Edelfettwerk Silvester 2010/2011 Videos
Edelfettwerk Silvester 2010/2011 Fotos
Dropbox Daten auf dem Mac mit EncFS verschlüsseln
15 Jun
Posted by Jörn Ende
in Mac OS X, Technik
Nach dem Bekanntwerden diverser Sicherheitslücken in Dropbox und zuletzt wegen einer Änderung der Geschäftsbedingungen, ist von der Nutzung der Dropbox für sensible Daten meiner Meinung nach abzuraten. Wer aber wie ich auf cloud storage angewiesen ist, sollte seine Daten vor dem upload verschlüsseln. Hier bietet sich das Filesystem EncFS an da es für den Nutzer transparent ist. Diese Anleitung beschreibt die Installation aller benötigen Komponenten auf Mac OS X 10.6 Snow Leopard. [Update für Mac OS X 10.7 Lion ganz unten]
Eine funktionierende Dropbox Installation setze ich voraus. Ich verwende Dropbox in der Version 1.1.35.
Download der Software
- Um Mac OS mit EncFS erweitern zu können, benötigen wir Macfuse. Runterladen kann man es auf google code. Es gab zwar schon ewig kein update mehr aber die Version 2.0.3,2 läuft stabil auf Mac OS X 10.6.7. Downloadlink: Macfuse
- Nun das eingentliche Filesystem EncFS. Es kann ebenfalls bei google code runtergeladen werden. Es hat auch schon ewig kein update mehr erfahren, läuft aber stabil. Downloadlink: EncFS
- Shell Skripte zum mounten und Starten der Dropbox. Downloadlink : Skripte. Falls die zip Datei nach dem download nicht automatisch entpackt wird, dies nun durch Doppelklick erledigen. Es sollte nun im Downloadverzeichnis ein Verzeichnis mit dem Namen encfs_dropbox_startup vorhanden sein. Also "~/Downloads/encfs_dropbox_startup/".
Da das EncFS Plugin für Macfusion.app aufgrund fehlender 64bit Kompatibilität leider nicht mehr funktioniert, müssen wir uns leider der Kommadozeile bedienen. Zum mounten des EncFS Filesystems und zum Starten der Dropbox benutze ich shell Skripte.
Installation der Software
- Macfuse installieren. Zur Installation den Anweisungen Installtionsprogramms folgen.
- EncFS installieren. Zur Installation den Anweisungen Installtionsprogramms folgen.
Konfiguration
Zuerst starten wir Terminal.app. Dazu im Spotlight "Terminal" eintippen und Terminal starten.
Im Terminal geht es nun weiter.
EncFS einrichten
Wir richten ein verstecktes Verzeichnis in der Dropbox ein in dem später die verschlüsselten Dateien landen.
mkdir ~/Dropbox/.crypted
Nun ertsellen wir ein Verzeichnis in das die entschlüsselten Daten gemountet werden.
mkdir ~/CryptedDropbox
Nun erstellen und mounten unser EncFS FIlesystem
encfs ~/Dropbox/.crypted ~/CryptedDropbox
Creating new encrypted volume.
Please choose from one of the following options:
enter "x" for expert configuration mode,
enter "p" for pre-configured paranoia mode,
anything else, or an empty line will select standard mode.
?> p
Wir antworten mit p.
New Encfs Password:
Nun das Passwort vergeben und bestätigen. Nun sollte das EncFS Filesystem gemountet sein. Im Home Verzeichnis sollte nun ein symbolischer Link im Finder erscheinen.
Dateien die hier rein kopiert werden landen verschlüsselt im Ordner ~/Dropbox/.crypted auf der Dropbox.
Wichtig!!!
Das EncFS FIlesystem muss unbedingt gmountet sein bevor Dropbox startet. Sonst können Daten verloren gehen! Wir müssen den automatischen Start von Dropbox im Einstellungsmenü deaktivieren.
Den Start übernehmen meine Skripte dann automatisch.
