Hallo Peter, ich habe gerade auf einem meiner Rechner mehrere Partitionen mit loop-AES verschl�sselt. Das ist kein Problem, aber deines ja auch nicht.
On Mon, 2003-10-27 at 11:54, Peter Kuechler wrote: > Man will, das nur die Windows-clients diese Daten lesen k�nnen, sonst > niemend. Auch der Admin (root) nicht!!! > Wie soll ich das machen??? > Geht das �berhaupt?? > Wenn ja, wie? > Ich denke, das geht nicht. Also die Verschl�sselung durch den User vornehmen zu lassen mag m�glich sein, dann muss der halt das Dateisystem "initialisieren" (die Sache mit dem losetup ... Password? -> User muss das eingeben). > Wenn ich eine Partition per loop und Verschl�sselung mounte, dann mu� > man ein Passwort eingeben, sch�n. Aber danach sind die Daten doch > �ber das Dateisystem lesbar wenn man Zugriffsrechte hat, und die hat > root �berall. Und erst diese lesbaren daten werden auch mit samba > exportiert. > Sehe ich auch so. Also root kommt da ran sobald der user das mount ausgef�hrt hat. Und wenn der Netzwerk-Traffic nicht verschl�sselt ist, kann da auch jeder andere eifrig mit-sniffen. > Kann man das mit Linux l�sen? Denke nicht, root ist halt Gott. > K�nnten die das mit Win2000 o.�. l�sen? > Das schon eher. NTFS unterst�tzt Verschl�sselung, und AFAIR wird die mit dem User-Password verbunden. Also ich w�rde dann doch einen NTFS-Basierten 2k oder 2k3-Server nehmen und die Homes da drauf legen. In einer Domain sollte das mit der home-Verschl�sselung dann einfach m�glich sein und der User wei� es nicht mal. Allerdings VORSICHT: Wenn der DAU sein Password vergisst oder es aus irgend welchen Gr�nden (kam bei uns in der Firma tausend mal vor) ge�ndert wird, ist die Verschl�sselung endg�ltig SICHER. Da geht dann nichts mehr. Und ob das so gewollt ist..... Da sollten sich die Leute die das an dich rangetragen haben mal gut dr�ber klar werden. Wenn M�ller geht und sein PW mitnimmt kann niemand jemals wieder nachschauen, was M�ller dem Meyer vom Lieblingszulieferer in den Abnahmen-Rahmenvertrag geschrieben hat. HTH Lars LarsWeissflog [EMAIL PROTECTED] dot DE -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
