Festplattenverschlüsselung ist eine wichtige Methode, um private Daten dem Zugriff durch Dritte zu entziehen. Ein Problem dabei ist jedoch, dass die Verschlüsselung nur aktiv ist, wenn das System ausgeschaltet ist. Solange der Rechner eingeschaltet ist, schützt die Daten lediglich die Bildschirmsperre, für die man aber oft ein weniger starkes Passwort gesetzt hat. Eine, bereits bei Smartphones bewährte, Lösung dafür ist ein sog. Wrong Password Shutdown. Dabei handelt es sich um ein Stück Software, dass den Rechner nach einigen falschen Passworteingaben in der Bildschirmsperre ausschaltet. Nach dem Ausschalten ist der Rechner dann durch das sicherere Systemverschlüsselungspasswort geschützt. Der Wrong Password Shutdown kann dabei insbesondere als zweiter Fallschirm für Fälle dienen, in denen man vergessen hat den Rechner auszuschalten. Wichtig ist jedoch, dass der Wrong Password Shutdown keine Einladung für ein triviales Nutzerpasswort ist. Das Nutzerpasswort wird nämlich nicht nur die Bildschirmsperre, sondern auch für andere Authentifizierungen, bspw. die Installation von Paketen, genutzt. Es gilt also eine sinnvolle Abwägung zwischen der Sicherheit des Passworts und der Bequemlichkeit bei der Eingabe zu finden. Schließlich sollte der Wrong Password Shutdown auch nicht auf Servern installiert werden auf die ein Zugriff aus dem Internet möglich ist. Der Grund hierfür ist, dass sonst Dritte in der Lage sind mit falschen Passworteingaben ein ungewolltes Herunterfahren des Servers auszulösen.
sudo tar -xvzf wps.tar.gz -C /etc
sudo nano /etc/pam.d/common-auth
auth optional pam_exec.so /etc/wps/wrongpassword.sh debug
sudo nano /etc/pam.d/common-account
account required pam_exec.so /etc/wps/wrongpassword.sh
Das Shutdown-Skript wurde übrigens ursprünglich von Space Cowboy entworfen und für diesen Beitrag modifiziert.