Skripte installieren
Im Terminal erstellen ein verstecktes Verzeichnis für unsere Skripte.
mkdir ~/.encfsmount
Nun wechseln wir ins das Verzeichnis mit den Skripten. Diese sollten nach dem
download entpackt hier liegen: ~/Downloads/encfs_dropbox_startup:
cd ~/Downloads/encfs_dropbox_startup
Kopieren der Skripte in unser Verzeichnis:
cp * ~/.encfsmount
Ins neue Verzeichnis wechseln:
cd ~/.encfsmount
Symbolischen Link erzeugen:
ln -s fs-cryptmount.command ln -s fs-cryptumount.command
Nun müssen wir noch unser EncFS Passwort im Skript eintragen. Das ist zwar nicht so schick da das Passort dort unverschlüssel drin steht aber mir reicht es. Andere Möglichkeiten der Passwortübergabe an EncFS sind der EncFs manpage zu entnehmen.
open -a /Applications/TextEdit.app ~/.encfsmount/fs-cryptmount
Dieser Befehl öffnet TextEdit mit unserem Skript. Unter key="" tragen wir unser EncFS Passwort ein.
Nun speichern wir die Datei.
Ein user meines Blogs hat in den Kommentaren unter diesem Beitrag einen Hinweis gepostet wie man zur Passwortübergabe auf den Schlüsselbund zugreifen kann:
key=$(security find-generic-password -ga EncFS 2>&1 >/dev/null | cut -d'"' -f2)
Das habe ich allerdings noch nicht getestet, wäre natürlich viel eleganter. Sollte das so funktionieren wäre ein kurzer Kommentar mit Code echt nett.
Skript in Anmeldeobjekte einbinden
Damit das mounten des EncFS Filesystems und das sichere Starten der Dropbox automatisch geschieht, müssen wir unser Skript in den Anmeldeobjekten einbinden. Im Terminal geben wir folgen Befehl ein
open ~/.encfsmount/
Dies öffnet ein Finder Fenster mit den von uns installierten Skripten. Fenster geöffnet lassen.
Nun gehen wir in die Systemeinstellungen -> Benutzer -> Reiter Anmeldeobjekte
Aus dem eben geöffneten Finder Fenster ziehen wir das Skript fs-secure-dropbox-start.command in die Anmeldeobjekte rüber.
Nun sind wir fertig und müssen nur noch testen. Einmal vom Benutzerkonto abmelden und wieder anmelden oder den Mac neu starten.
Im Finder nun cmd + Shift + C
Das MacFUSE Volume sollte gemountet sein
Die Dropbox sollte laufen.
Dateien die nun in unser Verzeichnis CryptedDropbox kopiert werden sollten Verschlüsselt auf der Dropbox landen.
Im webinterface der Dropbox sieht das dann so aus.
[Update für Mac OS X 10.7 Lion]
Mac OS X 10.7 Lion kann nur noch 64bit. Darum funktioniert diese Anleitung nicht mehr. Helfen tut hier eine 64bit Version von MacFuse die von Tuxera zur Verfügung gestellt wird. Ebenfalls das PrefPane sollte auf 64bit geupdatet werden. Dann sollte alles wie beschrieben funktionieren.
Downloads:
Neueste Blogeinträge
- Mac: Datensicherung mittels rsync auf dem Starto HiDrive
- Dropbox Daten auf dem Mac mit EncFS verschlüsseln
- iTech BlueBAND pairing mit MacBook
- Flash Inhalte in Safari selektiv blocken mit ClickToFlash
- Mac OS X: ext2, ext3 Laufwerke mounten mit macfuse
- Drupal 6: Automatische Benachrichtigung über das Registrieren neuer Benutzer
- Geschützte Systemdateien unter Mac OS X mit TextEdit editieren
- Drupal 6 CKEditor: Zugriff verweigert bei "Server druchsuchen"
- YouTube Videos in Drupal 6 trotz htmpurifier
- Gleich geht´s los zur Silvesterparty im Edelfettwerk
Neueste Kommentare
- Logfile
vor 8 Wochen 4 Tage - Hi, danke für die gute
vor 8 Wochen 4 Tage - Logfile
vor 8 Wochen 4 Tage - Lob und Kritik
vor 13 Wochen 3 Tage - Erst einmal vielen Dank für
vor 18 Wochen 6 Tage - Operation not permitted II
vor 19 Wochen 4 Tage - Operation not permitted
vor 19 Wochen 4 Tage - Danke!!!
vor 23 Wochen 1 Tag - Sicherheitslücke/problem
vor 24 Wochen 2 Tage - selbst gelöst:
in der Datei
vor 24 Wochen 4 Tage
RSS Feed
Kommentare
Lob und Kritik
Vielen Dank für die Anleitung. Sie hat mir geholfen EncFS auf meinen Mac einzurichten.
