Hi *, ich habe in den letzten tagen diverse homedirs zu cryptofilesystem konvertiert was soweit auch gut geklappt hat.
Die frage ist wenn ich kisten wirklich so dicht machen will das wirklich
keine spuren unverschluesselter natur vorhanden sein soll ist ja auch
noch cryptoswap notwendig. Das ganze ist ja unproblematisch weil bei
jedem booten einfach ein neues dm-crypt gebaut wird. Was ist aber mit
logfiles z.b. in /var/log ?
Diese sollte ja tunlichst auch nicht der forensik zur verfuegung stehen.
/var ist jetzt bloede in ein cryptofs zu legen da ich dann ja beim
booten schon einen schluessel/passphrase brauche. Meine kisten sind aber
ausnahmslos nur remote erreichbar d.h. ich brauche eine moeglichkeit das
die kiste bootet und dann nachtraeglich ggfs die logfiles moved oder
dann erst den syslog startet wenn ich das cryptofs mounte. Beim moven
waere ja das problem das spuren der logfiles im alten filesystem
verbleiben es sei denn man nimmt sowas wie tmpfs was temporaer auf
/var/log gemounted ist und dann durch einen bind mount in das cryptofs
ersetzt wird a la:
/etc/init.d/sysklogd stop
DIR=/crypt/log/boot-`date +%Y%m%d%H%M`
mkdir ${DIR}
mv /var/log/* ${DIR}
fuser -mk /var/log
umount /var/log
mount -o bind /crypt/log /var/log
/etc/init.d/sysklogd start
ist natuerlich nicht der hit weil dinge die nicht vie syslog
loggen a la apache, lighthttpd, rsync daemon, uucp etc dann sterben.
Hat da jemand schon praktische erfahrungen/gedanken/loesungen ?
Flo
--
Florian Lohoff [EMAIL PROTECTED] +49-171-2280134
Those who would give up a little freedom to get a little
security shall soon have neither - Benjamin Franklin
signature.asc
Description: Digital signature
-- Linux mailing list [email protected] subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
