Re: zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie
Marek wrote: Witam, planuje stworzenie kopii bezpieczenstwa stronek z danymi userow na zdalnej maszynie, jednak ta zdalna maszyna niekoniecznie jest w bezpiecznym miejscu/100% zabezpieczona, a pomysl jest taki: [...] prosze o uwagi, czy porady do mojego pomyslu, ew inne 'bezpiecznie' rozwiazania takiej funkcjonalnosci [...] Wiem, że późno na wątek odpowiadam, ale może bacula i szyfrowanie danych na kliencie? Połączenie też można bezpiecznym kanałem puścić. IMVHO najbezpieczniejsze i najładniejsze. Pozdrawiam, -- Lech Karol Pawłaszek ike You will never see me fall from grace [KoRn] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie
-rozwiazanie, kiedy to ta zdalna maszyna uzyskuje dostep do maszyny z danymi zrodlowymi jest nie do przyjecia (kradziez/zlamanie maszyny z danymi trzeba uznac jako prawdopodbne) Skoro tak, to za równie prawdopodobne należy uznać, że ktoś się dorwie do Twojej szyfrowanej partycji w trakcie gdy będzie zamontowana (albo podkradnie klucze w trakcie montowania dzięki podmienieniu aplikacji które z nich korzystają). Rozsądniejszym rozwiązaniem byłoby szyfrowanie danych po drugiej stronie i przesyłanie już w formie zaszyfrowanej. -- -- | Marcin Kasperski | The cost of a few uncorrected non-critical | http://mekk.waw.pl | human errors is less then the cost imposed || by a process that tries to prevent them. || (Booch,Martin,Newkirk) -- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[2]: zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie
Hello Marcin, Friday, February 8, 2008, 10:50:54 AM, you wrote: -rozwiazanie, kiedy to ta zdalna maszyna uzyskuje dostep do maszyny z danymi zrodlowymi jest nie do przyjecia (kradziez/zlamanie maszyny z danymi trzeba uznac jako prawdopodbne) MK Skoro tak, to za równie prawdopodobne należy uznać, że ktoś się dorwie MK do Twojej szyfrowanej partycji w trakcie gdy będzie zamontowana (albo MK podkradnie klucze w trakcie montowania dzięki podmienieniu aplikacji MK które z nich korzystają). Rozsądniejszym rozwiązaniem byłoby MK szyfrowanie danych po drugiej stronie i przesyłanie już w formie MK zaszyfrowanej. prawda, myslalem i o tym, czyli zeby -na zdalnej maszynie byl wolumin lvm -do tego woluminu w jakis (ssh?) sposob podlacza sie komp robiacy kopie -komp robiacy kopie mapuje cryptowana partycje -dalej rdiff-backup jednak jak narazie nie mam zielonego pojecia jak to zrobic 'pasmooszczednie', wydaje mi sie ze takie rozwiazanie bedzie duzo bardziej pasmozerne, bo dodatkowo przeslac trzeba informacje systemu plikow o plikach, nie kojarze niestety zadnego dobrego sposobu na zrobienie powyzszego, czy jakis specjalny system plikow do takich zastosowan? aktualnie skrypty maja attr +i i mod 700, katalog kopii tez, czy dobrze mysle, ze aktualne rozwiazanie jest podatne na innego roota ale juz nie na zwyklego usera? (dopoki nie zmieni sie w roota) z uwag do rdiff-backup mam jednak jego duzo mniej eleganckie zachowanie w przypadku przerwnaia sesji kopii, rsync przy kolejnej poprostu kontynuowal jak by sie nic nie stalo, rdiff-backup np zostawia smiec-plik tmp z czesciowo wkopiowanym nowym plikiem (w przypadku transferu nowego pliku) -- Best regards, Marekmailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie
07-02-08, Marek [EMAIL PROTECTED] napisał(a): Witam, planuje stworzenie kopii bezpieczenstwa stronek z danymi userow na zdalnej maszynie, jednak ta zdalna maszyna niekoniecznie jest w bezpiecznym miejscu/100% zabezpieczona, a pomysl jest taki: 1. na zdalnej maszynie zalozona cryptowana partycja pod kopie nie robilem jeszcze szyfrowanych partycji, widzialem, ze jest kilka sposobow ktore z narzedzi do tego jest aktualnie rozwijane i stosowane? http://olewaczers.eu.org/crypt.php 2. maszyna z danymi okresowo loguje sie przez ssh na maszyne z kopia (klucz/passwd+skrypt) czyli ssh bez kombinacji tylko przenieść klucz publiczny http://jakilinux.org/aplikacje/sztuczki-z-ssh/ http://jakilinux.org/aplikacje/sztuczki-z-ssh-2-tunele/ mozliwosc odzyskania pliku np sprzed 3 dni) rdiff-backup albo rsync. http://jakilinux.org/aplikacje/konsola/synchronizacja-i-backup-danych-w-kubuntu/ -- Maciej Rutecki http://www.maciek.unixy.pl
zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie
