutzten WLANs und einen Satz sinnvolle Bookmarks verpasst. Da dieser Nutzer auch dazu dienen soll, Gäste surfen zu lassen, ohne dass die SDD des EeePC vollläuft, habe ich mich für einen kleinen Trick mit dem temporären Dateisystem entschieden. Zunächst wird /tmp auf ein tmpfs gelegt, was ein Eintrag in der /etc/fstab bewerkstelligt:

tmpfs   /tmp            tmpfs   defaults        0       0

Nun sorgt ein kleines Script /etc/init.d/sync-dummy.sh dafür, dass der Inhalt des von /home/ms nach /home/ms.bak verschobenen Heimatverzeichnisses des Dummy-Users beim Systemstart nach /tmp kopiert wird:

#!/bin/bash
case $1 in
        start )
                rsync -avHP /home/ms.bak/ /tmp/home_ms/
        ;;
esac

Das Script muss jetzt noch ausführbar gemacht und im Runlevel 2 verlinkt werden:

chmod a+x /etc/init.d/sync-dummy.sh
cd /etc/rc2.d
ln -s ../init.d/sync-dummy.sh S95sync-dummy

Damit beim Login auch wirklich das auf tmpfs liegende Heimatverzeichnis verwendet wird, müssen die Pfade in der /etc/passwd noch angepasst werden. Da sich möglicherweise in einigen Konfigurationsdateien harte Referenzen auf /home befinden, ist es ratsam, das alte Heimatverzeichnis durch einen Softlink zu ersetzen:

cd /home/
ln -sf /tmp/home_ms ms

Weiter gedacht

Mit Sicherheit ist die vorgestellte Methode nicht die simpelste. Wenn es schnell gehen soll, dürfte die simple Auswahl eines verschlüsselten Heimatverzeichnisses bei der Installation am ehesten befriedigende Resultate bringen. Vorteil der hier vorgestellten Methode ist jedoch, dass die SD-Karte mit dem Heimatverzeichnis nicht im Netbook verbleiben muss, das Gerätchen funktioniert dennoch unverdächtig. Sollte dann beispielsweise der Zoll den EeePC konfiszieren, werden die Forensiker schnell feststellen, dass die — hoffentlich gut versteckte — SD-Karte fehlt. Und was nicht da ist, kann keiner Kryptanalyse unterzogen werden.

In vielen Fällen ist es mit dem Heimatverzeichnis nicht getan. Wer eine Swap-Partition verwendet, sollte diese auch verschlüsseln oder auf Swap-Dateien auf einem verschlüsselten Datenträger umstellen. Zudem schreiben einige Programme temporäre Daten nach /var/tmp, in diesem Fall sollten Sie auch dieses Verzeichnis auf ein tmpfs legen.

Zu bedenken ist zudem, dass die Wiederherstellung eines defekten Datenträgers schwieriger wird. Ist der LUKS-Header beschädigt, kann das Recovery gänzlich verunmöglicht werden.

Paranoiker dürfte das hier vorgestellte Verfahren nicht befriedigen, weil ich die Existenz einer verschlüsselten SD-Karte gar nicht zu verbergen versuche. Wer ganz sicher gehen möchte, belässt daher das sperrige Xandros auf dem EeePC, bootet sein mit TrueCrypt versehenes Ubuntu komplett von SD-Karte und verwendet einen inneren Container in einem äußeren verschlüsselten Container. Im Falle von Folter gibt er das Passwort des äußeren Containers preis, in dem unverdächtige Dateien und ein paar Dummy-SSH-Schlüssel liegen. Die wirklich privaten Dateien liegen im inneren Container.

Teilen sich mehrere Nutzer (die einander vertrauen) ein Netbook, kann es sinnvoll sein, einen gemeinsamen Container für das gesamte /home zu verwenden. Statt user kommt dann group in der /etc/security/pam_mount.conf.xml zum Einsatz und ein zweiter der acht Passwort-Slots wird für das Passwort des zweiten Nutzers belegt.

