sonnenblen.de - Das unabhängige Sun User Forum
Betriebssysteme => Solaris => Thema gestartet von: std-edf am 25. August 2008, 16:08:38
-
Hallo, ich habe mir überlegt ein verschlüsseltes Datenvolume über das Internet zugänglich zu machen.
Der Internetuser soll dieses Volume an seinen Computer für den direkten Zugriff mounten/anbinden
können. Dabei müssen natürlich Sicherheitskriterien wie Anmeldung, Zugriffsberechtigungen und
sicher Datenübertragungen berücksichtigt werden.
Kann mir jemand helfen?
Danke im voraus :)
-
Hallo,
wie wäre es denn mit einer kleinen Vorstellung Deinerseits?
Man fällt normalerweise nicht mit der Tür ins Haus.
Warum sollte Dir jemand helfen, wenn völlig unklar ist, wem man hilft?
Gruss
Jürgen
-
Ein "Ich bin Maik aus Brandenburg" macht die Lösung dieser Frage einfacher?
Vielleicht sollten wir bei der Anmeldung das Einsenden einer Ausweiskopie anfordern?
MFG
-
Ein "Ich bin Maik aus Brandenburg" macht die Lösung dieser Frage einfacher?
Vielleicht sollten wir bei der Anmeldung das Einsenden einer Ausweiskopie anfordern?
MFG
Hallo J.D.,
mit deinem Verhalten machst Du das eher noch schlechter.
Das man sich mal kurz Vorstellt, das ist einfach eine Frage der Nettiquette.
Aber wenn das für Dich nicht wichtig ist, dann eben nicht....
Gruss
Jürgen
-
Es geht eher darum, einschätzen zu können, wie fitt die Frager sind, also bei was sie im Speziellen Hilfe benötigen und wobei eben nicht.
Claus
-
Ist das so? Könnte man ja glatt mal ne Umfrage draus machen wieviele Mitglieder sich vor beantworten einer Frage in den Neuvorstellungen heraussuchen wie fit jemand ist.
Naja, ist eh weit im OffTopic. Netiquette ist ja OK, aber als erstes gleich mal rumzumeiern das man sich doch bitte erstmal vorstellen soll und wie unfreundlich das doch wäre ist wohl eher der falsche Weg und sicherlich alles andere als Professionell - eher altmodisch und etwas angestaubt.
Tip an die Admins.
Schaltet doch Eure neuen User erst dann für die restlichen Foren frei wenn alle zu sammeldnen Daten in Sub "Neuvorstellung" eingegangen sind. Dann können wir schön bei ner Runde Limettentee drüber diskutieren wie man am effektivsten Fragen beantworten kann. Zumindest spar man sich damit solche peinliche erste Antworten wie der Hinweis von Sparky das er Tstarter ja ne echte Wildsau ist weil er sich nicht vorgestellt hat.
Ist zwar Euer Hausrecht, aber andere Foren funktionieren hervorragend ohne solche Vorstellungen und wer will der kann....und nicht das man erstmal draushingeiweisen wird dans man ja nur Hilfe erwarten könnte wenn man sich vorstellt.
MFG
-
Diesem "Neuvorstellungs"-Thema sehe ich gespalten entgegen. Zum einen will man die Abstauber fernhalten, die ihre Frage absondern und sich nach einer passenden Antwort nie wieder sehen lassen. Das ist mit Sicherheit nicht das, was man unter "Community" versteht.
Andererseits kann ich auch verstehen, dass ich als Neuling nicht gleich komplett die Hosen runterlassen und mich dann bei Google wiederfinden will, sondern erst einmal schnuppern, ob das das ist, was man sich so vorstellt.
-
Grüß Gott,
vielleicht solltet Ihr Euren Senf woanders abgeben, wenn ein Moderator einen Neuling anschreibt.
Gruß
Sven
-
Richtig und deswegen mal als Frage zjm Thema - sollte er sich noch blicken lassen ;)
Warum soll das Volume denn verschlüsselt sein? Geht es ums abfangen der Inhalte? Da sollte man primär auf die verschlüsselte Datenübertragung setzen.
-
vielleicht solltet Ihr Euren Senf woanders abgeben, wenn ein Moderator einen Neuling anschreibt.
Nein.
Ein Forum ist eine Plattform zum Meinungsaustausch. Man darf posten, muss aber nicht.
Und genau so wie du dir das Recht nimmst mich zurecht zu weisen, nehme ich mir das Recht zu äußern, dass ich dieses permante Neuvorstellungsthema zweispältig sehe.
