Clemens-XS schrieb:
Die proprietäre Lösung Yubikey ist mir bekannt und ich mag sie nicht.
Hallo Clemens-XS,
die Open-Source Alternative dazu ist der Nitrokey 🇩🇪.
Hab dazu auch die Diskussion hier gelesen:
https://forum.ubuntuusers.de/topic/feedback-zum-yubikey/
Eine so intensive Diskussion darüber habe ich in der Tat noch nicht gesehen. ☺
Die Absicherungsstärke, die ich damit erreichen will, soll den unbefugten Zugriff Dritter auf meinen Laptop und auch meinen Desktop-PC derart erschweren,[...]
Zugriff vor Ort oder Zugriff remote, also "aus der Ferne"?
dass erheblicher Aufwand nötig wäre, diese Maßnahme zu umgehen, z.B. durch Ausbau der Festplatte.
Das ist bei physischem Zugriff kein Aufwand. Remote zugegebenermaßen schon 😀
Allerdings sehe ich Probleme, wenn eine solche Absicherung nur möglich wäre, wenn das gesamte System z.B. mittels LUKS verschlüsselt werden müsste. Ich hab zwar alle Xubuntu-Teile in separate Partitionen gelegt (also auch /boot), befürchte aber, dass dann z.B. die Leistung des Laptop nicht mehr ausreicht und auch Probleme mit der VirtualBox und der Windows-VM entstehen könnten.
Das kann ich mir nicht vorstellen. Hat tomtomtom ja auch schon wa zu geschrieben.
Clemens-XS schrieb:
[...]
Mir geht es um Überlegungen, wie ich verhindern kann, dass jemand mein System unbemerkt kompromittiert und durch Installation von Malware die Möglichkeit schafft, Daten abzusaugen, die ich im regulären Betrieb von der verschlüsselten Platte entschlüsselt im Zugriff habe oder dass er z.B. Zugriff auf die entschlüsselte Datenbank von Keepass erhält.[...]
Die Lösung dafür ist, das komplette System mit LUKS (oder mit VeraCrypt, siehe auch Pre-Boot Authentication) zu verschlüsseln. Oder ggf. auf die sensiblen Daten nur per Live-System zuzugreifen. Ein unverschlüsselten System kann man (mit Zugriff auf die Hardware) immer kompromittieren. Wenn du tatsächlich befürchtetet, dass jemand unbefugt (vor Ort) auf deine Daten zugreift, ist Verschlüsselung absolute Grundvoraussetzung.
(Auch mit LUKS gibt es theoretisch noch Ansatzpunkte bei der unverschlüsselten Boot-Partition, aber das ist nochmal ein anderes Level.)
Clemens-XS schrieb:
[...]
OK, dann wäre ja eventuell ein Passwort im BIOS bereits die beste Lösung: Der Rechner bootet nur nach Eingabe der Passphrase. Oder das BIOS ist passwortgeschützt so eingestellt, dass ein Hilfs-Startmedium (USB-Stick) eingesteckt sein muss, welches dann den Bootvorgang auf die eigentliche Systemplatte mit Bootpartition umleitet.
Vergiss das gleich wieder. Das BIOS-Passwort bietet nur einen Schutz, wenn kein (unbemerkter) direkter physischer Zugang zum Rechner möglich ist. Damit ist das Anwendungsszenario faktisch auf öffentlich Computer (z. B. in Schulen) beschränkt, bei denen der eigentliche PC physisch gesichert (also weggeschlossen) ist. Das dürfte bei dir Zuhause nicht zutreffen.
Siehe dazu auch BIOS, Abschnitt Sicherheit und wikiHow: Ein BIOS Passwort knacken 🇩🇪.
▶ Fazit: Verschlüsseln. Alles andere baut darauf auf.