Anleitung: Wrong Password Shutdown für Linux

Festplattenverschlüsselung ist eine wichtige Methode, um private Daten dem Zugriff durch Dritte zu entziehen. Ein Problem dabei ist jedoch, dass die Verschlüsselung nur aktiv ist, wenn das System ausgeschaltet ist. Solange der Rechner eingeschaltet ist, schützt die Daten lediglich die Bildschirmsperre, für die man aber oft ein weniger starkes Passwort gesetzt hat. Eine, bereits bei Smartphones bewährte, Lösung dafür ist ein sog. Wrong Password Shutdown. Dabei handelt es sich um ein Stück Software, dass den Rechner nach einigen falschen Passworteingaben in der Bildschirmsperre ausschaltet. Nach dem Ausschalten ist der Rechner dann durch das sicherere Systemverschlüsselungspasswort geschützt. Der Wrong Password Shutdown kann dabei insbesondere als zweiter Fallschirm für Fälle dienen, in denen man vergessen hat den Rechner auszuschalten. Wichtig ist jedoch, dass der Wrong Password Shutdown keine Einladung für ein triviales Nutzerpasswort ist. Das Nutzerpasswort wird nämlich nicht nur die Bildschirmsperre, sondern auch für andere Authentifizierungen, bspw. die Installation von Paketen, genutzt. Es gilt also eine sinnvolle Abwägung zwischen der Sicherheit des Passworts und der Bequemlichkeit bei der Eingabe zu finden. Schließlich sollte der Wrong Password Shutdown auch nicht auf Servern installiert werden auf die ein Zugriff aus dem Internet möglich ist. Der Grund hierfür ist, dass sonst Dritte in der Lage sind mit falschen Passworteingaben ein ungewolltes Herunterfahren des Servers auszulösen.

Um euch einen Wrong Passwort Shutdown einzurichten, ladet euch zunächst diese Datei mit dem Shutdown-Skript herunter und entpackt sie mit
sudo tar -xvzf wps.tar.gz -C /etc
in den Ordner etc. Achtet dabei auf jeden Fall darauf, dass das Skript nach dem Entpacken tatsächlich in „/etc/wps“ liegt und nicht direkt in „/etc“.
Anschließend müsst ihr noch dafür sorgen, dass das Skript auch aufgerufen wird, wenn der Bildschirm entsperrt werden soll. Dafür ist es notwendig die Dateien „common-auth“ und „common-account“ in /etc/pam.d zu ändern. Ruft dafür in einem Terminal zunächst mit
sudo nano /etc/pam.d/common-auth
die Datei „common-auth“ auf und schreibt dann in die erste Zeile:
auth optional pam_exec.so /etc/wps/wrongpassword.sh debug
Dann speichert ihr die Datei. Wenn ihr dabei Probleme habt, schaut euch diese Anleitung zu nano an oder benutzt einen Texteditor eurer Wahl. Anschließend muss auch „common-account“ bearbeitet werden. Dazu öffnet ihr die Datei zunächst wieder mit
sudo nano /etc/pam.d/common-account
und schreibt in die erste Zeile:
account required pam_exec.so /etc/wps/wrongpassword.sh
Anschließend speichert ihr die Datei wieder. Sobald das geschehen ist, ist der Wrong Password Shutdown aktiv und ihr könnt ihn durch das Sperren des Bildschirms testen.

Das Shutdown-Skript wurde übrigens ursprünglich von Space Cowboy entworfen und für diesen Beitrag modifiziert.