Allerdings möchte ich dich kritisieren, dass du die Scripte die du hier zum download anbietest aus dem Dropbox-Forum entnommen hast. Das ist ja und für sich nicht so schlimm, aber du hättest wenigstens einen Hinweis in einem Artikel geben können. Das aber noch zusätzlich den Namen des Autors entfernt hast und in dem Artikel sie noch als "deine Scripte" (Zitat: "Den Start übernehmen meine Skripte dann automatisch") deklarierst, finde ich echt zum... :-(
Hier kommen die Scripte ursprünglich her: http://forums.dropbox.com/topic.php?id=15065#post-93332
Sorry, das muss nicht sein und ich finde das mehr als unfair! Du würdest dich sicher auch nicht freuen, wenn jemand deine Artikel ohne Quellenangabe irgendwo veröffentlicht. Ich bitte dich daher höflichst, deinen Artikel entsprechend zu korrigieren.
Erst einmal vielen Dank für
Erst einmal vielen Dank für die sehr hilfreiche Heranführung an das Thema Verschlüsselungstechniken auf der DropBox. Ich habe aber noch ein paar Verständnisfrage bezüglich des Umgang.
1. Wie kann ich die Daten wieder von der DropBox herunterladen und das im unverschlüsselten Zustand? Sobald ich die Datei aus der DropBox lade fehlt die Dateibezeichnung und die -endung.
2. Der CryptedDropBox Ordner im Finder ist leider kein symbolischer Link. Was habe ich falsch gemacht? Sobald ich:
encfs ~/Dropbox/.crypted ~/CryptedDropbox
im Terminal eingebe verschwindet der CryptedDropbox Ordner und wird durch das gemountete MacFuse Volume ersetzt.
So ganz scheint es noch nicht zu funktionieren, also bei mir.
Vielen Dank für die Hilfe.
Chris
Operation not permitted II
Der encfs Aufruf im Skript fs-cryptmount.command muss um die Option --public ergänzt werden, also:
... sudo encfs --public ....
Ansonsten "gehört" der entschlüsselte Ordner/ das gemountete Laufwerk root und man selber hat nur sehr begrenzten Zugriff.
Vielleicht geht das auch anders, als mit --public, weiß aber nicht, wie.
Operation not permitted
Danke für die Anleitung und die Skripte!
Hatte das Problem, dass mein "Normaluser" keine admin Rechte hat und insbesondere nicht mounten/unmounten kann. Deswegen kam beim Aufruf von encfs immer eine Fehlermeldung.
Habe im Skript fs-cryptmount.command jetzt den relevanten Aufrufen von
umount und encfs ein sudo vorangestellt, und den "Normaluser" in /etc/sudoer eingetragen mit den Zeilen
Cmnd_Alias MOUNT = /usr/local/bin/encfs, /sbin/umount
Normaluser ALL=(ALL) NOPASSWD: MOUNT
(Allgemeine Hilfe im Umgang mit sudoer findet sich unter http://www.afp548.com/article.php?story=20051025103428232 )
Jetzt funktioniert es wunderbar.
-----
Kleine Anmerkung zur Anleitung:
ln -s fs-cryptmount.command ln -s fs-cryptumount.command
Hier ist das zweite ln -s zu viel
Sicherheitslücke/problem
Musste ich gerade feststellen: Die Metadaten von Dateien werden nicht encryptet! Gerade auf Mac ist das ziemlich riskant.
Das Problem ist bekannt (http://code.google.com/p/encfs/issues/detail?id=5), aber noch nicht behoben!
Vorgehensweise zum nachvollziehen:
- Link aus Browser in den Finder geschoben (Icon neben Url in Finder ziehen)
- abgelegt in ~/CryptedDropbox/
- in ~/Dropbox/.crypted/ ist der Linkname zwar verschlüsselt öffnet aber problemlos die richtige Internetseite.
