Verwenden Sie YaST zur Verschlüsselung von Partitionen oder Teilen Ihres Dateisystems bei der Installation oder in einem bereits installierten System. Das Verschlüsseln einer Partition in einem bereits installierten System ist jedoch schwieriger, da Sie hierbei die Größe der bestehenden Partitionen bzw. die Partitionen selbst ändern müssen. In solchen Fällen ist es oft einfacher, eine verschlüsselte Datei mit einer festgelegten Größe zu erstellen, in der andere Dateien oder Teile des Dateisystems verwahrt werden können. Zum Verschlüsseln einer gesamten Partition legen Sie eine zu verschlüsselnde Partition im Partitionsschema fest. Die Standardpartitionierung, wie sie YaST bei der Installation vorschlägt, sieht keine verschlüsselte Partition vor. Sie müssen sie im Partitionsdialogfeld manuell hinzufügen.
ACHTUNG: Passworteingabe
Merken Sie sich das Passwort für Ihre verschlüsselten Partitionen. Ohne dieses Passwort haben Sie keine Möglichkeit, auf die verschlüsselten Daten zuzugreifen oder diese wiederherzustellen.
Das YaST-Expertendialogfeld für die Partitionierung bietet die Möglichkeit zum Anlegen einer verschlüsselten Partition. Zum Erstellen einer neuen verschlüsselten Partition gehen Sie wie folgt vor:
Wählen Sie im YaST-Kontrollzentrum aus, um das Partitionierungsprogramm von YaST zu starten.
Klicken Sie auf und wählen Sie eine primäre oder eine logische Partition aus.
Wählen Sie das gewünschte Dateisystem, die Größe und den Einhängepunkt für die Partition aus.
Wenn das verschlüsselte Dateisystem nur bei Bedarf eingehängt werden soll, aktivieren Sie die Option im Dialogfeld .
Aktivieren Sie das Kontrollkästchen .
Klicken Sie auf . Sie werden zur Eingabe eines Passworts zur Verschlüsselung dieser Partition aufgefordert. Das Passwort wird nicht angezeigt. Um auszuschließen, dass Sie sich bei der Eingabe verschrieben haben, müssen Sie das Passwort ein zweites Mal eingeben.
Schließen Sie den Vorgang mit ab. Die neue verschlüsselte Partition wird nun erstellt.
Wenn Sie das Kontrollkästchen deaktiviert gelassen haben, wird das Passwort beim Starten des Computers vor dem Einhängen der Partition abgefragt. Nach dem Einhängen steht die Partition allen Benutzern zur Verfügung.
Um das Einhängen der verschlüsselten Partition während des Starts zu überspringen, drücken Sie die Eingabetaste, wenn Sie aufgefordert werden, das Passwort einzugeben. Verneinen Sie anschließend die Nachfrage, ob Sie das Passwort erneut eingeben möchten. Das verschlüsselte Dateisystem wird in diesem Fall nicht eingehängt, das Betriebssystem setzt den Boot-Vorgang wie gewohnt fort und blockiert somit den Zugriff auf Ihre Daten.
Um auf eine verschlüsselte Partition zuzugreifen, die während des Bootens nicht eingehängt wird, hängen Sie die Partition manuell ein, indem Sie mount name_of_partition mount_point eingeben. Geben Sie das Passwort auf Aufforderung ein. Wenn Sie die Partition nicht mehr benötigen, hängen Sie sie mit umountName_der_Partition aus. So verhindern Sie, dass andere Benutzer auf die Partition zugreifen können.
Wenn Sie Ihr System auf einem Computer installieren, auf dem bereits mehrere Partitionen vorhanden sind, können Sie auch entscheiden, während der Installation eine bestehende Partition zu verschlüsseln. Befolgen Sie in diesem Fall die Anweisungen unter Abschnitt 40.1.2, Einrichten einer verschlüsselten Partition im laufenden System und bedenken Sie, dass durch diese Aktion alle Daten in der bestehenden Partition, die Sie verschlüsseln möchten, gelöscht werden.
ACHTUNG: Aktivieren der Verschlüsselung auf einem laufenden System
Das Erstellen verschlüsselter Partitionen ist auch auf einem laufenden System möglich. Durch das Verschlüsseln einer bestehenden Partition werden jedoch alle darin enthaltenen Daten gelöscht und die bestehenden Partitionen müssen in der Größe verändert und neu strukturiert werden.
Wählen Sie auf einem laufenden System im YaST-Kontrollzentrum die Option . Klicken Sie auf , um fortzufahren. Wählen Sie im die zu verschlüsselnde Partition aus und klicken Sie auf . Führen Sie alle verbleibenden Schritte wie in Abschnitt 40.1.1, Anlegen einer verschlüsselten Partition während der Installation beschrieben aus.
Anstatt eine Partition zu verwenden, können Sie eine verschlüsselte Datei mit einer bestimmten Größe erstellen, in der andere Dateien oder Ordner mit vertraulichen Daten verwahrt werden können. Solche so genannten Containerdateien werden in YaST im Dialogfeld "Festplatte vorbereiten: Expertenmodus" erstellt. Wählen Sie aus und geben Sie den vollständigen Pfad der Datei und ihre Größe ein. Übernehmen Sie die Voreinstellungen für die Formatierung und den Dateisystemtyp. Geben Sie den Einhängepunkt an und legen Sie fest, ob das verschlüsselte Dateisystem beim Booten des Systems eingehängt werden soll.
Der Vorteil verschlüsselter Containerdateien gegenüber verschlüsselten Partitionen besteht darin, dass sie dem System hinzugefügt werden können, ohne dass die Festplatte neu partitioniert werden muss. Sie werden mithilfe eines Loop-Device eingehängt und verhalten sich wie normale Partitionen.
Wechselmedien, wie externe Festplatten oder USB-Flash-Laufwerke, werden von YaST auf dieselbe Weise behandelt wie herkömmliche Festplatten. Containerdateien oder Partitionen auf solchen Medien können, wie oben beschrieben, verschlüsselt werden. Aktivieren Sie jedoch (Während des Bootens nicht einhängen) im Dialogfeld , da entfernbare Medien in der Regel erst verbunden werden, wenn das System ausgeführt wird.
Wenn Sie ihr entfernbares Gerät mit LUKS (Linux Unified Key Setup) verschlüsselt haben, erkennen die KDE- und GNOME-Desktops dies automatisch und fordern zur Eingabe des Passwortes auf, sobald das Gerät erkannt wird. Wenn Sie Ihr entfernbares Medium mit einem FAT-Dateisystem formatiert haben, wird der am Desktop angemeldete Benutzer, der das Passwort für die Verschlüsselung eingibt, automatisch zum Eigentümer des Gerätes und kann die Dateien auf diesem Gerät lesen und schreiben. Bei Geräten, deren Dateisystem nicht FAT ist, müssen Sie die Eigentümerschaft explizit für alle Benutzer außer dem root ändern, damit diese Benutzer Dateien auf dem Gerät lesen oder schreiben können.