Arch Linux

[ok] Veracrypt ohne sudo - Einrichtung, Rechte

fablab

Hallo Archer,

wie richte ich Veracrypt ein, damit der User Veracrypt ohne Passwörter nutzen kann?

sudo habe ich nicht eingerichtet.

Veracrypt ist der Nachfolgen von Truecrypt:

https://wiki.archlinux.org/index.php/TrueCrypt

MfG

fablab

Kurzkurzanleitung, bitte vorsichtig benutzen:

https://wiki.archlinux.org/index.php/TrueCrypt

Note: Truecrypt requires root privileges and as such, running the above command as a user will attempt to use sudo for authentication. To work with files as a regular user, please seeMount volumes as a normal user.

Vorarbeiten für Veracrypt


sudo anlegen


pacman -S sudo

nano /etc/sudoers

Suchen der folgenden Zeile (steht unterhalb von "## Uncomment to allow members of group wheel to execute any command"):

#%wheel ALL=(ALL) ALL


gpasswd -a duda wheel

dudo ist der User

----------------------------------------------------

weier mit Veracrypt

pacman -S veracrypt

groupadd veracrypt

gpasswd -a duda veracrypt


sudo nano /etc/sudoers

Append the following lines at the bottom of the sudo configuration file:

# Users in the truecrypt group are allowed to run VeraCrypt as root.
%veracrypt ALL=(root) NOPASSWD:/usr/bin/veracrypt

GerBra

Ohne jemals das Ding genutzt zu haben,...

fablab schrieb wie richte ich Veracrypt ein, damit der User Veracrypt ohne Passwörter nutzen kann?

Ungenaue Fragestellung IMHO ;-)
Einrichtung und Nutzung sind ggf. zwei paar Schuhe.

Laut Wiki funktioniert der Befehl
truecrypt (veracrypt?)
nur mit Root-Rechten:
"Note: Truecrypt requires root privileges and as such, running the above command as a user will attempt to use sudo for authentication. To work with files as a regular user, please seeMount volumes as a normal user."

Also das Erstellen, Verwalten des verschlüsselten Devices/File-Containers benötigt *aufgrund seiner Art und Möglichkeiten* Root-Rechte (oder die Verantwortung, die nur root normalerweise hat...)
Anders hingegen wohl (ungetestet) die eigentliche, pure Nutzung eines verschlüsselten Devices/Containers.
Das sollte lt. Wiki (->seeMount volumes as a normal user) so einrichtbar sein, daß maximal nach der Verschlüsselungs-Passphrase gefragt wird.

Analog zu normalen Verzeichnissen/Mounts:
Ein User kann ohne Rootrechte zu benötigen Festplattenspeicher nutzen, Daten ablegen.
Vorher muß ein Admin allerdings: die Festplatte partitioniert, formatiert und i.d.R. eingemountet haben.
Die "falsche Frage" wäre jetzt: wie richte ich fdisk, mkfs.ext4, etc. so ein damit ein normaler User Daten schreiben kann ;-)

Wenn ich per cryptsetup vorbereitete HDs oder Images öffnen will als User wird das per u.a. policykit soweit gedeichselt, daß ich als User nur die Passphrase zum Entschlüsseln eingeben muß (die ja einen Admin nicht zwangsläufig etwas angeht). Trotzdem muß die Vorbereitung dieses Vorgangs ein Admin/Root (cryptsetup) getätigt haben.

Für manche Dinge wird Root, der Admin, halt grade noch benötigt (alles andere macht Alexa <g>).

fablab

Mein "altes" sudo habe ich gerade bewußt vergessen.

Schon vermisse ich es, das ging aber schnell.

Wie kann die Lösung mit Veracrypt aussehen, d. h. sicher ohne sudo?

nano /etc/sudoers

Was muss ich da einfügen?

GerBra

Nochmal: nur der Befehl /usr/bin/truecrypt (oder wie das bei veracrypt analog heißt) benötigt root-Rechte, da durch den Befehl (die Natur der Sache) z.B. jede Festplatte(partition) verändert/zerstört werden *könnte* - ein Recht, eine Verantwortung die man Usern richtigerweise nicht einräumt. Und wenn es nur vor User-Irrtümer schützt, da der User z.B. die Festplattendevices sda und sdc "verwechselt". Von der Funktion eines Admin(root) kann man erwarten, daß dieser solche Fehler nicht macht. Wenn User und Root eine Person sind (am privaten Rechner meist in "Personalunion") sollte man sich halt doppelt und dreifach absichern, bewußt machen, wann ich was als Root erledige. Root bedeutet halt in erster Linie Verantwortung, schnell überall (wenn was mal nicht "funzt") ein sudo vorneweg zu stellen negiert diese Verantwortung eigentlich....