Also immer schön aufmerksam bleiben :)
selbst gelöst: in der Datei
selbst gelöst:
in der Datei "fs-cryptmount.command"
einfach folgendes ändern:
echo "${key}" | encfs -S -oallow_other -olocal ~/Dropbox/.crypted ~/CryptedDropbox
und schon geht's! endlich!!!
Außerdem empfiehlt es sich MacFuse gegen Fuse4x auszutauschen, da dies weiterentwickelt wird, dann geht auch EncFs 1.7.4 bei Lion ohne Probleme...
Spotlight
Hallo,
hab alles so gemacht, wie beschrieben, geht auch alles, aber Spotlight greift nicht auf das gemountete Laufwerk zu.
Hat jemand eine Idee, wie man Spotlight dazu bringen kann, auf die EncFs Volumen zuzugreifen?
Gruß
Index für Spotlight
Hallo,
hab alles so gemacht, wie beschrieben, geht auch alles, aber Spotlight greift nicht auf das gemountete Laufwerk zu.
Hat jemand eine Idee, wie man Spotlight dazu bringen kann, auf die EncFs Volumen zuzugreifen?
Gruß
Frage zu verschlüsselten Dropbox
Hallo,
ich habe eine Frage, ich habe unter Ubuntu schon mein Dropbox Verzeichnis via enfcs verschlüsselt.
Wie kann ich dieses jetzt unter mac einbinden?
Vielleicht kann mir ja jemand weiterhelfen!
EncFS 1.7.4 One-Click Installer
Da die verlinkte EncFS Version schon ziemlich alt ist (und auch einige Sicherheitslücken hat), haben wir von BoxCryptor (eine Verschlüsselungssoftware für Windows und Android, die mit EncFS kompatibel ist) einen neuen und einfachen "One-Click Installer" für die neueste EncFS Version 1.7.4 erstellt, der alle notwendige Software (MacFUSE, etc.) mitbringt. Hier gibts mehr Infos:
http://blog.boxcryptor.com/encfs-174-installer-for-mac-os-x-available
vielen Dank für die promte
vielen Dank für die promte Antwort!
Dann liegt mein Problem also nicht am symbolischen Link, sondern an etwas anderem:
Vielleicht sagt dir die Fehlerbeschreibung etwas:
(wie gesagt alles so gemacht wie beschrieben - ohne aufgetrene Fehler):
Wenn ich nun Dateien in das gemountete Laufwerk "MacFuse Volume 0(encfs) kopiere. kommt direkt vom Finder eine Fehlermeldung "Der Vorgang konnte nicht abgeschlossen werden, da ein unbekannter Fehler aufgetreten ist (Fehler -8003).
Danach synchronisiert die Dropbox kurz, und zwei Popups erscheinen, dass eine Datei (verschlüsselter Name) hinzugefügt wurde, und direkt danach, dass diese wieder gelöscht wurde.
Bin da ziemlich ratlos...
vielen Dank für die promte
vielen Dank für die promte Antwort!
Dann liegt mein Problem also nicht am symbolischen Link, sondern an etwas anderem:
Vielleicht sagt dir die Fehlerbeschreibung etwas:
(wie gesagt alles so gemacht wie beschrieben - ohne aufgetrene Fehler):
Wenn ich nun Dateien in das gemountete Laufwerk "MacFuse Volume 0(encfs) kopiere. kommt direkt vom Finder eine Fehlermeldung "Der Vorgang konnte nicht abgeschlossen werden, da ein unbekannter Fehler aufgetreten ist (Fehler -8003).
Danach synchronisiert die Dropbox kurz, und zwei Popups erscheinen, dass eine Datei (verschlüsselter Name) hinzugefügt wurde, und direkt danach, dass diese wieder gelöscht wurde.
Bin da ziemlich ratlos...
Leider fehlt an dieser Stelle
Leider fehlt an dieser Stelle ein Zeilenumbruch in der Anleitung. Ausserdem fehlt das cryptumount-skript (soeit ich mch entsinne, habs gerade nicht vor mir).
Wenn du aber meinen ersten Kommentar liest siehst du, dass es eigtl auch ohne das funktioniert.
Skara
Symbolischer Link
Hallo!
