[Tutorial] Mit encFS einen Verschlüsselten Ordner("Container") erstellen

encFS[^1](Encrypted filesystem) ist ein Virtuelles Dateisystem, welches die Möglichkeit schafft, Verschlüsselte Ordner zu erstellen. Dies geschieht durch Tools[^] wie cryptkeeper[^2], oder direkt über die Kommandozeile.
In diesem Tutorium hier, arbeiten wir mit eben dieser.

Nun, der erste Schritt ist, natürlich, dass Installieren von encFS:
Debian/Ubuntu- basierte Systeme

Fedora/RHEL 4-6 basierte Systeme(vorher su)

Wie gewohnt läuft die Installation nun runter, und da encFS erstaunlich wenig Speicherkapazität benötigt, geschieht dies relativ schnell.

Nun, da encFS installiert ist, gehen wir wieder zurück zur Kommandozeile und sehen uns die „Hilfe“ zu encFS an:

Das unten gezeigte Beispiel..

werden wir nachher nochmal benötigen, legen es aber erstmal beiseite.

Wir erstellen nun also erstmal den Container, der verschlüsselt werden soll. Dieser ist meist nicht direkt im Dateimanager, wie Thunar(XFCE) oder Fileroller, erreichbar. Zurück zum erstellen:
(Erklärung erfolgt hinter diesen Codezeilen)

In der ersten Zeile(1) wo wir encFS aufrufen, werden folgende zwei Argumente benötigt:

  • Nr 1.: Der Ordner(Container) welcher verschlüsselt werden soll(Vollen Pfad angeben!)
  • Nr 2.: Der Ordner(Container) in dem die Daten nachher entschlüsselt abgelegt werden und On-the-fly verschlüsselt werden, wonach diese verschlüsselt im zuerst genannten(Nr 1) Argument angezeigt werden.

Falls der Ordner noch nicht existiert, so wird er angelegt.
Nun gibt es zwei Wahlmöglichkeiten an Optionen: „x“, wo man sich eine persönliche Einstellung zusammenstellen kann, oder den „Paranoia“-Modus, welcher die Optimalen Einstellung für alle Paranoiden bereitstellt, die Daten also mit AES und SSL verschlüsselt. Hier wird „p“, also der Paranoia-Modus genutzt.

Wir wählen also „p“:

Diese Zeilen sollten sich von selbst erklären: Erst das Passwort eingeben, welches in der Zukunft genutzt wird und dann dieses bestätigen.

Da man manchmal dass Problem hat, dass man nur über den root Zugang zu den gespeicherten Dateien erhält, sollte man den Benutzer, der Zugriff haben soll, noch zu der Gruppe „encfs“ hinzufügen:

($USER mit deinem Usernamen ersetzen 😉 )
ODER – was auch geht, den User zur Gruppe „fuse“ hinzufügen(Danke @Comments)

($USER mit deinem Usernamen ersetzen 😉 )

Nach einem Neustart sollte also auch dein normaler Nutzer Zugriff erlangen können, natürlich auch nur mit dem Passwort.

Um den encFS-Kontainer nun in das Dateisystem einzubinden, muss folgendes ausgeführt werden:

Das erste Argument ist der Ordner, der Verschlüsselt wurde, der Zweite ist der Ordner, in dem die Entschlüsselten Daten angezeigt werden sollen.
Nun muss das Passwort eingegeben werden, welches beim Erstellen des Ordners/Containers eingestellt wurde.

Nun kann man per „mount“ Prüfen, ob es eingehängt wurde. Dafür sucht man, wie erwartet, nach „encfs“:

Wenn dieser Eintrag auffindbar ist: Herzlichen Glückwunsch! Du hast die Installation und einrichtung deines Kontainers geschafft 🙂
Natürlich ginge das alles viel einfacher, wenn man ein Tool nutzt..

Tools

Ich kenne momentan nur ein gutes Tool, nämlich „cryptkeeper“. Dies lässt sich einfach mit dem Favorisierten Packetmanager installieren, oder per Kommandozeile:
Debian/Ubuntu- basierte Systeme

Fedora/RHEL >=4

Die Menüführung von cryptkeeper ist selbsterklärend, aber führe trotzdem mit einer Screenshot-Tour, kurz ein(LXDE Tour) 😉

Das Logo im Panel…
cryptkeeper-logo-bar

Das Menü von Cryptkeeper
cryptkeeper-preview-Menu

Importieren eines encFS-Containers..
Import an Encfs encrypted folder_002

Einhängen des Ordners(Durch klicken auf den Eintrag)..
cryptkeeper_002

Dateimanager mit dem Ordner…
decrypt_002

Soweit alles klar? Super!