Das Einrichten mit Root kannst du auf verschiedenen Wegen erreichen:
a) Root meldet sich an den TTY-Konsolen an (Arch: Ja, Ubuntu: Nein)
b) Du nutzt su um eine Root-Shell zu erlangen (Arch: Ja, Ubuntu: Nein)
c) Du nutzt sudo dafür (Arch: Ja, Ubuntu: Ja)

Die notwendigen /etc/sudoers Einstellungen sind im o.a. Wiki-Artikel eigentlich detailliert beschrieben, bei:
https://wiki.archlinux.org/index.php/TrueCrypt#Mount_volumes_as_a_normal_user

Das Nutzen des verschlüsselten Devices/Containerfiles braucht dann - soweit ich gelesen habe - eben keine Rootrechte mehr, ab den neueren Versionen von true/veracrypt können diese auch per cryptsetup geöffnet/eingehängt werden (Abschnitt 2 -> Accessing a TrueCrypt or VeraCrypt container using cryptsetup).
In Dateimanagern der größeren Desktop-Windowmanager (hier z.B. in Mate->caja) erscheinen solche verschlüsselten Laufwerke/Container dann z.B. als Device mit einem geschlossenen Schloß, anklicken/aktivieren führt dann dazu, daß nach der Schlüssel/Passphrase gefragt wird und bei Erfolg dieses Device "aufgeschlossen" eingehängt wird. Das kommt durch die Integration von cryptsetup innerhalb der systemd/policykit-Umgebung, deshalb empfiehlt das Wiki wohl auch diesen Weg.

fablab

Kann ich die Gruppe veracrrypt einrichten, den User in die Gruppe veracrypt hinzufügen, dann den Mitgliedern aus veracrypt, erlauben ohne Passwortabfrage veracrypt auszuführen, dazu dann /etc/sudoers bearbeiten?

schard

fablab schriebKann ich die Gruppe veracrrypt einrichten, den User in die Gruppe veracrypt hinzufügen, dann den Mitgliedern aus veracrypt, erlauben ohne Passwortabfrage veracrypt auszuführen, dazu dann /etc/sudoers bearbeiten?

Klar kannst du das. Das ginge aber gegen den Titel dieses Fadens.

GerBra

Ja, über eine Gruppe geht das auch mit sudo. Gruppen lohnen sich eigentlich aber nur, wenn es um mehrere User geht oder mehrere User erwartet werden. Wenn das dein privater Rechner ist (1 User, 1 Root), dann genügt sicher auch nur dem User fablab die Ausführung von veracrypt.

fablab

Sudo habe ich nicht installiert.

Langsam habe ich die Vermutungu, die anti-sudo-User nutzt keine Desktopsysteme.

Ohne sudo habe ich noch mehr Probleme.

fablab

@niemand
Veracrypt ist wichtig für mich, damit ich verschlüsselte Container erstellen, die auch mit Windows geöffenet werden können.

The Hit-Man

@fablab
habe ich nicht mal irgendwie gehört das veracrypt angreifbar sein sollte?

achja, wegen luks... habe hier nen link gefunden. funtzt vielleicht dann doch auch unter windows. steht zu mindest da aber habe ich selbst nicht probiert.
ich finde luks ganz nett, da sogar meine fritzbox ( mit passendem freetz ), luks kann.

https://github.com/t-d-k/LibreCrypt

fablab

Hall Te Hit-Man,

danke. luks hatte ich auch schon auf dem Plan.
Da ich jedoch gerade versuche zu archlinux zu mirgrieren habe ich noch genügend andere Probleme.
Später schaue ich mir luks an.

Vorteil von luks, ist sowieseo im Kernel und paßt besser zum KISS.

Das Veracrypt so ein "Diva" ist war mir bisher gar nicht klar.
Durch die Verwendung von sudo habe ich das gar nicht gemerkt.

https://wiki.archlinux.org/index.php/TrueCrypt

Die Anleitungen sind für Veracrypt übertragbar.

https://www.veracrypt.fr/en/Home.html

Evtl. verwechselst Du Truecrypt mit Veracrypt, das bezüglich der Sicherheit.

MfG

fablab

fablab

Ohne sudo geht hier nichts!

Thread erledigt