Vielen Dank für diese sehr gute Anleitung!
Ich habe alles soweit wie beschrieben umgesetzt:
Nur hier muss ein Fehler in der Beschreibung sein?
Symbolischen Link erzeugen:
ln -s fs-cryptmount.command ln -s fs-cryptumount.command
Es kommt die Meldung: " ln: fs-cryptumount.command: No such file or directory"
Hast du (oder jemand anderes) da eine Antwort/Lösung?
Hi, Danke für die Anleitung.
Hi,
Danke für die Anleitung. Wie skara beschrieben habe ich im Terminal eingegeben:
security add-generic-password -a EncFS -s EncFS -w PASSWORT
...PASSWORT natürlich mit meinem PW ausgetauscht. In Deiner Datei "fs-cryptumount.command" habe ich die Zeile
key=""
ausgetauscht gegen
key=$(security find-generic-password -ga EncFS 2>&1 >/dev/null | cut -d'"' -f2)
Funktioniert auf Lion (mit 64bit updates) und Sleopard einwandfrei.
@skara: Bei mir fragt bei
@skara: Bei mir fragt bei erstmaliger Ausführung meines Skriptes MacOS an, ob security den Passwort-Eintrag verwenden darf. Sollte eigentlich dann nach Bestätigung (immer erlauben) automatisch funktionieren.
Richtig. Aber die
Richtig.
Aber die Einstellung, das /usr/bin/security ohne Rückfrage darauf zugreifen kann (wichtig für die Skripte) ... Da braucht man dann auch wieder das Terminal, um an den Pfad zu kommen. Daher gleich der entsprechende Befehl ;)
Vielen Dak für die Hinweise
@all Vielen Dank für Eure Kommentare und Hinweise. Werde versuchen demnächst Eure Hinweise in die Anleitung mit aufzunehmen.
Jörn
@skara: Insbesondere muss im
@skara: Insbesondere muss im Feld Account der angegebene String eingetragen werden, der Name ist glaube ich egal.
Dann funktionierts auch, wenn man den Eintrag mit dem Schlüsselbund erzeugt.
Da habe ich wohl die
Da habe ich wohl die Sortierung der Kommentare missachtet. Ich meine mit Vorredner natürlich den http://joern-ende.de/content/dropbox-daten-auf-dem-mac-encfs-verschluess...
Passwort im Schlüsselbund
Netter Hinweis vom Vorredner. Leider ging's bei mir nicht einfach so. Falls noch jemand den Key gerne im Schlüsselbund ablegen will ... So habe ich das gemacht:
Im Terminal zum Anlegen des Passwort:
security add-generic-password -a EncFS -s EncFS -w PASSWORT
(Hinweis: Bei Sonderzeichen hat er sich bei mir Verschluckt. Speziell beim ". Daher habe ich nur Buchstaben und Ziffern genommen.)
Danach funktioniert auch die entsprechende Änderung in dem Skript.
Bei Problemen (z.Bsp. zum Löschen):
security delete-generic-password -a EncFS
Alternativ kann man sich den Schlüssel natürlich auch im Schlüsselbund-Dienstprogramm anschauen und löschen.
@Jörn:
Was soll die Sache mit den symlinks in deiner Anleitung? Zum einem ist/sind der/die Befehle fehlerhaft, zum anderen unnötig. Soweit ich sehe läuft alles auch ohne die symlinks.
Ansonsten danke für die Ideen und die vorbereiteten Skripte.
gruss
Hey, Als ich encfs
Hey,
Als ich encfs installieren wollte, hab ich recht lange gesucht, aber keine aktuellen Binaries gefunden. Daher habe ich mir die Software selbst kompiliert + nen Installer Package erstellt.
Für den normalen User ist es wohl am einfachsten, encfs per Macports zu installieren (sudo port install encfs).
Schnelles googlen hat mich auf die Seite gebracht: http://www.lisanet.de/?p=128
Aber die Dateien dort sind von mir nicht weiter getestet.
Danke für die HInweise. Hast
Danke für die Hinweise. Hast Du vielleicht mal die download links für die neuere EncFS Version zur Hand?