-
♫♫ ich glaub es geht schon wieder los ... ♫♫
... das kann doch wohl nicht waaaahr sein ♫♫
-
Ich hatte eigentlich gehofft das ich ein wenig hilfe bekommen könnte.
aber wenn ihr alle darüber diskutiert das ich mich vorstellen soll ... scheint das ja elementar für euch zu sein (oder auch nicht)
Wie auch immer ich bin Auszubildender zum Systemintegrator und habe dieses projekt bekommen...
da ich mich mit Solaris quasi garnicht auskenne dachte ich ich hole mir hier ein bisschen hilfe oder anregungen...
bin weiterhin dankbar für eure hilfe
Warum soll das Volume denn verschlüsselt sein? Geht es ums abfangen der Inhalte? Da sollte man primär auf die verschlüsselte Datenübertragung setzen.
das volumen soll über einen einmaligen dem benutzer zugewiesenen schlüssel codiert werden z.b. userid oder sonst etwas
-
Tip an die Admins.
Schaltet doch Eure neuen User erst dann für die restlichen Foren frei wenn alle zu sammeldnen Daten in Sub "Neuvorstellung" eingegangen sind. Dann können wir schön bei ner Runde Limettentee drüber diskutieren wie man am effektivsten Fragen beantworten kann.
Das wird bestimmt nicht passieren.
Zumindest spar man sich damit solche peinliche erste Antworten wie der Hinweis von Sparky das er Tstarter ja ne echte Wildsau ist weil er sich nicht vorgestellt hat.
Das ist Deine individuelle Interpretation - die andere so sicherlich nicht Unterschreiben würden.
Ist zwar Euer Hausrecht, aber andere Foren funktionieren hervorragend ohne solche Vorstellungen und wer will der kann....und nicht das man erstmal draushingeiweisen wird dans man ja nur Hilfe erwarten könnte wenn man sich vorstellt.
MFG
...und die ewigen Streitereien - weil die User sich gegenseitig fertig machen - zeigen wie gut solche Foren wirklich funktionieren.
SarkasmusMODE/ON
Es geht uns letztendlich nur darum Personendaten zu sammeln, die wir dann für viel Geld verkaufen ......
SarkasmusMODE/OFF
Mit seinem kurzen Satz:
Wie auch immer ich bin Auszubildender zum Systemintegrator und habe dieses projekt bekommen...
da ich mich mit Solaris quasi garnicht auskenne dachte ich ich hole mir hier ein bisschen hilfe oder anregungen...
hat er genau das gemacht, was ich erwartet habe - mehr wollte ich nicht.
Gruss
Sparky
-
@Sparky ...
das war aber deinerseits nicht die hilfe die ich erwartet habe :(
;)
-
@Sparky ...
das war aber deinerseits nicht die hilfe die ich erwartet habe :(
;)
Es kommt immer anders als man denkt ......... ;D
Nun zu deiner Aufgabenstellung:
Du hast die Aufgabe bekommen um etwas dabei zu lernen.
Also mach bitte konkrete Vorgaben (nicht: das volumen soll über einen einmaligen dem benutzer zugewiesenen schlüssel codiert werden z.b. userid oder sonst etwas) wie Du die Lösung angehen möchtest.
Bei der Lösung können wir Dir dann behilflich sein.
Gruss
Jürgen
-
Nungut ...
um zu zeigen das ich mich nicht von euch durch das projekt tragen lassen will ;)
Die kommunikation soll über ssh laufen
ich habe soweit ich weiß 2 möglichkeiten (da ich mit windows/linux/os x) zugreifen will
- einen samba server
- WebDav
wäre gut wenn ihr mir einen kurzen überblick geben könntet was einfacher/sinnvoller/besser ist
quotieren sollte nicht das problem darstellen da solaris dafür ja sogar eigene werkzeuge mitbringt
und verschlüsselt werden soll das ganze auf der festplatte über eine dem benutzer zugeordnete einmalige codierung d.h. ich würde mir den schlüssel mit dem ich die daten ablege aus der z.b. einmaligen userid oder der lastsessionid bauen!
hoffe habe bisher alles verständlich erklärt...
ich will das ganze etwas strukturiert angehen ... darum versuche ich nicht hier aufeinmal mein ganzes projekt zu planen sondern gehe schrittweise vor ;)
deswegen nicht wundern das kein ende in sicht is ...
danke schonmal
Gruß
Daniel
-
Hi,
du koenntest hier mit dateisystemen arbeiten, die du in dateien anlegst(eine datei pro user), und diese dann als loopback mounten.
Dateisystem in einer datei: Da unter unix alles wie eine Datei behandelt wird, gibt es fuer dich keinen unterscheid, ob du auf einer Datei oder einer Festplatte arbeitest.
Mit dd if=/dev/zero of=<dateiname> bs=1024 count=102400 erzeugt du eine 100Mb grosse datei. In der Datei kannst du dann ein dateisystem anlegen.
Und informationen zu loopback mouten findest du, wenn du danach suchst, wie man ein iso image unter solaris mounted.
