Verschlüsseltes Datenvolumen

[std-edf]

Nungut ...
um zu zeigen das ich mich nicht von euch durch das projekt tragen lassen will

Die kommunikation soll über ssh laufen

ich habe soweit ich weiß 2 möglichkeiten (da ich mit windows/linux/os x) zugreifen will
 - einen samba server
 - WebDav

wäre gut wenn ihr mir einen kurzen überblick geben könntet was einfacher/sinnvoller/besser ist

quotieren sollte nicht das problem darstellen da solaris dafür ja sogar eigene werkzeuge mitbringt

und verschlüsselt werden soll das ganze auf der festplatte über eine dem benutzer zugeordnete einmalige codierung d.h. ich würde mir den schlüssel mit dem ich die daten ablege aus der z.b. einmaligen userid oder der lastsessionid bauen!

hoffe habe bisher alles verständlich erklärt...
ich will das ganze etwas strukturiert angehen ... darum versuche ich nicht hier aufeinmal mein ganzes projekt zu planen sondern gehe schrittweise vor

deswegen nicht wundern das kein ende in sicht is ...

danke schonmal

Gruß
Daniel

[sven001]

Hi,

du koenntest hier mit dateisystemen arbeiten, die du in dateien anlegst(eine datei pro user), und diese dann als loopback mounten.

Dateisystem in einer datei: Da unter unix alles wie eine Datei behandelt wird, gibt es fuer dich keinen unterscheid, ob du auf einer Datei oder einer Festplatte arbeitest.
Mit dd if=/dev/zero of=<dateiname> bs=1024 count=102400 erzeugt du eine 100Mb grosse datei. In der Datei kannst du dann ein dateisystem anlegen.
Und informationen zu loopback mouten findest du, wenn du danach suchst, wie man ein iso image unter solaris mounted.

Ein Tipp zur Verschluesselung:
wenn du die Userid oder sowas nimmst, dann hast du das problem das das etwas wie einen syncronen schluessel darstellt, den jeder kennt und der daher recht ineffektiv ist.

Falls du ssh mit public-keys benutzt kannst du auf dem server ein die datei erstellen, in der das verzechnis des benutzers liegt, und dies dann mit dem oeffentlichen Schluessel des Benutzers verschluesseln. wenn sich der Benutzer einloggt sollte auch der private schluessel von ssh zur verfuegung stehen. Hier bin ich mir allerdings nicht sicher, ob der auch uebertragen wird.

Ich hoffe das dir das etwas geholfen hat.

Gruss
Sven

[erisch]

[...]
Falls du ssh mit public-keys benutzt kannst du auf dem server ein die datei erstellen, in der das verzechnis des benutzers liegt, und dies dann mit dem oeffentlichen Schluessel des Benutzers verschluesseln. wenn sich der Benutzer einloggt sollte auch der private schluessel von ssh zur verfuegung stehen. Hier bin ich mir allerdings nicht sicher, ob der auch uebertragen wird.
[...]

Waere ziemlich sinnlos die Daten zu Verschluesseln wenn du den privaten Schluessel auch uebertraegst

Auch die oeffentlichen Schluessel als Ausgangspunkt zu verwenden hat nicht viel mehr Effekt als die user-IDs da sie genauso einfach in ner Datei drin stehen.

Fuer das automatische Entschluesseln von Volumes beim Einloggen kannst du dir mal pam_mount angucken. Allerdings komme ich jetzt beim Schreiben ins Gruebeln wie das gehn soll wenn man keys zur Authentifizierung nutzt. Das muss ich gelegentlich mal probieren.
Mit ssh und Passworteingabe sollte es aber problemlos gehen.

Mfg. Erisch

[sven001]

Auch die oeffentlichen Schluessel als Ausgangspunkt zu verwenden hat nicht viel mehr Effekt als die user-IDs da sie genauso einfach in ner Datei drin stehen.

Bei public key Verschluesselung bringt der oeffentliche Schluessel schon was, da man ja mit einem Schluessel die Daten verschluesselt und mit dem anderen entschluesselt. Stellt sich nur die Frage, wie man den privaten Schluessel nutzt(auf den server bekommt), um die daten vor dem mounten wieder zu entschluesseln.
In der theorie kann man sogar auf dem server den oeffentlichen und privaten schluessel liegen lassen, da der private teil mittels eines (hoffentlich guten) passworts geschuetzt ist.