Links

• Tutorial “Encryption” auf Blueimp.net — eine große Inspiration für mein Tutorial
• Tutorial “Verschlüsselter Speicherstick”
• Tutorial “TrueCrypt: Hidden volumes unter Linux”
• “Crossing Borders with Laptops and PDAs” — von Bruce Scheier
• Manualpage pam_mount.conf
• Manualpage pam_mount

Das perfekte Netbook-Setup

1. Installation von Ubuntu/Xubuntu 8.10
2. /home reisetauglich verschlüsselt

Vorbereitung des USB-Sticks

Die Vorbereitung des USB-Sticks kann sowohl unter Linux als auch unter Windows stattfinden. Für die Installation von USB-Stick habe ich eine ZIP-Datei mit Bootdateien und dem ISO-Image vorbereitet, die bei der einfachen Vorbereitung des Sticks hilft. Laden Sie das Archiv xubuntu-8.10-alternate-20081031-i386.usb.zip (alternativ: ubuntu-8.10-alternate-20081031-i386.usb.zip)herunter und entpacken Sie dieses.

Vorbereitung unter Windows

1. Für Windows habe ich eine Batchdatei beigepackt, die Sie mit Administratorrechten ausführen müssen, da sie den Master-Boot-Record des Sticks und die Partitionstabelle verändert. Während unter Windows XP Home meist ein Doppelklick genügt, um die Datei zu starten, ist es unter Windows Vista am besten, im Startmenü unter Zubehör die Eingabeaufforderung zu suchen und diese mit dem Kontextmenüeintrag “Als Administrator starten” auszuführen. Wechseln Sie dann mit cd xubuntu... in den Ordner, der die makeboot.bat enthält und starten Sie diese.

2. makeboot.bat fragt nun nach dem Laufwerksbuchstaben des Sticks. Geben Sie diesen ohne Doppelpunkt ein und drücken Sie die Eingabetaste. Jetzt wird der Syslinux-Bootloader geschrieben.

3. Kopieren Sie nun den Inhalt des Ordners stick/ ins Wurzelverzeichnis des USB-Sticks.

Vorbereitung unter Linux

1. Unmounten Sie den Stick, falls er gerade gemountet ist. Im Zweifel zeigt der Befehl mount eingehängte Geräte an.

2. Lassen Sie sich mit sudo fdisk -ul anzeigen, welche Gerätedatei der Stick hat und ob er als aktiv/bootfähig markiert ist (Sternchen im Screenshot). Zudem muss das Dateisystem FAT16 oder FAT32 sein. Sollte der Stick nicht aktiv/bootfähig sein oder das falsche Dateisystem verwenden, nutzen Sie das Partitionierungstool Ihrer Wahl, um dies zu ändern.

3. Entpacken Sie das beiliegende Syslinux-Archiv und schreiben Sie den Bootsektor (hier ist der Stick /dev/sdx):

   tar xvjf syslinux-3.55.tar.bz2
   sudo su
   cat syslinux-3.55/mbr/mbr.bin > /dev/sdx

4. Es folgt das Schreiben des Syslinux-Loaders, hier ist wieder die Gerätedatei der Bootpartition (meiste die erste und einzige Partition auf dem Stick anzugeben):

   sudo su
   ./syslinux-3.55/unix/syslinux /dev/sdx1

5. Auch unter Linux dürfen Sie das Kopieren des Inhaltes des Ordners stick/ ins Wurzelvereichnis nicht vergessen. Verwenden Sie rsync oder Ihren Dateimanager.

Start der Installation

Falls Sie noch nie versucht haben, das Netbook von USB zu starten: Fahren Sie es ganz herunter, trennen Sie es von der Stromversorgung und entfernen Sie den Akku. Das beugt einigen BIOS-Problemen vor. Nach Einsetzen des Akkus, Anstecken der Stromversorgung und Anstöpseln des USB-Sticks schalten Sie das Netbook ein. Sobald der erste BIOS-Bildschirm zu sehen ist, müssen Sie reagieren und die Auswahltaste fürs Bootmenü drücken: [ESC] bei den meisten EeePCs und [F11] beim Akoya Mini und vielen weiteren — andere Subnotebooks nutzen unter Umständen [F2], [F3], [F8], [F9], [F10] oder [Fn] + [F1]. Es sollte nun eine Boot-Auswahl sichtbar sein, in welcher der USB-Stick mit den Pfeiltasten angewählt werden kann.