Ein Tipp zur Verschluesselung:
wenn du die Userid oder sowas nimmst, dann hast du das problem das das etwas wie einen syncronen schluessel darstellt, den jeder kennt und der daher recht ineffektiv ist.
Falls du ssh mit public-keys benutzt kannst du auf dem server ein die datei erstellen, in der das verzechnis des benutzers liegt, und dies dann mit dem oeffentlichen Schluessel des Benutzers verschluesseln. wenn sich der Benutzer einloggt sollte auch der private schluessel von ssh zur verfuegung stehen. Hier bin ich mir allerdings nicht sicher, ob der auch uebertragen wird.
Ich hoffe das dir das etwas geholfen hat.
Gruss
Sven
-
[...]
Falls du ssh mit public-keys benutzt kannst du auf dem server ein die datei erstellen, in der das verzechnis des benutzers liegt, und dies dann mit dem oeffentlichen Schluessel des Benutzers verschluesseln. wenn sich der Benutzer einloggt sollte auch der private schluessel von ssh zur verfuegung stehen. Hier bin ich mir allerdings nicht sicher, ob der auch uebertragen wird.
[...]
Waere ziemlich sinnlos die Daten zu Verschluesseln wenn du den privaten Schluessel auch uebertraegst ;)
Auch die oeffentlichen Schluessel als Ausgangspunkt zu verwenden hat nicht viel mehr Effekt als die user-IDs da sie genauso einfach in ner Datei drin stehen.
Fuer das automatische Entschluesseln von Volumes beim Einloggen kannst du dir mal pam_mount angucken. Allerdings komme ich jetzt beim Schreiben ins Gruebeln wie das gehn soll wenn man keys zur Authentifizierung nutzt. Das muss ich gelegentlich mal probieren.
Mit ssh und Passworteingabe sollte es aber problemlos gehen.
Mfg. Erisch
-
Auch die oeffentlichen Schluessel als Ausgangspunkt zu verwenden hat nicht viel mehr Effekt als die user-IDs da sie genauso einfach in ner Datei drin stehen.
Bei public key Verschluesselung bringt der oeffentliche Schluessel schon was, da man ja mit einem Schluessel die Daten verschluesselt und mit dem anderen entschluesselt. Stellt sich nur die Frage, wie man den privaten Schluessel nutzt(auf den server bekommt), um die daten vor dem mounten wieder zu entschluesseln.
In der theorie kann man sogar auf dem server den oeffentlichen und privaten schluessel liegen lassen, da der private teil mittels eines (hoffentlich guten) passworts geschuetzt ist.
Gruss
Sven
-
okay fangen wir mal klein an ;)
warum sollte ich mich bei meinem projekt eurer meinung nach für bzw. gegen
die lösung durch
- Sambaserver
- WebDav
entscheiden
ich habe mit keinem von beiden wirklich erfahrung gesammelt
basiswissen zu beiden techniken ist vorhanden.
jedoch kann ich mich nicht wirklich für eins von beidem entscheiden
bin für anregungen dankbar ;)
-
Bei public key Verschluesselung bringt der oeffentliche Schluessel schon was, da man ja mit einem Schluessel die Daten verschluesselt und mit dem anderen entschluesselt. Stellt sich nur die Frage, wie man den privaten Schluessel nutzt(auf den server bekommt), um die daten vor dem mounten wieder zu entschluesseln.
In der theorie kann man sogar auf dem server den oeffentlichen und privaten schluessel liegen lassen, da der private teil mittels eines (hoffentlich guten) passworts geschuetzt ist.
Gruss
Sven
Wenn ich das jetzt richtig verstanden habe willst du mit dem public/private keys gleich die Festplatte verschluesseln, oder wie?
Das funktioniert nur leider nicht. Erstens kenne ich keine Plattenverschluesselung die asymmetrische keys benutzt. Waere auch relativ sinnlos und langsam. Und wenn du den private key als symmetrischen Schluessel fuer die Plattenverschluesselung benutzt, muesstest du auch erstmal nen Algorithmus finden der >1024 Bit Schluessel verarbeitet - da kenn ich auch keinen. Du haettest zwar dann ne Festplatte die man auch 10E10000... Universenleben nicht knacken koennte aber da stellt sich wieder die Sinnfrage.
Als naechstes: Du willst den private key auf dem Server ablegen und mit Passwort verschluesseln? Warum willst du dann ueberhaupt keys benutzen? Ausserdem kann dann jeder der das Passwort knackt in Zukunft deine gesamte ssh Kommunikation mithoeren.
Jetzt zur Frage mit dem Samba/WebDav: keine Ahnung, funktionieren tut sicher beides, wenn du ssh benutzen willst kannste aber gleich sftp und scp benutzen, da gibts fuer die KlickiBunti OSs auch sicher KlickiBunti tools dafuer.