Gruss
Sven

[std-edf]

okay fangen wir mal klein an

warum sollte ich mich bei meinem projekt eurer meinung nach für bzw. gegen
die lösung durch

- Sambaserver

- WebDav

entscheiden
ich habe mit keinem von beiden wirklich erfahrung gesammelt

basiswissen zu beiden techniken ist vorhanden.
jedoch kann ich mich nicht wirklich für eins von beidem entscheiden

bin für anregungen dankbar

[erisch]

Bei public key Verschluesselung bringt der oeffentliche Schluessel schon was, da man ja mit einem Schluessel die Daten verschluesselt und mit dem anderen entschluesselt. Stellt sich nur die Frage, wie man den privaten Schluessel nutzt(auf den server bekommt), um die daten vor dem mounten wieder zu entschluesseln.
In der theorie kann man sogar auf dem server den oeffentlichen und privaten schluessel liegen lassen, da der private teil mittels eines (hoffentlich guten) passworts geschuetzt ist.

Gruss
Sven

Wenn ich das jetzt richtig verstanden habe willst du mit dem public/private keys gleich die Festplatte verschluesseln, oder wie?

Das funktioniert nur leider nicht. Erstens kenne ich keine Plattenverschluesselung die asymmetrische keys benutzt. Waere auch relativ sinnlos und langsam. Und wenn du den private key als symmetrischen Schluessel fuer die Plattenverschluesselung benutzt, muesstest du auch erstmal nen Algorithmus finden der >1024 Bit Schluessel verarbeitet - da kenn ich auch keinen. Du haettest zwar dann ne Festplatte die man auch 10E10000... Universenleben nicht knacken koennte aber da stellt sich wieder die Sinnfrage.
Als naechstes: Du willst den private key auf dem Server ablegen und mit Passwort verschluesseln? Warum willst du dann ueberhaupt keys benutzen? Ausserdem kann dann jeder der das Passwort knackt in Zukunft deine gesamte ssh Kommunikation mithoeren.

Jetzt zur Frage mit dem Samba/WebDav: keine Ahnung, funktionieren tut sicher beides, wenn du ssh benutzen willst kannste aber gleich sftp und scp benutzen, da gibts fuer die KlickiBunti OSs auch sicher KlickiBunti tools dafuer.

Mfg. Erisch

[std-edf]

Bei public key Verschluesselung bringt der oeffentliche Schluessel schon was, da man ja mit einem Schluessel die Daten verschluesselt und mit dem anderen entschluesselt. Stellt sich nur die Frage, wie man den privaten Schluessel nutzt(auf den server bekommt), um die daten vor dem mounten wieder zu entschluesseln.
In der theorie kann man sogar auf dem server den oeffentlichen und privaten schluessel liegen lassen, da der private teil mittels eines (hoffentlich guten) passworts geschuetzt ist.

Gruss
Sven

Wenn ich das jetzt richtig verstanden habe willst du mit dem public/private keys gleich die Festplatte verschluesseln, oder wie?

Das funktioniert nur leider nicht. Erstens kenne ich keine Plattenverschluesselung die asymmetrische keys benutzt. Waere auch relativ sinnlos und langsam. Und wenn du den private key als symmetrischen Schluessel fuer die Plattenverschluesselung benutzt, muesstest du auch erstmal nen Algorithmus finden der >1024 Bit Schluessel verarbeitet - da kenn ich auch keinen. Du haettest zwar dann ne Festplatte die man auch 10E10000... Universenleben nicht knacken koennte aber da stellt sich wieder die Sinnfrage.
Als naechstes: Du willst den private key auf dem Server ablegen und mit Passwort verschluesseln? Warum willst du dann ueberhaupt keys benutzen? Ausserdem kann dann jeder der das Passwort knackt in Zukunft deine gesamte ssh Kommunikation mithoeren.