Witam, planuje stworzenie kopii bezpieczenstwa stronek z danymi userow na zdalnej maszynie, jednak ta zdalna maszyna niekoniecznie jest w bezpiecznym miejscu/100% zabezpieczona, a pomysl jest taki: 1. na zdalnej maszynie zalozona cryptowana partycja pod kopie nie robilem jeszcze szyfrowanych partycji, widzialem, ze jest kilka sposobow ktore z narzedzi do tego jest aktualnie rozwijane i stosowane? 2. maszyna z danymi okresowo loguje sie przez ssh na maszyne z kopia (klucz/passwd+skrypt) - montuje podajac haslo lub klucz szyfrowana partycje (skryptem) - odpala archiwizacje aktualnego poola z danymi (co by miec mozliwosc odzyskania pliku np sprzed 3 dni) - robi rsync nowych danych (spardzone i wydajne) - odmontowuje szyfrowana partycje, wylogowuje sie -rozwiazanie, kiedy to ta zdalna maszyna uzyskuje dostep do maszyny z danymi zrodlowymi jest nie do przyjecia (kradziez/zlamanie maszyny z danymi trzeba uznac jako prawdopodbne) -polaczenie miedzy maszynami jest po internecie i rozwiazanie nie powinno byc mniej oszczedne jesli chodzi o uzycie sieci niz rsync -z prosze o uwagi, czy porady do mojego pomyslu, ew inne 'bezpiecznie' rozwiazania takiej funkcjonalnosci -- Pozdrawia Marek [EMAIL PROTECTED] boze to juz jest alkoholizm pisze stronke: TD BACKGROUND=menu.gif HEINEKEN zamiast HEIGHT -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Marek pisze: Witam, planuje stworzenie kopii bezpieczenstwa stronek z danymi userow na zdalnej maszynie, jednak ta zdalna maszyna niekoniecznie jest w bezpiecznym miejscu/100% zabezpieczona, a pomysl jest taki: 1. na zdalnej maszynie zalozona cryptowana partycja pod kopie nie robilem jeszcze szyfrowanych partycji, widzialem, ze jest kilka sposobow ktore z narzedzi do tego jest aktualnie rozwijane i stosowane? Korzystam z LUKS, jest teraz częścią cryptsetup (paczka jest w Debianie od dawna) sprawdza się świetnie, zamontowanie tego ręcznie to sprawa dwóch komend, a Gnome wykrywa takie partycje (np. na pendrive) i montuje je po podaniu hasła. 2. maszyna z danymi okresowo loguje sie przez ssh na maszyne z kopia (klucz/passwd+skrypt) - montuje podajac haslo lub klucz szyfrowana partycje (skryptem) - odpala archiwizacje aktualnego poola z danymi (co by miec mozliwosc odzyskania pliku np sprzed 3 dni) - robi rsync nowych danych (spardzone i wydajne) - odmontowuje szyfrowana partycje, wylogowuje sie -rozwiazanie, kiedy to ta zdalna maszyna uzyskuje dostep do maszyny z danymi zrodlowymi jest nie do przyjecia (kradziez/zlamanie maszyny z danymi trzeba uznac jako prawdopodbne) -polaczenie miedzy maszynami jest po internecie i rozwiazanie nie powinno byc mniej oszczedne jesli chodzi o uzycie sieci niz rsync -z prosze o uwagi, czy porady do mojego pomyslu, ew inne 'bezpiecznie' rozwiazania takiej funkcjonalnosci Z tego co znam LUKS, to rozwiązanie oparte o niego powinno akurat pasować. - -- Cheers! Andrzej Mendel -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHq3xeqB4jXo6ZLCQRAtcPAJ49ZfjpvVnf4cLuy4U+if5iy7QncACcCPvn EjfX+4AUOEL6h3ppGwqzqYo= =+DkT -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[2]: zdalna kopia, ale szyfrowana - prosze o krytyke/sugestie
Hello Maciej, Thursday, February 7, 2008, 6:39:43 PM, you wrote: [..] 1. na zdalnej maszynie zalozona cryptowana partycja pod kopie nie robilem jeszcze szyfrowanych partycji, widzialem, ze jest kilka sposobow ktore z narzedzi do tego jest aktualnie rozwijane i stosowane? MR http://olewaczers.eu.org/crypt.php super opis :) wazne tez, ze mozna to (niekoniecznie na zamontowanym systemie, bo nie potrzebuje tak) resizowac 2. maszyna z danymi okresowo loguje sie przez ssh na maszyne z kopia (klucz/passwd+skrypt) MR czyli ssh bez kombinacji tylko przenieść klucz publiczny MR http://jakilinux.org/aplikacje/sztuczki-z-ssh/ MR http://jakilinux.org/aplikacje/sztuczki-z-ssh-2-tunele/ problem z baza danych maja w jakilinux.org aktualnie, ale wiem o co chodzi z ssh i kluczem publicznym, myslalem o dodatkowym zabezpieczeniu w postaci hasla, ale w sumie jesli ktos zdobedzie klucz prywatny to znaczy ze mial dostep do maszyny, wiec i dodatkowe haslo do klucza jesli podawane ze skryptu jest bezcelowe bo jesli nawet nie lezy bezposrednio na tej maszynie to przez nia przeleciec musi mozliwosc odzyskania pliku np sprzed 3 dni) MR rdiff-backup albo rsync. MR http://jakilinux.org/aplikacje/konsola/synchronizacja-i-backup-danych-w-kubuntu/ rdiff-backup mi sie podoba wyglada na to ze lvm+crypt i rdiff-backup via ssh beda tym wlasciwym rozwiazaniem Dziekuje za wskazowki! -- Pozdrawiam, Marekmailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]