Re: zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie

2008-02-18 Wątek Lech Karol Pawłaszek

Marek wrote:

Witam,
  planuje stworzenie kopii bezpieczenstwa stronek z danymi userow na
  zdalnej maszynie, jednak ta zdalna maszyna niekoniecznie jest w
  bezpiecznym miejscu/100% zabezpieczona, a pomysl jest taki:

[...]

prosze o uwagi, czy porady do mojego pomyslu, ew inne 'bezpiecznie'
rozwiazania takiej funkcjonalnosci

[...]

Wiem, że późno na wątek odpowiadam, ale może bacula i szyfrowanie danych 
na kliencie? Połączenie też można bezpiecznym kanałem puścić.


IMVHO najbezpieczniejsze i najładniejsze.

Pozdrawiam,

--
Lech Karol Pawłaszek ike
You will never see me fall from grace [KoRn]


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]



Re: zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie

2008-02-08 Wątek Marcin Kasperski

   -rozwiazanie, kiedy to ta zdalna maszyna uzyskuje dostep do maszyny
   z danymi zrodlowymi jest nie do przyjecia (kradziez/zlamanie maszyny
   z danymi trzeba uznac jako prawdopodbne)

Skoro tak, to za równie prawdopodobne należy uznać, że ktoś się dorwie
do Twojej szyfrowanej partycji w trakcie gdy będzie zamontowana (albo
podkradnie klucze w trakcie montowania dzięki podmienieniu aplikacji
które z nich korzystają). Rozsądniejszym rozwiązaniem byłoby
szyfrowanie danych po drugiej stronie i przesyłanie już w formie
zaszyfrowanej.

-- 
--
| Marcin Kasperski   | The cost of a few uncorrected non-critical
| http://mekk.waw.pl | human errors is less then the cost imposed
||  by a process that tries to prevent them.
||   (Booch,Martin,Newkirk)
--


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]



Re[2]: zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie

2008-02-08 Wątek Marek
Hello Marcin,

Friday, February 8, 2008, 10:50:54 AM, you wrote:


   -rozwiazanie, kiedy to ta zdalna maszyna uzyskuje dostep do maszyny
   z danymi zrodlowymi jest nie do przyjecia (kradziez/zlamanie maszyny
   z danymi trzeba uznac jako prawdopodbne)

MK Skoro tak, to za równie prawdopodobne należy uznać, że ktoś się dorwie
MK do Twojej szyfrowanej partycji w trakcie gdy będzie zamontowana (albo
MK podkradnie klucze w trakcie montowania dzięki podmienieniu aplikacji
MK które z nich korzystają). Rozsądniejszym rozwiązaniem byłoby
MK szyfrowanie danych po drugiej stronie i przesyłanie już w formie
MK zaszyfrowanej.

prawda, myslalem i o tym, czyli zeby
  -na zdalnej maszynie byl wolumin lvm
  -do tego woluminu w jakis (ssh?) sposob podlacza sie komp robiacy
  kopie
  -komp robiacy kopie mapuje cryptowana partycje
  -dalej rdiff-backup
  
jednak jak narazie nie mam zielonego pojecia jak to zrobic
'pasmooszczednie', wydaje mi sie ze takie rozwiazanie bedzie duzo
bardziej pasmozerne, bo dodatkowo przeslac trzeba informacje systemu
plikow o plikach, nie kojarze niestety zadnego dobrego sposobu na
zrobienie powyzszego, czy jakis specjalny system plikow do takich
zastosowan?


aktualnie skrypty maja attr +i i mod 700, katalog kopii tez,
czy dobrze mysle, ze aktualne rozwiazanie jest podatne na innego roota
ale juz nie na zwyklego usera? (dopoki nie zmieni sie w roota)

z uwag do rdiff-backup mam jednak jego duzo mniej eleganckie
zachowanie w przypadku przerwnaia sesji kopii, rsync przy kolejnej
poprostu kontynuowal jak by sie nic nie stalo, rdiff-backup np
zostawia smiec-plik tmp z czesciowo wkopiowanym nowym plikiem (w
przypadku transferu nowego pliku)

