Ein verschlüsselter Linux-Stick für die Arbeit unterwegs – Teil 1

Ein USB-Stick mit einer vollständigen Linux-Arbeitsumgebung und starker Verschlüsselung ist eine feine Sache, wenn man an unterschiedlichen Orten arbeitet, viel unterwegs ist oder seine persönlichen Dokumente und Fotos getrennt vom Arbeitsnotebook bearbeiten möchte. Dazu kommt, dass man seinen privaten Arbeitsplatz mit Anwendungen und Tools ganz individuell einrichten kann – und an jedem Ort oder Computer sofort seine gewohnte Umgebung zur Verfügung hat, sobald man von diesem Stick bootet. Alle Änderungen und Ergänzungen bleiben erhalten.

Ein weiterer wichtiger Punkt: Man ist nicht von Cloud-Anwendungen abhängig und kann ohne Unterbrechung arbeiten, auch wenn der Zug gerade irgendwelche Täler oder Schluchten durchfährt. Trotzdem kann man sich natürlich eine Cloud-Synchronisation einrichten – die Aktualisierungen werden von den entsprechenden Tools eben dann vorgenommen, wenn es wieder eine Internetverbindung gibt.

Noch mehr: Wenn man zu Hause einen kleinen Homeserver betreibt, so kann man auf die dortigen Daten auch von dem Stick aus zugreifen. In meinem Fall habe ich alle Dokumente digitalisiert in Paperless-ngx auf meinem kleinen Raspberry Pi zu Hause. Per VPN-Verbindung kann ich trotzdem zu jeder Zeit auf die Unterlagen zugreifen. Gleiches gilt für Laufwerke im heimischen Netzwerk.

Und noch mehr: Neben Office-Programmen, Webanwendungen, Fotoverwaltung, Audiobearbeitung, Backup-Programmen usw. bringt der Stick auch einen Werkzeugkoffer für PC-Notfälle mit. Boot-Probleme am PC eines Kollegen oder die Datenrettung von Speichermedien können in vielen Fällen mit den Tools behoben werden, die das System mitbringt. Zusammen mit einem klaren Design erhält man so eine ausgesprochen nützliche Arbeitsumgebung für den Alltag.

Moment! Ein USB-Stick ist doch langsam – und er kann verloren gehen!

Sticks mit schnellerem Innenleben

Viele denken bei dem Wort „USB-Stick“ an die Geräte, die man als Werbegeschenk erhält oder für ein paar Euro auf den Grabbeltischen der Computermärkte erhält. Die sind allerdings langsam und eignen sich schon gar nicht für einen Dauerbetrieb. Vor allem: Die darin eingebaute Technologie stammt – bildlich gesprochen – aus der Steinzeit. Richtig gute USB-Sticks unterscheiden sich nicht im Äußeren – innen sind aber vollkommen andere Komponenten verbaut. Nicht jeder schnelle USB-Stick ist technisch mit einer SSD gleichzusetzen; hochwertige Modelle nutzen aber ähnliche Controller- und Flash-Mechanismen wie SSDs (Wear-Leveling, Garbage Collection, DRAM-Cache, SSD-Controller usw.). Diese Sticks erreichen derart hohe Geschwindigkeiten über die gängigen USB 3.x-Ports, dass man bei vielen Programmen kaum einen Unterschied zu einer eingebauten SSD bemerkt.

Die Tests habe ich mit zwei Sticks durchgeführt, die ich ohnehin in meiner Schublade liegen habe. Jeweils 256 GB Speicher: Amazon Basics für aktuell ca. 27 Euro und SanDisk Extreme PRO 3.2 für ca. 55 Euro. Der günstigere Stick war völlig ausreichend – ich konnte keinen wirklichen Unterschied zu dem von SanDisk feststellen. [1]

Aber wir gehen bei unserem Projekt noch einen Schritt weiter: Die Anwendungen werden während der Arbeit teilweise ins RAM geladen oder in einen Cache, dazu kommen Auslagerungsbereiche (Swap), falls RAM mal knapp wird. So kann ausgesprochen flüssig und stabil mit dem System gearbeitet werden.

Meine Tests habe ich mit einem älteren und einfachen HP-Notebook durchgeführt, das über 8 GB Arbeitsspeicher verfügt – alles lief durchweg flüssig.

Was passiert, wenn der Stick verloren geht?

Eigentlich sind das zwei unterschiedliche Fragestellungen. Die erste bezieht sich auf das Thema, dass mit Verlust des Sticks „die Daten weg sind“. Ja, wenn man so gar kein Backup macht, dann sind die Dokumente wirklich weg. Aber auch daran ist gedacht. Auf den Stick werden wir Sync-Anwendungen aufnehmen, die für ein – verschlüsseltes – Backup auf einem anderen Gerät, dem Homeserver oder der Cloud vornehmen. Also: Wichtige Daten sollten so auch bei Verlust der Hardware erhalten bleiben.