Joern
"Diese wird dann bei
"Diese wird dann bei nachträglichen mounten von EncFS verschlüsselt in die Dropbox kopiert und die dort vorhandene Datei überschrieben."
Eben das will mir nicht so ganz einleuchten, weil der normale Ordner ~/CryptedDropbox imho ignoriert und als Mount-Point umfunktioniert werden soll. Genau dieses Verhalten habe ich auch eben mit dem neuesten encfs 1.7.4 nachvollzogen: man kopiere eine Datei in ~/CryptedDropbox/, mounte das encfs Verzeichnis: Die Datei ist darin nicht vorhanden. Nach dem unmount erscheint wieder der normale Ordner ~/CryptedDropbox/, welcher die Datei enthält.
Ich vermute, dass das Problem in der neuen Version evt. behoben wurde (auch die verlinkten encfs-binaries im Artikel sind sehr alt (ich glaube version 1.5)).
Generell sollten wir uns also darauf einigen:
Die Startreihenfolge von encfs und Dropbox ist reichlich egal. Lediglich wichtig ist, dass encfs vor allen Applikationen gestartet werden sollte, die auf das Verzeichnis zugreifen wollen. (Dies wird höchstwahrscheinlich eben auch erreicht, wenn man encfs vor Dropbox startet.)
Das ist auch irgendwie logisch, ich starte im manuellen Fall auch erst encfs, bevor ich auf die verschlüsselten Daten lesend oder schreibend zugreifen möchte. ;-)
Das Problem ist
Das Problem ist folgendes:
Wenn EncFS vor dem Dropboxstart nicht in das Verzeichnis ~/CryptedDropbox gemountet ist, ist es natürlich leer. Will nun ein Programm (egal welches) in das Verzeichnis schreiben, findet es dort natürlich keine Dateien. Das wäre nicht so schlimm aber im Fall von iCal wird einfach ohne nachzufragen eine leere ical Datei angelegt. Diese wird dann bei nachträglichen mounten von EncFS verschlüsselt in die Dropbox kopiert und die dort vorhandene Datei überschrieben. Alle iCal daten sind nun futsch! Es wird noch schlimmer wenn die Dropbox die leere Datei nun auf andere Macs verteilt. Das ist m.e. kein Bug von EncFS sonderen ein normales Verhalten beim Schreiben von Dateien in VErzeichnisse in die vorher kein Filesystem eingehängt wurde.
Gruß Jörn
Danke für den Link. Soweit
Danke für den Link. Soweit ich verstanden habe, liegt das Problem an 2 Stellen:
Das Kalendar-Tool wird vor Start von Enc-FS gestartet (vielleicht im Autostart). Das legt in ./unencrypted ne leere Datei an. Dann wird encfs gemountet. Dabei wird irgendwie die leere Datei in ./unencrypted mit in den Mount übernommen und verschlüsselt in der Dropbox gespeichert. (-->Bug in Encfs?)
Mir erschließt sich hieraus immer noch nicht, was dies mit der Startreihenfolge encfs / Dropbox zu tun haben sollte.
Aber vielleicht muss ich mir den Thread nochmal genauer durchlesen...
Antwort auf die Fragen
Hallo,
der Grund für das encfs mounten vor dem Dropboxstart liegt in der Vermeidung von Datenverlust. Das kann man hier im Dropbox-Froum nachlesen.
Danke für den Hinweis mit Passwort. War mir noch nicht bekannt das man aus einem shell script so auf den Schlüsselbund zugreifen kann. Werde das gleich als Hinweis in der Anleitung mit einbinden.
Joern
Fragen
Hallo,
Danke für die Anleitung. 2 Fragen / Anmerkungen habe ich trotzdem: ;-)
Ich kann nicht nachvollziehen, wieso das encfs Volume vor dem Start von Dropbox gemounted sein sollte? Kannst du das genauer erklären / begründen?
Zum 2.: Passwörter im Klartext in Scripten speichern halte ich nicht für sehr klug. Schließlich gibt es unter OSX den Schlüsselbund. Aus dem kann ein Passwort mit der Kennung EncFS z.B. wie folgt ausgelesen werden:
key=$(security find-generic-password -ga EncFS 2>&1 >/dev/null | cut -d'"' -f2)
Kommentar hinzufügen