-- 
Best regards,
 Marekmailto:[EMAIL PROTECTED]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]



Re: zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie

2008-02-07 Wątek Maciej Rutecki
07-02-08, Marek [EMAIL PROTECTED] napisał(a):
 Witam,
   planuje stworzenie kopii bezpieczenstwa stronek z danymi userow na
   zdalnej maszynie, jednak ta zdalna maszyna niekoniecznie jest w
   bezpiecznym miejscu/100% zabezpieczona, a pomysl jest taki:

   1. na zdalnej maszynie zalozona cryptowana partycja pod kopie
 nie robilem jeszcze szyfrowanych partycji, widzialem, ze jest
 kilka sposobow

 ktore z narzedzi do tego jest aktualnie rozwijane i stosowane?

http://olewaczers.eu.org/crypt.php

   2. maszyna z danymi okresowo loguje sie przez ssh na maszyne z kopia
  (klucz/passwd+skrypt)

czyli ssh bez kombinacji tylko przenieść klucz publiczny
http://jakilinux.org/aplikacje/sztuczki-z-ssh/
http://jakilinux.org/aplikacje/sztuczki-z-ssh-2-tunele/

  mozliwosc odzyskania pliku np sprzed 3 dni)

rdiff-backup albo rsync.

http://jakilinux.org/aplikacje/konsola/synchronizacja-i-backup-danych-w-kubuntu/

-- 
Maciej Rutecki
http://www.maciek.unixy.pl


zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie

2008-02-07 Wątek Marek
Witam,
  planuje stworzenie kopii bezpieczenstwa stronek z danymi userow na
  zdalnej maszynie, jednak ta zdalna maszyna niekoniecznie jest w
  bezpiecznym miejscu/100% zabezpieczona, a pomysl jest taki:

  1. na zdalnej maszynie zalozona cryptowana partycja pod kopie
nie robilem jeszcze szyfrowanych partycji, widzialem, ze jest
kilka sposobow

ktore z narzedzi do tego jest aktualnie rozwijane i stosowane?


  2. maszyna z danymi okresowo loguje sie przez ssh na maszyne z kopia
 (klucz/passwd+skrypt)
   - montuje podajac haslo lub klucz szyfrowana partycje (skryptem)
   - odpala archiwizacje aktualnego poola z danymi (co by miec
 mozliwosc odzyskania pliku np sprzed 3 dni)
   - robi rsync nowych danych (spardzone i wydajne)
   - odmontowuje szyfrowana partycje, wylogowuje sie

  -rozwiazanie, kiedy to ta zdalna maszyna uzyskuje dostep do maszyny
  z danymi zrodlowymi jest nie do przyjecia (kradziez/zlamanie maszyny
  z danymi trzeba uznac jako prawdopodbne)

  -polaczenie miedzy maszynami jest po internecie i rozwiazanie nie
  powinno byc mniej oszczedne jesli chodzi o uzycie sieci niz rsync -z


prosze o uwagi, czy porady do mojego pomyslu, ew inne 'bezpiecznie'
rozwiazania takiej funkcjonalnosci

-- 
Pozdrawia Marek

[EMAIL PROTECTED] boze to juz jest alkoholizm pisze stronke:
   TD BACKGROUND=menu.gif HEINEKEN zamiast HEIGHT 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]



Re: zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie

2008-02-07 Wątek Andrzej Mendel
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Marek pisze:
 Witam,
   planuje stworzenie kopii bezpieczenstwa stronek z danymi userow na
   zdalnej maszynie, jednak ta zdalna maszyna niekoniecznie jest w
   bezpiecznym miejscu/100% zabezpieczona, a pomysl jest taki:

   1. na zdalnej maszynie zalozona cryptowana partycja pod kopie
 nie robilem jeszcze szyfrowanych partycji, widzialem, ze jest
 kilka sposobow

 ktore z narzedzi do tego jest aktualnie rozwijane i stosowane?
Korzystam z LUKS, jest teraz częścią cryptsetup (paczka jest w
Debianie od dawna) sprawdza się świetnie, zamontowanie tego ręcznie to
sprawa dwóch komend, a Gnome wykrywa takie partycje (np. na pendrive)
i montuje je po podaniu hasła.