Nach Auswahl des Sticks erscheint das Xubuntu-Bootmenü. In der Regel ist eine der beiden ersten Bootoptionen am besten geeignet. Die Option “Install Xubuntu on EeePC or MSI Wind” setzt den Kernelparameter clocksource=hpet, der bei vielen Netbooks mit aktuellen Intel-Chipsätzen (Stand November 2008) den Start erheblich beschleunigt.

Sollte die Installation mit Darstellungsfehlern starten, resetten Sie den Rechner und ändern Sie im Ubuntu-Bootmenü mit der Tab-Taste die Bootzeile ab. Hängen Sie entweder vga=785 (Display mit 480px Höhe) oder vga=788 (Display mit 600px oder mehr Höhe) an. Das “Gleichzeichen” sollte auf dem Apostroph (links neben Backspace) liegen.

Partitionierung

Es steht nun die Partitionierung an. Grundsätzlich ist diese von der späteren Nutzung abhängig, so dass die folgenden Vorschläge nicht als allgemeinverbindlich betrachtet werden können.

Netbook mit SSD oder Installation auf SD-Karte

Bei Netbooks mit einer SSD sollten Sie die kleinen BIOS- und FAT-Partitionen belassen. Löschen Sie die anderen Partitionen und legen Sie in diesem Bereich eine große EXT3-Partition mit dem Mountpoint / (Root-Filesystem) an. Einzige zusätzliche Mount-Option ist noatime, zudem habe ich die Zahl der reservierten Blöcke deutlich reduziert (1% oder 2%). Später kann man kleinere Tuning-Maßnahmen gegen Flash-Wear (etwas esoterisch vornehmen). Auf eine Swap-Partition sollten Sie verzichten — nicht wegen des Verschleisses, sondern aufgrund des Platzbedarfs. Benötigt man einmal Swap, kann man eine Swap-Datei verwenden und diese später wieder löschen.

Bei Netbooks mit mehreren SSDs ist es oft sinnvoll, auf der ersten SSD das Betriebssystem einzurichten und die zweite SSD komplett leer zu machen. Sollte die erste interne SSD 8GB haben und die zweite 4GB, liegt es nahe, die Betriebssysteminstallation auf der SSD mit 4GB vorzunehmen. Dies könnte allerdings zur Folge haben, dass man zunächst mit dem Bootauswahlmenü starten und ggf. später GRUB neu in den Bootsektor der ersten SSD schreiben muss. Bitte in den Kommentaren vermerken, wenn dieser Effekt auftritt.

Auf die reisetaugliche Nutzung einer noch freien SSD als verschlüsselte Home-Partition gehe ich später ein. Bei der Installation kann die zweite SSD zunächst leer bleiben.

Netbook mit Festplatte

Bei Netbooks mit Festplatte könnte sogar ein vorhandenes Windows auf Platte bleiben. Ich habe alle Partitionen gelöscht, eine 20GB große Partition für / (Root-Filesystem) (EXT3) und eine 4GB große Swap-Partition (doppelter Arbeitsspeicher angelegt). Den Rest der Platte (die 80GB-Platte des Akoya ist mittlerweile einer 160GB-Platte gewichen) lies ich zunächst frei. Ich werde ihn später für eine verschlüsselte Home-Partition und eine Datenpartition (Videos und MP3s für unterwegs) einteilen.

Installation

Keine besonderen Vorkommnisse: Die Installation läuft zumindest bei den Netbooks mit Intel-Grafik und Chipsatz sauber durch, wenigstens die Ethernetkarte wird von Ubuntu 8.10 erkannt und die Bildschirmauflösung wird richtig gesetzt.

Nachinstallation von Software

So schön Xubuntu mit XFCE ist, es fehlen doch einige Sachen. Nachinstalliert habe ich deshalb zunächst:

• vlc
• openoffice.org
• msttcorefonts
• flashplugin-nonfree
• rhythmbox
• cheese
• build-essential

Am einfachsten geht das in einem Terminalfenster mit:

sudo apt-get update && sudo apt-get upgrade && sudo apt-get install \
vlc openoffice.org msttcorefonts flashplugin-nonfree rhythmbox cheese build-essential

Feinheiten nach der Installation

1. Bei EeePC 701 und EeePC 900 wird die Soundkarte nicht richtig initialisiert. Hierfür mit gedit oder mousepad die Alsa-Treiber-Konfiguration öffnen

   sudo mousepad /etc/modprobe.d/alsa-base

   und einfügen:

   options snd-hda-intel model=3stack-dig (EeePC 701) bzw.
   options snd-hda-intel model=auto (EeePC 900)

