Re: crypto Dateisystem
Peter Kuechler wrote: Hallo! Im Moment wird mal wieder eine neue Anforderung an mich herangetragen. Man möchte auf dem Fileserver bestimmte Dateisysteme verschlüsseln (für Personalabteilung u.ä.). Ich würde mich freuen, wenn ihr mir ein paar Tips geben könntet. Hi Peter, probier es doch mal mit CFS (Crypto File System). Das gibt es auch als Debian-Paket (apt-get install cfs). Übrigens: Im neuen Linux-Magazin ist ein ganzer Artikel dem Thema "Verschlüsseltes Dateisystem" gewidmet. Gruß Dejan -- http://www.Wavebone.net/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: crypto Dateisystem
Am Mittwoch, 29. Oktober 2003 00:37 schrieb Michelle Konzack: > Am 2003-10-27 11:54:22, schrieb Peter Kuechler: > >Hallo! > > Hi? > > >Im Moment wird mal wieder eine neue Anforderung an mich > >herangetragen. Man möchte auf dem Fileserver bestimmte > > Dateisysteme verschlüsseln (für Personalabteilung u.ä.). [...] > Die Einzige Lösung sollte Drive-Crypt unter Windows sein. > Da kann man sogenannte Containerdateien erstellen in die man > schreiben kann als währe es eine Partition. > > Aber alles ist verschlüsselt. > > Drive-Crüpt ist Löhn-Ware... Macht nix, sonst geben die ja auch Unsummen für jeden Windows-Mist aus. > >Könnten die das mit Win2000 o.ä. lösen? > > Hab ich Dür gesagt. Jo, vielen Dank. Wir habe es schon aus dem Internet gesaugt um es zu testen. Wenn es funktioniert werden wir das wohl nehmen. -- mfg Peter Küchler, Planungsverband Ballungsraum Frankfurt/Rhein-Main Tel.: 069-2577-1301 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: crypto Dateisystem
Am 2003-10-27 11:54:22, schrieb Peter Kuechler: >Hallo! Hi? >Im Moment wird mal wieder eine neue Anforderung an mich >herangetragen. Man möchte auf dem Fileserver bestimmte Dateisysteme >verschlüsseln (für Personalabteilung u.ä.). > >Ich habe gegoogelt und auch ne Menge gefunden, das bekomme ich also >hin. Aber, und hier liegt das Problem: > >Man will, das nur die Windows-clients diese Daten lesen können, sonst >niemend. Auch der Admin (root) nicht!!! ;-) >Wie soll ich das machen??? >Geht das überhaupt?? >Wenn ja, wie? Die Einzige Lösung sollte Drive-Crypt unter Windows sein. Da kann man sogenannte Containerdateien erstellen in die man schreiben kann als währe es eine Partition. Aber alles ist verschlüsselt. Drive-Crüpt ist Löhn-Ware... >Könnten die das mit Win2000 o.ä. lösen? Hab ich Dür gesagt. >Ich würde mich freuen, wenn ihr mir ein paar Tips geben könntet. Greetings Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: crypto Dateisystem
Hi Martin, On Mon, 2003-10-27 at 17:26, Martin Röhricht wrote: > Hallo Lars, > [...] > Das bringt mich auf eine andere Frage. Wenn ich mein Dateisystem > verschlüssel und ein Backup anfertigen will, werden die Daten dann > unverschlüsselt gesichert, oder sind die auf diesem Datenträger für > niemandem lesbar? It depends --- wie der Engländer sagen würde. Du hast prinzipiell drei Möglichkeiten: a) du sicherst die verschlüsselte Partition als Image. Das ist dann einfach ein (komprimiertes) bit-Abbild deiner Daten, die nach dem wiederherstellen genau so verschlüsselt sind wie vorher b) du machst mittels tar -cvjf oder tar -cvzf oder womit auch immer ein Backup des gemounteten Dateisystems. tar bekommt dann die Daten im Klartext. c) du sicherst den verschlüsselten Datenstrom, nicht aber die Partition selber. "Partition" kann übrigens auch eine loop-mounted Datei sein, die auf einem unverschlüsselten Dateisystem liegt. Beispiel: hda6 ist FAT32, darauf liegt eine 1.5GB große Datei. Diese wird mittels mount -o loop,encryption=AES128 auf /dev/loop3 gemountet (scheiss denglisch), dann wird darauf ein ext2 erzeugt. Anschliessend kann man diese Datei, in der sich nun ein ext2-encrypted befindet unter ~ mounten und hat sein home encrypted. Zum Backup einfach die 1.5G Datei mit einem Packer/Splitter deiner Wahl in CD-gerechte Häppchen zerlegen. Aber zu dem Thema gibt's tonneweise howtos. Gruß Lars > Falls letzteres der Fall ist -- ist es dann > problematisch, so ein Backup auf ein neues System zu portieren? Müsste > ich dann ähnlich dem gnupg Verfahren meine .crypto Privat-Datei erstmal > laden, um die Daten entschlüsseln zu können? > > Martin -- LarsWeissflog [EMAIL PROTECTED] dot DE -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: crypto Dateisystem
Hallo Lars, On 27.10.2003 08:09 Lars Weissflog wrote: Wenn der DAU sein Password vergisst oder es aus irgend welchen Gründen (kam bei uns in der Firma tausend mal vor) geändert wird, ist die Verschlüsselung endgültig SICHER. Da geht dann nichts mehr. Und ob das so gewollt ist. Da sollten sich die Leute die das an dich rangetragen haben mal gut drüber klar werden. Wenn Müller geht und sein PW mitnimmt kann niemand jemals wieder nachschauen, was Müller dem Meyer vom Lieblingszulieferer in den Abnahmen-Rahmenvertrag geschrieben hat. Das bringt mich auf eine andere Frage. Wenn ich mein Dateisystem verschlüssel und ein Backup anfertigen will, werden die Daten dann unverschlüsselt gesichert, oder sind die auf diesem Datenträger für niemandem lesbar? Falls letzteres der Fall ist -- ist es dann problematisch, so ein Backup auf ein neues System zu portieren? Müsste ich dann ähnlich dem gnupg Verfahren meine .crypto Privat-Datei erstmal laden, um die Daten entschlüsseln zu können? Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: crypto Dateisystem
Hi, Am Montag, 27. Oktober 2003 11:54 schrieb Peter Kuechler: > Hallo! > > > Im Moment wird mal wieder eine neue Anforderung an mich > herangetragen. Man möchte auf dem Fileserver bestimmte > Dateisysteme verschlüsseln (für Personalabteilung u.ä.). > > Ich habe gegoogelt und auch ne Menge gefunden, das bekomme ich > also hin. Aber, und hier liegt das Problem: > > Man will, das nur die Windows-clients diese Daten lesen können, > sonst niemend. Auch der Admin (root) nicht!!! > Wie soll ich das machen??? > Geht das überhaupt?? > Wenn ja, wie? > > Wenn ich eine Partition per loop und Verschlüsselung mounte, dann > muß man ein Passwort eingeben, schön. Aber danach sind die Daten > doch über das Dateisystem lesbar wenn man Zugriffsrechte hat, und > die hat root überall. Und erst diese lesbaren daten werden auch > mit samba exportiert. > > Kann man das mit Linux lösen? > Könnten die das mit Win2000 o.ä. lösen? rein theoretisch könnte es gehen. Es gibt ja die Möglichkeit bei Zugriff zu mounten. Stichwort preexec, postexec (in der smb.conf). Aber ohne dass root zugriff hat wird es wohl nur über die Verschlüsselungsmechanismen der Winrechner gehen. ciao dieter -- registered linuxuser 199810 it's time to close windows -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: crypto Dateisystem