   2. maszyna z danymi okresowo loguje sie przez ssh na maszyne z kopia
  (klucz/passwd+skrypt)
- montuje podajac haslo lub klucz szyfrowana partycje (skryptem)
- odpala archiwizacje aktualnego poola z danymi (co by miec
  mozliwosc odzyskania pliku np sprzed 3 dni)
- robi rsync nowych danych (spardzone i wydajne)
- odmontowuje szyfrowana partycje, wylogowuje sie

   -rozwiazanie, kiedy to ta zdalna maszyna uzyskuje dostep do maszyny
   z danymi zrodlowymi jest nie do przyjecia (kradziez/zlamanie maszyny
   z danymi trzeba uznac jako prawdopodbne)

   -polaczenie miedzy maszynami jest po internecie i rozwiazanie nie
   powinno byc mniej oszczedne jesli chodzi o uzycie sieci niz rsync -z


 prosze o uwagi, czy porady do mojego pomyslu, ew inne 'bezpiecznie'
 rozwiazania takiej funkcjonalnosci

Z tego co znam LUKS, to rozwiązanie oparte o niego powinno akurat pasować.


- --
Cheers!
Andrzej Mendel
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHq3xeqB4jXo6ZLCQRAtcPAJ49ZfjpvVnf4cLuy4U+if5iy7QncACcCPvn
EjfX+4AUOEL6h3ppGwqzqYo=
=+DkT
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]



Re[2]: zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie

2008-02-07 Wątek Marek
Hello Maciej,

Thursday, February 7, 2008, 6:39:43 PM, you wrote:

[..]
   1. na zdalnej maszynie zalozona cryptowana partycja pod kopie
 nie robilem jeszcze szyfrowanych partycji, widzialem, ze jest
 kilka sposobow
 ktore z narzedzi do tego jest aktualnie rozwijane i stosowane?

MR http://olewaczers.eu.org/crypt.php

super opis :)
wazne tez, ze mozna to (niekoniecznie na zamontowanym systemie, bo nie
potrzebuje tak) resizowac

   2. maszyna z danymi okresowo loguje sie przez ssh na maszyne z kopia
  (klucz/passwd+skrypt)

MR czyli ssh bez kombinacji tylko przenieść klucz publiczny
MR http://jakilinux.org/aplikacje/sztuczki-z-ssh/
MR http://jakilinux.org/aplikacje/sztuczki-z-ssh-2-tunele/

problem z baza danych maja w jakilinux.org aktualnie, ale wiem o co
chodzi z ssh i kluczem publicznym, myslalem o dodatkowym
zabezpieczeniu w postaci hasla, ale w sumie jesli ktos zdobedzie klucz
prywatny to znaczy ze mial dostep do maszyny, wiec i dodatkowe haslo
do klucza jesli podawane ze skryptu jest bezcelowe bo jesli nawet nie
lezy bezposrednio na tej maszynie to przez nia przeleciec musi

  mozliwosc odzyskania pliku np sprzed 3 dni)

MR rdiff-backup albo rsync.
MR 
http://jakilinux.org/aplikacje/konsola/synchronizacja-i-backup-danych-w-kubuntu/

rdiff-backup mi sie podoba

wyglada na to ze lvm+crypt i rdiff-backup via ssh beda tym wlasciwym
rozwiazaniem

Dziekuje za wskazowki!

-- 
Pozdrawiam,
 Marekmailto:[EMAIL PROTECTED]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]