Die zweite Fragestellung ist eine andere: Wenn jemand den Stick in seinen Computer steckt – sieht er dann all meine privaten Daten? Lehrer:innen können ein Lied von vergessenen USB-Sticks singen. Kaum ein Schüler kann der Versuchung widerstehen, aus reiner Neugier da mal einen Blick drauf zu werfen. In diesem Fall hat er allerdings Pech – selbst wenn er ein Mathe-Genie sein sollte oder Informatik studiert. Denn bei dem Stick kommt die Linux-Standardverschlüsselung LUKS zum Einsatz. Diese gilt als sehr sicher für Datenträger, sofern man eine entsprechende Passwortlänge einsetzt (also nicht einfach „a“ als Passwort nehmen). Und die Verschlüsselung gilt für „ruhende“ Daten. Solange das verschlüsselte Laufwerk bereits entsperrt und das System aktiv ist, können lokale Zugriffe auf die Daten möglich sein.

Mit anderen Worten: Ein verlorener Stick ist sicher ärgerlich, aber ohne Passwort sind die Daten für Finder in der Praxis in der Regel nicht zugänglich. [2]

Ist die Einrichtung kompliziert?

Ich werde ein Verfahren beschreiben, das recht einfach ist. Allerdings: Vom Himmel fällt der Stick auch nicht. Für die Erst-Installation benötigt man auch einen zweiten Stick, der kann aber preisgünstig und klein sein (und nach der Installation für andere Zwecke genutzt werden).

Man muss auf ein paar Dinge achten und vielleicht 30 Minuten Zeiteinsatz einplanen. Dann läuft das System mit seiner Grundausstattung. Hinzu kommt Zeit, wenn man zusätzliche Programme installieren, das Backup seinen eigenen Bedürfnissen anpassen oder optische „Verschönerungen“ konfigurieren möchte. Aber das macht man ja nur am Anfang bzw. hin und wieder, wenn man mal was ändern oder ergänzen will.

Worauf ich besonders geachtet habe: Während der Installation wird nichts an Ihrem eigentlichen Gerät verändert. Es werden also beispielsweise keine Daten auf das Hauptspeichermedium geschrieben oder Änderungen am Bootloader vorgenommen. Windows wird danach wie gewohnt von Ihrem PC oder Notebook starten. Damit kommen wir zum eigentlichen Linux-System: MX Linux.

MX Linux bildet die Grundlage für den Stick

Warum ausgerechnet MX Linux?

Neben den bekannten Linux-Distros wie Ubuntu oder Linux Mint wirkt MX Linux eher schlicht und funktional. Das muss – gerade für ein Arbeitsgerät – kein Nachteil sein. Wichtiger noch: MX Linux ist vollgepackt mit Besonderheiten, auf die ich noch zu sprechen komme.

Der Standarddesktop von MX Linux nennt sich „Xfce“ und benötigt sehr wenig Systemressourcen, wodurch er auch für ältere Geräte ideal ist. Außerdem ist der Desktop sehr gut durchdacht und bietet viele Einstellungsmöglichkeiten. Trotzdem ist das nicht der entscheidende Grund, MX Linux zu nehmen. Denn z. B. kann ich auch meine Standard-Linux – Linux Mint – mit diesem leichten Desktop verwenden. Nein, der eigentliche Grund ist das Tool „MX Live USB Maker“, das eine besondere Art der Installation zulässt.

Unproblematische Installation mit dem MX Live USB Maker

Linux-Systeme sind eigentlich für die Installation auf einem Hauptspeichermedium gedacht – also z. B. auf der im Computer verbauten SSD. Man kann natürlich während der Installation auch externe Medien angeben, also z. B.: „Installiere mir Linux-XYZ auf der USB-SSD“. Je nach Installer, die eine Linux-Distribution verwendet, kann es aber zu Problemen kommen: Gerade der Installer von Ubuntu, Linux Mint und anderen bekannten Distributionen schiebt den Bootloader trotzdem gerne auf das Hauptspeichermedium und nicht auf das externe Medium. Aber auch wenn man eine andere Distro verwendet, muss man sehr auf den Speicherort achten. Oder man klemmt für die Installation den Hauptspeicher ab oder macht diesen über ein Partitionstool „unsichtbar“ – alles nicht zu empfehlen, wenn man sich nicht sehr gut mit Linux-Installationen auskennt. Das USB-Maker-Tool ist darauf ausgelegt, das externe Medium zu verwenden, wodurch das Risiko unbeabsichtigter Änderungen am internen Datenträger sehr gering ist. [5]

Dieses Problem erspart die Installation über den MX Live USB Maker – denn dieses Tool kümmert sich nur um das externe Speichermedium – also unseren USB-Stick – und nimmt eingebaute Medien gar nicht zur Kenntnis. Dazu nutzt das Tool ein Verfahren, das unter dem Namen „Persistenz“ bekannt ist. Dazu mehr in Teil 2 der Serie.

