Warum man eCryptFS nicht benutzen will
Als ich vor 2 Jahren meinen Laptop gekauft habe, habe ich mich dafür entschieden, aus Performance-Gründen nicht die gesamte Platte sondern nur mein /home zu verschlüsseln. Da kam mir eCryptFS, welches ganz gut in Ubuntu integriert ist, gerade recht. Denn das verschlüsselt nicht das gesamte Dateisystem, sondern nur den Dateiinhalt und die Dateinamen, und wird automatisch beim Login entschlüsselt. So kann man zwar „Metadaten“ wie freien Speicher und Dateigrößen herausfinden, aber das bringt – meines Erachtens – niemandem was.
Nun machte ich gestern Abend meinen Laptop an (das erste Mal auf meinem neuen Schreibtisch! ☺) und wurde von einem Ubuntu Standard-Desktop begrüßt. Kein gewohntes Panel, kein geliebtes Hintergrundbild. Und auch kein /home. Das Übel war, dass ich einen eigenen Kernel benutze und Ubuntu eine Option zum mount-Aufruf von eCryptFS hinzugefügt hat, die dieser Kernel nicht kannte. Okay, das konnte man ja rausfinden und beheben.
Schlimm wurde es dann mit dem richtigen Kernel. Denn der kurze Ausflug in dem unkonfigurierten Desktop hat einige Konfigurationsdateien angelegt, die dann selbst bei korrekt entschlüsseltem /home meine eigentliche Konfiguration überlagerten, sodass ich trotzdem von einem Standard-Desktop konfiguriert wurde und Firefox keine History oder Bookmarks geschweige denn Passwörter hatte.
Fast schon panisch war ich dabei, das Backup aufzumachen (mist, das letzte war natürlich schon 3 Tage her), bis mir auffiel, dass auch einige Standardordner (Videos, Bilder etc.) doppelt vorhanden waren. Während ich den falschen einfach mit rmdir löschen konnte, wurde dadurch der „dahinter“ liegende eigentliche Ordner wieder benutzbar. Ein Phänomen, das für sich genommen schon spannend genug ist, da Linux eigentlich keine 2 gleichnamigen Dateien in einem Verzeichnis kann…
Also konnte ich mir einen langwierigen Restore-Prozess aus dem Backup sparen und musste mir nur einen Ruck geben, wirklich rm -rf .gconf auszuführen.
Dennoch: Bei meinem neuen Laptop wirds garantiert eine LUKS-Vollverschlüsselung. Nicht zuletzt, weil ich extra das Geld investieren will um AES-NI zu haben.