6. USB-2.0-taugliche Allzweckdistributionen
Die nachfolgend empfohlenen Distributionen basieren alle auf Debian und sind anspruchslos genug, um auf jedem USB-Stick mit vier bis 16 GB schnell zu starten und flüssig zu arbeiten. Auf USB 3.0 ist kein Unterschied zu einer Festplatteninstallation spürbar. Diese kleinen Systeme laufen aber auch mit USB 2.0 responsiv.
Q4-OS mit dem Desktop Trinity ist schnell und anspruchslos (Download unter http://q4os.org, ca. 580 MB). Das System startet auf USB-3.0-Stick in 13 Sekunden zum Login-Bildschirm und belegt nach der Anmeldung für System und Desktop nur etwa 175 MB RAM. Der Desktop Trinity basiert auf KDE 3. Diese schon seit zehn Jahren eingestellte KDE-Version wirkt heute zwar altbacken bis retro, ist aber KDE-typisch anpassungsfähig. Die Arbeitsfläche ist eine klassische Dateiablage, das Menü einfach im Stil alter Windows-Versionen und die Systemleiste ("Kontrollleiste") enthält mit Schnellstarter, Fensterliste und Indikatoren die typischen Elemente.
Die Installation startet aus dem Livesystem über den Desktoplink "Install Q4OS". Das Setup auf den USB-Stick erledigen Sie mit dem Debian-Installer, wobei unter "Festplatten partitionieren" der Eintrag "Manuell" und danach als Ziel die richtige Kennung des USB-Sticks "/dev/sd[n]" gewählt werden muss. Nach der Installation bietet der Desktopprofiler an, die schmale Softwareausstattung zu komplettieren.
Bunsenlabs Hydrogen hat als Basis ein Debian 8 und den einfachen Fenstermanager Openbox am Desktop. Das Download-ISO unter www.bunsenlabs.org/installation.html mit circa 850 MB ist ein Livesystem, das als Bootoption das Angebot "Install" anzeigt. Im laufenden Livesystem gibt es keine Installationsoption. Das Setup erledigt wie bei Q4-OS der Debian-Installer.
Der Desktop hat keine Ordnerfunktionalität; statt eines Hauptmenüs gibt es nach Rechtsklick auf den Desktop ein hierarchisches Textmenü; die Standardleiste (Tint2) bietet nur das Wesentlichste und die Softwareausstattung ist zunächst stark reduziert. Die schlichte Oberfläche ist aber sehr wohl anpassungsfähig. Das Wichtigste finden Sie unter "Preferences -› Openbox -› GUI Config Tool" sowie "Preferences -› Appearance". Bei spezielleren Konfigurationswünschen landen Sie aber schnell direkt in den Konfigurationsdateien, so etwa bei der Anpassung einer Tint2-Systemleiste oder einer Conky-Info.
Bunsenlabs Hydrogen startet auf einem USB-3.0-Stick in 15 Sekunden zum Anmeldefenster. Der Speicherbedarf nach der Anmeldung beträgt lediglich 170 MB und dem puren System reicht ein Vier-GB-Stick. Fehlende Software ist über apt install […] beziehbar.
Kanotix Spitfire in der LXDE-Variante (es gibt auch KDE) ist ein weiteres anspruchsloses System auf Basis von Debian 8 (Download unter www.kanotix.com, ca. 980 MB). Das konsequent deutschsprachige System ist auf USB 3.0 nach 16 Sekunden am Anmeldebildschirm und belegt nach der Anmeldung etwa 210 MB. Die LXDE-Arbeitsfläche dient als normale Dateiablage und bietet eine Systemleiste mit den typischen Elementen inklusive Hauptmenü.
Ein schickes Desktopsystem ist Kanotix nicht, aber über "Einstellungen -› Compiz-Config Einstellungs-Manager" ist doch mehr möglich, als man dem Desktop zunächst zutraut. Wesentliche Einstellungen erlaubt auch das Standardsymbol "Compiz Fusion Icon" im Systembereich, das nach Umstellung auf den Compiz-Window-Manager eine andere Fensterdekoration als das nüchterne GTK erlaubt.
Die Installation auf USB erledigen Sie aus dem Livesystem über den Menüeintrag "Kanotix -› acritoxinstaller". Die Software müssen Sie später in jedem Fall über apt install […] ergänzen, denn außer dem Browser Iceweasel (Firefox) und Skype bringt Kanotix keine größeren Programme mit.
7. Der komplett verschlüsselte Datenstick
Luks (Linux Unified Key Setup) ist eine einbruchssichere Datenträgerverschlüsselung. Ohne Zugangskennwort gestatten Datenträger keinerlei Einblick in die Verzeichnisstruktur und in die Daten.
