Paranoia (was: verschlüsseltes Verzeichnis per NFS)

From: Marc Santhoff <M.Santhoff(at)web.de>
Date: Tue, 17 Jul 2012 19:04:10 +0200



Am Dienstag, den 17.07.2012, 13:51 +0200 schrieb Oliver Fromme:


> Michelle Konzack wrote:


>  > [...]


>  > NFSv4 kann Kerberos Authentification und mann kann Mit USB-Sticks, Chip-


>  > Karten oder Speicherkarten arbeiten.  Soweit die Theorie, aber ich habe


>  > mich mit dem noch nicht auseinandergesetzt


> 


> Von Kerberos würde ich in diesem Fall abraten.  Das ist


> eher was für richtig große Installationen (Universitäten,


> große Firmen u.ä.).  Und wenn man's richtig machen will,


> sollte man für den Kerberos-Server eine separate Maschine


> verwenden und diese in einem Tresor platzieren ...



Gut zu wissen. Ich habe aber auch im Hinterkopf, das Kerberos recht


komplex ist und es mir nie weiter angeguckt.



> Ansonsten kann man auch ein normales VPN verwenden (mit


> OpenVPN, oder auch einfach mit ssh -w; siehe Beispiele


> in der ssh-Manpage unter dem Stichwort "VPN").  Das ist


> relativ einfach aufzusetzen. 



OK, ist notiert.



>  Und wenn man dann auf diesem


> VPN per NFS ein verschlüsseltes GELI-Image exportiert,


> dann hat das schon einen recht hohen Paranoia-Grad.  ;-)



Im Grunde hast Du recht, irgendwo muß man aufhören. Aber ob man die


Netzwerkübertragung offen lassen will? Wo passende Werkzeuge zum


Mitschnitt leicht verfügbar sind - klar ist das strafbar, das heißt aber


nicht, daß es niemand tun würde.



Spannend wird es dann am Monitor, ich erinnere mich an recht simple


Elektronik, mit der man aus nicht zu geringem Abstand das Bild von


Röhrenmonitoren reproduzieren konnte, IIRC war das der CCC. Weiß


zufällig jemand, wie das mit TFTs aussieht? Da wird zwar kein


Elektronenstrahl gefeuert aber die hochfrequenten Signal erzeugen auch


ordentlich Abstrahlung, dürfte für den gut ausgebildeten Amateurfunker


leicht sein, da was aufzufangen.



Auffällig fand ich auch, daß alle neuerdings mit "for business"


beworbenen Tastaturen ein Kabel dran haben. ;)



-- 
Marc Santhoff <M.Santhoff(at)web.de>
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Tue 17 Jul 2012 - 19:05:00 CEST













search this site