Re: verschlüsseltes Verzeichnis per NFS

From: Marc Santhoff <M.Santhoff(at)web.de>
Date: Mon, 16 Jul 2012 20:23:06 +0200

Am Montag, den 16.07.2012, 18:47 +0200 schrieb Michelle Konzack:
> Hello Marc Santhoff,
>
> Am 2012-07-16 16:30:17, hacktest Du folgendes herunter:
> > ich beschäftige mich gerade mit verschlüsselten Containern mit geli.
> > Welche anlegen und benutzten klappt lokal auch gut.
>
> Sowas mache ich auich seit leztem Jahr, allerdings bin ich dabei, einen
> gecrypteten Cloud-Service anzubieten bei dem die Kunden einen Diskspace
> (also einen gecrypteten Container) mieten und dann über Netzwerk
> ansprechen. Direkt mount als Netzwerk Laufwerk oder per Webbrowser
> wobei die Datenübertragung bereits auf der Kundenseite im Browser
> gecryptet wird
>
> Damit kann dann weder der Dateiinhalt noch der Dateiname gesichtet
> werden...

Ja, so stelle ich mir das vor. Allerdings für ein kleines Netz mit
wenigen BEnutzern, aber im Prinzip schon.

> Sprich, GEMA, RIAA oder Hadopi haben das nachsehen.
>
> Wenn der Kunden den Schlüssel zum Container verliert gibt es definitiv
> KEINE Rettungsmöglichkeit der Daten... Also ISP kann ich lediglich den
> Container löschen. :-D

IIRC kann man mit geli auch zwei Schlüssel einrichten, ist aber eine
Weile her, daß ich die man page studiert hatte. Wäre schon
wünschenswert, einen Ersatzschlüssel mit Ersatzpasswort im Ernstfall
parat zu haben.

> > Am liebsten würde ich einen solchen per NFS freigeben, der aber nur dem
> > Nutzer präsentiert wird, wenn er 1. das Passwort kennt und 2. die
> > passende Key-Datei bereitstellt - USB-Stöpsel oder so. Gibt es zu sowas
> > womöglich ein How-To oder weiß jemand aus Erfahrung, ob sowas zu
> > realisieren ist?
>
> Das geht eigentlich mit dem "automounter" (autofs) nur habe ich das noch
> nicht zum laufen gebracht
>
> > Im Moment ist mein Problem, daß der mount-Vorgang erstmal ein Passwort
> > abfragen und die Schlüsseldfatei anfordern soll. Das müßte allerdings
> > von "überall" möglich sein, also ein Skript auf dem Client-Rechner ist
> > keine besonders gute Idee ...
>
> NFSv4 kann Kerberos Authentification und mann kann Mit USB-Sticks, Chip-
> Karten oder Speicherkarten arbeiten. Soweit die Theorie, aber ich habe
> mich mit dem noch nicht auseinandergesetzt

Guter Tip, werde ich mit auf die Liste setzen.

> > Die nächste schon sichtbare Baustelle ist die Übertragung über die
> > Leitung, die soll nicht im Klartext erfolgen.
>
> Ich verwende NFSv4 mit TCP und SSL tunneling.
> (UDP kann man nicht tunneln)

Das auch.

> > RTFM?
>
> Ich versuche das ganze mit FreeBSD (läuft saumäßig stabil) und Debian
> GNU/Linux und nichts funktioniert bisher so richtig wie ich will.

Hier ist FreeBSD und vielleicht (wenn's unbedingt sein muß ;) Windows im
Spiel. Letzteres aber nicht per NFS, ggf. Samba bzw. smbfs ...

-- 
Marc Santhoff <M.Santhoff(at)web.de>
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 16 Jul 2012 - 20:24:33 CEST

search this site