Luks-verschlüsselte USB-Medien können generell nur unter Linux geöffnet, gelesen und beschrieben werden. Wer seine verschlüsselte Daten auch unter Windows lesen will, muss andere Methoden nutzen (siehe Punkt 10).
Die Einrichtung: Luks-Verschlüsselung eines USB-Laufwerks ist unter jedem Linux möglich, unter Ubuntu und Linux Mint mit den Systemtools gnome-disks ("Laufwerke") oder partitionmanager ("KDE Partition Manager") aber besonders einfach. Wir beschreiben die Vorgehensweise zur Luks-Verschlüsselung mit gnome-disks (Gnome, Mate, Unity, Cinnamon, XFCE):
1. Sie schließen den USB-Stick an und starten das Tool "Laufwerke". Dort hängen Sie das Laufwerk mit dem viereckigen Symbol links unterhalb der Partitionsanzeige aus und löschen mit der Minus-Schaltfläche eventuell bestehende Partitionen.
2. Klicken Sie auf das Zahnradsymbol und dort auf "Partition formatieren". Im Folgedialog wählen Sie als "Typ" den Eintrag "Verschlüsselt, kompatibel mit Linux-Systemen (LUKS + Ext4)". Danach geben Sie zweimal die "Passphrase" - also das Entschlüsselungskennwort ein. Ein Klick auf "Formatieren" schließt den Vorgang ab.
3. Unter der Partitionsanzeige gibt es ein neues "Schloss"-Symbol, um die verschlüsselte Partition zu entsperren. Nachdem dies durch Eingabe des Kennworts erfolgt ist, erscheint eine horizontal zweigeteilte Partitionsanzeige - oben die Verwaltungsebene "LUKS", unten die eigentliche, noch unformatierte Datenpartition. Diese braucht jetzt noch ein reguläres Dateisystem über das Zahnradsymbol und "Partition formatieren". Da der Luks-Stick sowieso nur unter Linux lesbar wird, wählen Sie am besten Ext4. Der Eintrag "Name" ist nicht erforderlich, macht aber den späteren Mountpunkt lesbarer.
4. Nach der Formatierung können Sie den Datenträger mit dem üblichen "Dreieck"- Symbol einhängen und mit Daten befüllen.
Die Benutzung: Die Alltagsbedienung ist ganz einfach - dafür sorgen die Dateimanager Nautilus, Nemo, Caja, Dolphin, Thunar. Wenn Sie das USB-Gerät anschließen, erscheint automatisch der Dialog "Geben Sie eine Passphrase zum Entsperren […] ein". Bei manchen Dateimanagern muss das Gerät in der Navigationsspalte angeklickt werden, das dort als "verschlüsselt" erscheint. Nach Eingabe des Kennworts ist das Medium entsperrt, gemountet und normal benutzbar. Im Dateimanager können Sie den Luks-Datenträger auch wieder trennen.
8. Das komplett verschlüsselte Linux auf dem USB-Stick
Eine coole Kombination von einbruchssicheren Daten und flexiblem Mobilsystem ist ein bootfähiges, ordentlich installiertes Linux mit Luks-Verschlüsselung. Im Hinblick auf die verschlüsselten Daten ist es flexibler als ein Luks-verschlüsselter USB-Datenträger (Punkt 7), weil Sie das benötigte Linux-System mit dabei haben. Nebenbei haben Sie ein vollständiges System an der Hand, um die Daten produktiv zu nutzen. Für die Luks-Variante gelten jedoch völlig andere Regeln als für eine übliche Installation eines Linux-Systems auf dem USB-Stick. Wir beschreiben diese wieder anhand des Ubuntu-Installers, der eine Luks-Installation auch auf USB unterstützt, dies aber auf etwas irritierende Weise.
1. Beim Schritt "Installationsart" verwenden Sie "Festplatte löschen und […] installieren" und ferner die Option "[…] Installation zur Sicherheit verschlüsseln". Dabei wird automatisch der Punkt "LVM […] verwenden" aktiv.
2. Nach einem Klick auf "Weiter" folgt die Abfrage des Sicherheitsschlüssels. Dieses Kennwort ist künftig vor jedem Systemstart erforderlich.
3. Mit Klick auf "Jetzt installieren" geht es weiter. Jetzt erscheint der Dialog "Festplatte löschen und [.] installieren" mit dem Angebot "Laufwerk wählen". Hier wählen Sie den USB-Stick aus, der bereits eingesteckt sein muss. Nun erscheint erneut die Schaltfläche "Jetzt installieren", die nun tatsächlich die Installation auslöst.