2. Zumindest beim EeePC 701 (wahrscheinlich auch beim 900 und einigen anderen) wird der Soundtreiber nicht richtig geladen und beim Herunterfahren nicht richtig entladen. Ich habe mir mit einem kleinen Script geholfen, das den Treiber entlädt. Editieren wieder mit Mousepad:

   sudo mousepad /etc/init.d/unload-sound.sh

   Das Script:

   #!/bin/bash
   case $1 in
           stop )
                   echo 'Unloading sound drivers...'
                   /sbin/rmmod snd-hda-intel
           ;;
           * )
                   echo 'This script is just for unloading sound drivers!'
                   echo 'Run with the parameter "stop"!'
           ;;
   esac

   Das Script muss beim Shutdown aktiviert werden:

   sudo su
   chmod a+x /etc/init.d/unload-sound.sh
   cd /etc/rc0.d
   ln -s ../init.d/unload-sound.sh S35unload-sound
   cd ../rc6.d
   ln -s ../init.d/unload-sound.sh S35unload-sound

3. Wenn das Netbook extrem langsam bootet, muss die “clocksource” angepasst werden. Dazu die Datei /boot/grub/menu.lst öffnen (mit mousepad oder gedit wie oben) und dort die an die Zeile mit # defoptions... anfügen:

   clocksource=hpet

   Das Ergebnis sah bei mir so aus:

   # defoptions=quiet splash clocksource=hpet

   Nach Anpassung der defoptions bitte einmal sudo update-grub aufrufen.

WLAN-Treiber

Während die verwendeten Ethernet-Chipsätze bei allen mir bekannten Netbooks vom bei Ubuntu 8.10 mitgelieferten Kernel 2.6.27 tadellos unterstützt werden, sieht die Lage bei WLAN-Chipsätzen nicht ganz so rosig aus. Grund sind teils wieder aus dem Distributionskernel entfernte Treiber. Hier die beiden am häufigsten anzutreffenden Chipsatzfamilien:

Atheros AR5005/6/7 und AR242x

In EeePC 701 und 900 ist der Atheros AR5005/6/7 verbaut, während der 900A mit dem AR242x kommt. Theoretisch wird Atheros AR5005/6/7 vom im Kernel enthaltenen Modul ath5k unterstützt, dieses wurde jedoch im Zuge der Finalisierung von Ubuntu 8.10 deaktiviert. AR242x erfordert das von Madwifi bereitgestellte Modul ath_pci. Für die Installation der Debian-Sid-Version des Madwifi-Treibers habe ich ein kleines Shellscript erzeugt, das den Treiber installiert:

sudo su
wget -O - http://eeepc.mattiasschlenker.de/inst-ath.sh | bash

Bitte teilen Sie mir mit, ob diese Version von ath_pci auch auf dem EeePC 900A funktioniert!

Ralink RT2860

Im Medion Akoya Min E1210 sowie EeePC 901, 1000H und wahrscheinlich weiteren Geräten von Asus befindet sich der Ralink RT2860STA. Für diesen Chipsatz bietet Ralink einen Treiber an, der Open Source ist, aber der Kernelversion oft ein paar Wochen hinterherhinkt. Da zudem eine Konfiguration angepasst werden muss, habe ich auch für diesen Treiber ein Shellscript zu Installation erstellt:

sudo su
wget -O - http://eeepc.mattiasschlenker.de/inst-ralink.sh | bash

Da Linus Torvalds selbst ein Netbook mit besagtem Chipsatz benutzt, stehen die Chancen gut, dass der Ralink-Treiber bereits mit 2.6.28 oder 2.6.29 den Weg in den offiziellen Kernel findet.

Und wie geht es weiter?

Wegen einer anstehenden Reise bin ich in Zugzwang, wenigstens den zweiten Teil zum Einrichten eines verschlüsselten Heimatverzeichnisses noch in der ersten Novemberwoche zu schreiben. Done!

Das perfekte Netbook-Setup

1. Installation von Ubuntu/Xubuntu 8.10
2. /home reisetauglich verschlüsselt