Re: Samba Shares verschlü sseln?

[Toens Bueker]

Christian Schmidt [EMAIL PROTECTED] meinte:

 Sollte der Server abhanden kommen möchte ich nicht, daß dessen Daten von 
 unbefugten gelesen werden können.
 
 Einen Server sollte man schon dagegen sichern, dass er irgendwie
 abhanden kommt.
 Geeignete Massnahmen waeren der Betrieb in einem abschliessbaren
 Raum/Rack, das Abschliessen des Gehaueses, Anleinen des Rechners z.B.
 an einen Heizkoerper etc.
 Sicherheit faengt bei dem Thema physikalischer Zugriff an.

Die Beschlagnahmung von Indymedia-Rechnern in den US of A und England haben
gezeigt, dass selbst gestandene Rechenzentren bei Auftreten von bestimmten
Behörden einfach alle Tore aufmachen (und die die Rechner rausschleppen
lassen).

Tschö
Töns
-- 
There is no safe distance.

Re: Samba Shares verschlü sseln?

[Gerhard Brauer]

Gruesse!
* Thomas Trueten [EMAIL PROTECTED] schrieb am [28.01.06 10:05]:

 Hallo Allerseits,
 ich möchte meine Samba Shares auf Dateisystemebene verschlüsseln, aber so, 
 daß 
 die Windows User sich auf jedem Client wahlweise unter Windows / Linux 
 anmelden und auf ihre Daten zugreifen können. 
 Das Problem: Die Linux Freigaben laufen über NFS (/home) und die Windows 
 Freigaben sind als /Eigene Dateien /Profile auf dem zu verschlüsselnden 
 Rechner abgelegt. loopaes usw. scheiden da ja wohl aus, oder?

Ich bin nicht sehr bewandert in Crypto-Filesystemen, weiß also nicht ob
es kernelseitig bessere Alternativen gibt. Aber eine Möglichkeit würde
mir einfallen: cfs (apt-cache show cfs)

Linux: kein Problem, das (verschlüsselte /home) liegt auf dem Server und
wird vom Client mit cfs am Client gemountet. CPU-Zeit zum crypten liegt
beim Client. Das verwende ich hier auch. Aber halt, du willst ja /homes
exportieren, d.h. der User ist zu diesem Zeitpunkt noch nicht
angemeldet. Die Passphrase zum Mounten wird aber vorher benötigt. Wäre
auch mit Basteln verbunden.

Win/Samba: Da wird es komplizierter, sollte aber (ungetestet) machbar
sein. Die Freigaben liegen verschlüsselt auf dem Server. Beim Anmelden
eines Clients müßte am Server mit cfs lokal das entschlüsselte Share
gemountet werden. Dieser Mount müßte jetzt über Samba (anstelle des
Ursprungs) dem Client zugewiesen werden. Die CPU-zeit zum crypten
liegt somit beim Server.
Das Problem ist auch noch, wo und wie im Verlaufe der Samba-Anmeldung
die Passphrase für das (Server-)cfs eingegeben wird. Denkbar wäre eine
per z.B. putty vorangehende ssh-Sitzung zum Server, um die Passphrase
anzugeben. Ist aber, je nach Umgebung, nicht sehr komfortabel.

Was du evtl. erwartest und was von cfs nicht geleistet wird:
Die Übertragung der Daten findet weiterhin unverschlüsselt statt.
Lediglich die letztliche Ablage der Daten auf dem Server ist
verschlüsselt. cfs verschlüsselt keine Partitionen auf FS-Ebene sondern
Verzeichnisse (dann aber dieses und deren Inhalt). Vorteil: es ist
unabhängig vom Kernel.

In Linux ist es für mich eine absolute Alternative, da die
Verantwortung/Belastung beim Client liegt und der Server lediglich
nfs-Shares zur Verfügung stellen muß. Wenn es Samba-seitig nichts
besseres gibt (und händische Bastelei zumutbar ist) würde ich es an
deiner Stelle mal antesten.

Gruß
Gerhard
-- 
Never use a running system...