Die Benutzung als System: Wenn Sie künftig das verschlüsselte USB-System booten, erscheint je nach Distribution ein grafisches Eingabefeld "Please unlock disk […]" oder eine identische Aufforderung am Prompt. Dort geben Sie das Passwort ein. Das Luks-Volume wird entsperrt und unverschlüsselt nach "/dev/mapper/[sd…]" gemountet. Der Systemstart und die weitere Benutzung erfolgen wie bei einem normalen System.
Die Benutzung als Datenstick: Mit einem beliebigen Linux kommen Sie auch von außen an die enthaltenen Daten. Das läuft genauso ab wie beim oben beschriebenen Luks-Datenstick (Punkt 7): Beim Anstecken erscheint der Dialog "Geben Sie eine Passphrase zum Entsperren […] ein". Wer das Kennwort nicht weiß, kann die Partitionen des Sticks nicht einhängen.
9. Linux-System mit verschlüsseltem Home auf USB
Eine Alternative zu Luks für einbruchssichere Daten auf einem Mobilsystem ist ein installiertes Linux mit Home-Verschlüsselung. Diese Methode (mit Ecrypt FS) ist nicht so kompromisslos wie Luks, aber oft ausreichend und technisch anspruchsloser.
Die Einrichtung: Wenn Sie im Ubuntu-Installer beginnen, erscheint nach der Angabe des deutschen Tastaturlayouts die Abfrage des Erstbenutzers "Wer sind Sie?". Für "Ihr Name", Rechnernamen und Kontonamen empfehlen sich für ein USB-Mobilsystem neutrale Angaben wie "Mustermann". Bei der Vergabe des Passworts sollte der Installer ein "Gutes Passwort" melden. Das Passwort ist der entscheidende Schutz dafür, dass sich kein Fremdbenutzer anmelden kann, was zugleich das Home-Verzeichnis aufschließt.
Selbstverständlich muss im Installationsdialog die Option "Passwort zum Anmelden abfragen" eingestellt sein. Darunter gibt es nun die zusätzliche Option "Meine persönlichen Daten verschlüsseln". Aktivieren Sie dieses Kästchen und starten Sie dann die eigentliche Einrichtung mit "Weiter".
Die Benutzung: Die Anmeldung des beim Setup eingerichteten Erstbenutzers mit korrektem Kennwort öffnet den Zugang zum System. Zugleich werden die verschlüsselten Daten von "/home/.ecryptfs/ [konto]/.Private" unverschlüsselt nach "/home/[Benutzer]" gemountet. Damit verhält sich das System aus Anwendersicht wie ein unverschlüsseltes.
Der Fremdzugriff: Wird der so eingerichtete USB-Stick unter einem (Linux-)Fremdsystem gelesen, dann sind Systemordner und Binärdateien ersichtlich. Das Verzeichnis "/home/[konto]" ist hingegen leer und die verschlüsselten Daten unter "/home/.ecryptfs/[konto]/.Private" zeigen nur binären Zeichensalat. Auch Dateinamen sind verschlüsselt, lediglich die Dateigrößen sind ersichtlich.
10. Verschlüsselte Daten für Windows und Linux
Bei den bisher genannten Varianten der Verschlüsselung bleiben andere Systeme außen vor. Die verschlüsselten Daten liest entweder ein separates Linux-System oder das Linux-System auf dem Stick.
Soll auch ein Windows oder Mac-OS Zugriff haben, brauchen Sie eine andere Lösung. Wir empfehlen dafür Veracrypt , das für alle Plattformen zur Verfügung steht.
sudo add-apt-repository ppa:unit193/encryption sudo apt-get update sudo apt-get install veracrypt |
Für Windows gibt es sogar eine portable Variante , so dass der USB-Stick die Windows-Software gleich mittransportieren kann. Die Linux-Variante haben Sie ebenfalls auf dem Stick dabei, wenn Sie darauf ein Linux installieren und ebendort Veracrypt nachrüsten. Das ist in Ubuntu und Co. mittels der Zeilen schnell erledigt.
Für die Daten und die portable Windows-Variante ist eine FAT32-Partition (oder NTFS) erforderlich. Infos dazu finden Sie im Kasten "Die zusätzliche Windows-Partition". Für Linux und Windows ist somit alles auf dem Stick - Daten und Kryptosoftware. Lediglich auf einem Mac-PC muss Veracrypt installiert sein, um die Daten zu erreichen. Den Umgang mit Veracrypt setzen wir an dieser Stelle voraus. Entscheidend ist, dass Veracrypt unter allen Betriebssystemen gleich aussieht, gleich funktioniert und dass verschlüsselte Container auf der FAT32-Partition überall geöffnet und genutzt werden können. (PC-Welt)