Links

encFS[Ubuntuuers.de]
Cryptkeeper[Ubuntuusers.de]

Übrigens: Die Inspiration habe ich von Seraphyn’s Artikel: „Datei mit GPG ent- und Verschlüsseln“

16 Gedanken zu „[Tutorial] Mit encFS einen Verschlüsselten Ordner("Container") erstellen

  1. Kleine Anmerkung:
    Bei der Frage "Soll es angelegt werden? (j,n)" muss man, zumindest unter einigen Ubuntu-Versionen zwingend Englisch benutzen, also statt "j", wie man der Frage nach vermuten würde, mit "y" für yes beantworten. Das ist ein gemeiner Fallstrick. 😉

    1. Ich glaube cryptkeeper ist auch nur für Gnome vorgesehen, da es auch nur dort in der Menüführung angezeigt wird.

      Hier muss ich das immer über LXDE unter „Sonstiges“ Starten, oder bei XFCE4 per Kommandozeile&.
      Letzteres wäre sehr interessant, also mit dem USB oder andere Verbindungen. Aber mir persönlich wäre es dann doch zu… „Zu“, verstehste?^^

  2. Dir ist ein Fehler unterlaufen:
    $ sudo adduser $USER encf
    Wenn sollte er encfs hinzugefügt werden.
    Unter Debian reicht Dir eigentlich es den Benutzer der Gruppe fuse hinzuzufügen, da es sich bei encfs um ein filesystem im userspace handelt.
    Somit würde ich eher ein fuse als Gruppe vorziehen.
    Wenn Du möchtest, dass bei einem Login encfs eingebunden wird, Faulheit siegt und ein Drittprogramm braucht man nicht, dann ist pam erste Wahl.
    Installiere dazu libpam-mount libpam-encfs.
    Editiere dann die Datei /etc/security/pam_mount.conf.xml mit Deinen Credentials:
    <volume user="leon" fstype="fuse" path="/home/leon/cryp" mountpoint="/home/leon/decryp" />
    Somit wirst Di bei Deinem nächsten Login direkt automatisch gefragt.
    Das wäre dann der Weg welches auch in /etc/skel abgelegt werden würde.

    Wie ich mal schrieb: http://seraphyn.teiko.org/archives/ich-bin-ein-gr
    Ich bin ein riesen Fan von PAM 😉

    1. libpam habe ich komischerweise schon drauf O.o Hatte ich wohl irgendwann zum Test dazu installiert..^^
      Bei dem encf hab gepfuscht – ändere ich sofort, mit dem PAM werden dem Link wohl eine Menge Leute folgen 🙂

      PAM ist schon interessant, wie Du dass auch beschreibst – sehe ich mir auch noch ein bisschen länger an.

      1. Och den Link kannst Du löschen wenn Du magst.
        Nur PAM wird zu wenig beachtet und sollte mehr beachtet werden.
        Meine Meinung nach eines der mächtigstens Programme im Bereich Unix/Linux, denn mit einem Login kann man sehr viel anstossen.
        Aus dem Grund gibt es bei mir auch keinen Manager a la GDM/KDM etc, sondern die Shell mit einem Loginnamen dann kommt dieAbfrage des Fingerscanners, dann die Verschlüsselunspasswörter und schon startet automatisch der Desktop.
        Dies geht viel Fixer als jeder Loginmanager inkl hat man alles eher in der Hand als das man immer wieder sich in den untiefen eines KDMs zum Beispiel rumsuchen muss.
        Btw GDM hat auch Gesichsterkennung an welche Du natürlich auch Dein Login koppeln kannst, das macht auch PAmM;)

  3. Vielen Dank für dieses kleine Tutorial.
    Ich habe da aber noch ein paar kleine Verständnisfragen: Ich habe encfs und cryptkeeper installiert und die beiden Verzeichnisse erstellt und an encfs übergeben. In welches Verzeichnis schmeiße ich jetzt die zu verschlüsselnden Dateien und welches Verzeichnis übergebe ich cryptkeeper (wenn ich s zur Vereinfachung nutzen will)?

    Danke!

    Andreas

    1. Du musst beide übergeben. Den Ordner, der verschlüsselt werden soll und dann der, in dem es in Klartext stehen soll.
      Im Tutorial habe ich ja eindeutige Namen wie crypt(verschlüsselt i und decrypt benutzt. In decrypt Schmeisst du die Dateien, welche dann automatisch verschlusselt werden
      Ist eig. Eine relativ einfache Geschichte 🙂

Kommentar verfassen