Dieser Beitrag war nicht von mir... das war eine allgemeine sinn/unsinn diskusion

was ich mit der codierung erreichen möchte ist das nur der eigentümer der daten sie lesen kann (angenommen ich baue die platte aus stecke sie in einen anderen rechner und greife lokal drauf zu.
dann darf ich die daten nicht lesen können.

deswegen will ich sie nicht umbedingt verschlüsseln sondern über die "uid" codieren (was nicht verschlüsseln bedeutet) ihr denkt nur alle das ich was verschlüsseln will

Verschlüsseltes Datenvolumen<--- Bezieht sich auf die übertragung per ssh und den benutzergesteuerten zugriff aus dem netz

und es gibt eine codierung der ich einen schlüssel dynamisch zuweisen kann und die anhand dieser den datenaufbau in einem festgelegten container regelt...

[std-edf]

Ich habe mich nun für die umsetzung mit WebDav entschieden.

hat schon jemand reale erfahrungen damit gesammelt ?
bzw. schon so etwas gebaut ?

[erisch]

[...]Dieser Beitrag war nicht von mir... das war eine allgemeine sinn/unsinn diskusion

Die Antwort galt auch nicht dir, zumindest nicht der erste Teil.

was ich mit der codierung erreichen möchte ist das nur der eigentümer der daten sie lesen kann (angenommen ich baue die platte aus stecke sie in einen anderen rechner und greife lokal drauf zu.
dann darf ich die daten nicht lesen können.

deswegen will ich sie nicht umbedingt verschlüsseln sondern über die "uid" codieren (was nicht verschlüsseln bedeutet) ihr denkt nur alle das ich was verschlüsseln will

Verschlüsseltes Datenvolumen<--- Bezieht sich auf die übertragung per ssh und den benutzergesteuerten zugriff aus dem netz

und es gibt eine codierung der ich einen schlüssel dynamisch zuweisen kann und die anhand dieser den datenaufbau in einem festgelegten container regelt...

Ob du das nun verschluesseln, codieren oder fuerandereunlesbarmachen nennst - das ist alles das Selbe. Entweder du legst die Daten unverschluesselt ab, dann kann sie jeder lesen der die Platte ausbaut und in seinen Rechner haengt oder du verschluesselt sie.
Wenn es nur darum geht andere davon abzuhalten bei anderen Usern peeping Tom zu spielen reichen vernuenftig gesetzte Rechte oder ACLs.

Mfg. Erisch

[std-edf]

okay ... für mich waren das bisher 2 unterschiedliche sachen vllt versteh ich da noch etwas falsch 
aber muss ich mich nocheinmal schlau machen ^^

das problem vor dem ich momentan stehe ist das ich nicht weiß wie ich webdav auf einem solaris10 system einrichte ... gibts dazu vllt schon einen beitrag?

habe leider nichts gefunde

[claus]

(Disclaimer: Kenne mich damit nicht wirklich aus)

Ist WebDav nicht erst einmal eine Sache des Webservers?

Claus

[erisch]

Jup, sollte deswegen eigentlich bei jedem Apachen mit dabei sein, als Modul oder so.

Mfg. Erisch

[dominik]

Habe WebDAV mit Apache 2 auf einer Solaris 10 Maschine aufgesetzt. Allerdings ist WebDAV eine SEHR rudimentäre Sache und begeistert mich nicht wirklich.

Guck mal in /etc/apache2/httpd.conf ob folgendes Modul geladen wird:

LoadModule dav_module libexec/mod_dav.so

Danach kannst in der httpd.conf folgende Einträge machen:

# WebDAV Section
DavLockDB /var/apache2/DavLock/lockdb

<Location /bliblablubb>
        Dav On
        AuthType Basic
        AuthName DAV
        AuthUserFile /var/apache2/DAV/user.passwd
        <Limit GET HEAD OPTIONS CONNECT PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
        require valid-user
        </Limit>
</Location>

Natürlich musst noch /var/apache2/DavLock und /var/apache2/DAV anlegen aber das versteht sich ja von selbst und eigentlich hätte ich das gar nicht schreiben müssen

Bitte auch die Permissions der Passwort-Files und des Datendirectories prüfen!


Gruss
Dominik