Hallo Peter, ich habe gerade auf einem meiner Rechner mehrere Partitionen mit loop-AES verschlüsselt. Das ist kein Problem, aber deines ja auch nicht. On Mon, 2003-10-27 at 11:54, Peter Kuechler wrote: > Man will, das nur die Windows-clients diese Daten lesen können, sonst > niemend. Auch der Admin (root) nicht!!! > Wie soll ich das machen??? > Geht das überhaupt?? > Wenn ja, wie? > Ich denke, das geht nicht. Also die Verschlüsselung durch den User vornehmen zu lassen mag möglich sein, dann muss der halt das Dateisystem "initialisieren" (die Sache mit dem losetup ... Password? -> User muss das eingeben). > Wenn ich eine Partition per loop und Verschlüsselung mounte, dann muß > man ein Passwort eingeben, schön. Aber danach sind die Daten doch > über das Dateisystem lesbar wenn man Zugriffsrechte hat, und die hat > root überall. Und erst diese lesbaren daten werden auch mit samba > exportiert. > Sehe ich auch so. Also root kommt da ran sobald der user das mount ausgeführt hat. Und wenn der Netzwerk-Traffic nicht verschlüsselt ist, kann da auch jeder andere eifrig mit-sniffen. > Kann man das mit Linux lösen? Denke nicht, root ist halt Gott. > Könnten die das mit Win2000 o.ä. lösen? > Das schon eher. NTFS unterstützt Verschlüsselung, und AFAIR wird die mit dem User-Password verbunden. Also ich würde dann doch einen NTFS-Basierten 2k oder 2k3-Server nehmen und die Homes da drauf legen. In einer Domain sollte das mit der home-Verschlüsselung dann einfach möglich sein und der User weiß es nicht mal. Allerdings VORSICHT: Wenn der DAU sein Password vergisst oder es aus irgend welchen Gründen (kam bei uns in der Firma tausend mal vor) geändert wird, ist die Verschlüsselung endgültig SICHER. Da geht dann nichts mehr. Und ob das so gewollt ist. Da sollten sich die Leute die das an dich rangetragen haben mal gut drüber klar werden. Wenn Müller geht und sein PW mitnimmt kann niemand jemals wieder nachschauen, was Müller dem Meyer vom Lieblingszulieferer in den Abnahmen-Rahmenvertrag geschrieben hat. HTH Lars LarsWeissflog [EMAIL PROTECTED] dot DE -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: crypto Dateisystem
On Mon, 2003-10-27 at 11:54, Peter Kuechler wrote: > Man will, das nur die Windows-clients diese Daten lesen können, sonst > niemend. Auch der Admin (root) nicht!!! > Wie soll ich das machen??? > Geht das überhaupt?? > Wenn ja, wie? Kuck' Dir mal scramdisk, bzw. - wie ich gerade Feststellen muss, dessen Nachfolger (Kinder wie die Zeit vergeht!) - DriveCrypt(.com) an. Ist für Windows95/98/ME/NT/2000/XP. Du exportierst also erst Dein wie-auch-immer-formatiges Linux-Dateisystem und richtest dann da, von den MS-Clients aus, was Verschlüsseltes ein. HTH Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
crypto Dateisystem
Hallo! Im Moment wird mal wieder eine neue Anforderung an mich herangetragen. Man möchte auf dem Fileserver bestimmte Dateisysteme verschlüsseln (für Personalabteilung u.ä.). Ich habe gegoogelt und auch ne Menge gefunden, das bekomme ich also hin. Aber, und hier liegt das Problem: Man will, das nur die Windows-clients diese Daten lesen können, sonst niemend. Auch der Admin (root) nicht!!! Wie soll ich das machen??? Geht das überhaupt?? Wenn ja, wie? Wenn ich eine Partition per loop und Verschlüsselung mounte, dann muß man ein Passwort eingeben, schön. Aber danach sind die Daten doch über das Dateisystem lesbar wenn man Zugriffsrechte hat, und die hat root überall. Und erst diese lesbaren daten werden auch mit samba exportiert. Kann man das mit Linux lösen? Könnten die das mit Win2000 o.ä. lösen? Ich würde mich freuen, wenn ihr mir ein paar Tips geben könntet. -- mfg Peter Küchler, Planungsverband Ballungsraum Frankfurt/Rhein-Main Tel.: 069-2577-1301 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