Die Installation von MX Linux auf dem Stick

MX Live USB Maker nimmt mehrere Änderungen in einem Rutsch auf dem Stick vor: Der Boot-Bereich wird erzeugt und mit dem Bootloader gefüllt, das MX Linux-System mit allen Anwendungen wird installiert und die Verschlüsselung eingerichtet (Passwortvergabe erfolgt später).

Vorbereitung von Installationsstick und Arbeitsstick

Für den eigentlich Arbeitsstick gilt: Er sollte möglichst „blank“ sein und auch keine Partitionen enthalten. Zwar klappt die Installation oft auch, wenn dies nicht der Fall ist – es wird dann automatisch alles gelöscht – aber am besten ist es, wenn man einen sauberen/leeren Stick verwendet.

Zunächst aber muss ein Installationsstick vorbereitet werden. Dazu kann man auch einen preisgünstigen/langsamen Stick nehmen, den man noch in der Schublade hat. Es darauf nur das Ausgangssystem installiert werden. Nach der Erzeugung des eigentlichen Sticks benötigt man ihn nicht mehr.

Von der MX Linux Homepage lädt man die Image-Datei (ich habe die Variante mit „Advanced Hardware Support“ genommen) und überspielt diese auf den Installationsstick. Unter Windows haben sich dafür balenaEtcher oder Rufus bewährt. Aufspielen, von Stick booten usw. – der Vorgang dürfte hinlänglich bekannt sein. [3] Man sieht den MX Linux Desktop vor sich und steckt erst jetzt den eigentlichen Arbeitsstick in einen zweiten USB-Steckplatz ein.

Die 33-Sekunden-Installation

Beim Start von MX Linux auf dem Installationsstick öffnet sich automatisch ein Hilfefenster mit einem Menüpunkt „Tools“:

Darauf klicken und das zweite Tool ganz oben auswählen: „MX Live USB Erzeugung“ auswählen. Anschließend folgende Einstellungen vornehmen:

1. Hier wählt man den späteren Arbeitsstick aus – genau auf die Bezeichnung achten, damit das richtige Ziel ausgewählt wird.
2. Man benötigt nun kein Image mehr. Das Tool übernimmt die Inhalte des Installationssticks. Falls als „Quelle“ kein Pfad erscheint, so klickt man auf das Auswahlmenü und hangelt sich zum Verzeichnis „/live/boot-dev“ vor. [4]
3. „Vollständig ausgestatteter Modus“ aktivieren.
4. Wichtig! „Verschlüsseln“ aktivieren!
5. Feld bei 100 % lassen (die 70 % im Screenshot hatte ich nur testweise eingestellt).

Durch „Verschlüsseln“ wird die oben beschriebene LUKS-Verschlüsselung auf den Arbeitsstick angewendet. Die Vergabe eines – starken – Passworts erfolgt später beim ersten Bootvorgang des neuen Sticks!

Dann auf „Weiter“ klicken und die Installation durchlaufen lassen. Bei mir war der Vorgang nach 33 Sekunden erledigt:

Allerdings hatte ich die oben beschriebenen schnellen Sticks im Einsatz. Verwendet man langsamere Hardware oder größere Speicher, so kann die Installation deutlich länger dauern. Wie auch immer: Die Installation vom MX Linux auf dem Arbeitsstick ist damit erledigt. Allerdings müssen beim ersten Bootvorgang die Persistenz-Bereiche korrekt eingerichtet werden. Dazu mehr in Teil 2 der Serie.

[1] Ich bin kein Hardware-Tester und möchte auch keine Werbung für irgendwelche Marken machen. Da gibt es sicher noch zahlreiche andere Modelle, die die Bedingungen auch erfüllen oder sogar günstiger sind. Aber für meine Artikel nehme ich halt das, womit ich selbst arbeite.
[2] Ob das irgendein Geheimdienst mit Quantencomputern in der Festung der Einsamkeit eventuell doch schaffen könnte – mag sein, aber sogar das halte ich für unwahrscheinlich. Aber hier geht es ja um den normalen Arbeitsalltag – da ist eher Ihr Passwort, das Sie auf einem Post-it-Zettel notieren die eigentliche Angriffsfläche.
[3] Falls man so etwas noch nie gemacht hat: Mit den Suchbegriffen „USB Live Stick erstellen“ findet man auf Videoplattformen Anleitungen in Hülle und Fülle.
[4] So lautet der Pfad in der aktuellen MX Linux Version 25.1 – kann bei anderen Versionen etwas abweichen.
[5] Ich formuliere hier mal vorsichtig, da ich nicht abschätzen kann, ob es irgendeine Hardware-/Boot-/Konfigurationsvariante gibt, die dann doch ein Probleme macht.

Verschlüsselter Linux Stick für die Arbeit unterwegs

Teil 1: Vorteile, Hintergrund, Installation
Teil 2: Konfiguration und Anpassung der Arbeitsumgebung (in Vorbereitung)