Mfg. Erisch
-
Bei public key Verschluesselung bringt der oeffentliche Schluessel schon was, da man ja mit einem Schluessel die Daten verschluesselt und mit dem anderen entschluesselt. Stellt sich nur die Frage, wie man den privaten Schluessel nutzt(auf den server bekommt), um die daten vor dem mounten wieder zu entschluesseln.
In der theorie kann man sogar auf dem server den oeffentlichen und privaten schluessel liegen lassen, da der private teil mittels eines (hoffentlich guten) passworts geschuetzt ist.
Gruss
Sven
Wenn ich das jetzt richtig verstanden habe willst du mit dem public/private keys gleich die Festplatte verschluesseln, oder wie?
Das funktioniert nur leider nicht. Erstens kenne ich keine Plattenverschluesselung die asymmetrische keys benutzt. Waere auch relativ sinnlos und langsam. Und wenn du den private key als symmetrischen Schluessel fuer die Plattenverschluesselung benutzt, muesstest du auch erstmal nen Algorithmus finden der >1024 Bit Schluessel verarbeitet - da kenn ich auch keinen. Du haettest zwar dann ne Festplatte die man auch 10E10000... Universenleben nicht knacken koennte aber da stellt sich wieder die Sinnfrage.
Als naechstes: Du willst den private key auf dem Server ablegen und mit Passwort verschluesseln? Warum willst du dann ueberhaupt keys benutzen? Ausserdem kann dann jeder der das Passwort knackt in Zukunft deine gesamte ssh Kommunikation mithoeren.
Dieser Beitrag war nicht von mir... das war eine allgemeine sinn/unsinn diskusion
was ich mit der codierung erreichen möchte ist das nur der eigentümer der daten sie lesen kann (angenommen ich baue die platte aus stecke sie in einen anderen rechner und greife lokal drauf zu.
dann darf ich die daten nicht lesen können.
deswegen will ich sie nicht umbedingt verschlüsseln sondern über die "uid" codieren (was nicht verschlüsseln bedeutet) ihr denkt nur alle das ich was verschlüsseln will ;)
Verschlüsseltes Datenvolumen<--- Bezieht sich auf die übertragung per ssh und den benutzergesteuerten zugriff aus dem netz :)
und es gibt eine codierung der ich einen schlüssel dynamisch zuweisen kann und die anhand dieser den datenaufbau in einem festgelegten container regelt...
-
Ich habe mich nun für die umsetzung mit WebDav entschieden.
hat schon jemand reale erfahrungen damit gesammelt ?
bzw. schon so etwas gebaut ?
-
[...]Dieser Beitrag war nicht von mir... das war eine allgemeine sinn/unsinn diskusion
Die Antwort galt auch nicht dir, zumindest nicht der erste Teil.
was ich mit der codierung erreichen möchte ist das nur der eigentümer der daten sie lesen kann (angenommen ich baue die platte aus stecke sie in einen anderen rechner und greife lokal drauf zu.
dann darf ich die daten nicht lesen können.
deswegen will ich sie nicht umbedingt verschlüsseln sondern über die "uid" codieren (was nicht verschlüsseln bedeutet) ihr denkt nur alle das ich was verschlüsseln will ;)
Verschlüsseltes Datenvolumen<--- Bezieht sich auf die übertragung per ssh und den benutzergesteuerten zugriff aus dem netz :)
und es gibt eine codierung der ich einen schlüssel dynamisch zuweisen kann und die anhand dieser den datenaufbau in einem festgelegten container regelt...
Ob du das nun verschluesseln, codieren oder fuerandereunlesbarmachen nennst - das ist alles das Selbe. Entweder du legst die Daten unverschluesselt ab, dann kann sie jeder lesen der die Platte ausbaut und in seinen Rechner haengt oder du verschluesselt sie.
Wenn es nur darum geht andere davon abzuhalten bei anderen Usern peeping Tom zu spielen reichen vernuenftig gesetzte Rechte oder ACLs.
Mfg. Erisch
-
okay ... für mich waren das bisher 2 unterschiedliche sachen ;) vllt versteh ich da noch etwas falsch ???
aber muss ich mich nocheinmal schlau machen ^^
das problem vor dem ich momentan stehe ist das ich nicht weiß wie ich webdav auf einem solaris10 system einrichte ... gibts dazu vllt schon einen beitrag?
habe leider nichts gefunde :(
-
(Disclaimer: Kenne mich damit nicht wirklich aus)
Ist WebDav nicht erst einmal eine Sache des Webservers?
Claus
-
Jup, sollte deswegen eigentlich bei jedem Apachen mit dabei sein, als Modul oder so.
Mfg. Erisch
-
Habe WebDAV mit Apache 2 auf einer Solaris 10 Maschine aufgesetzt. Allerdings ist WebDAV eine SEHR rudimentäre Sache und begeistert mich nicht wirklich.
Guck mal in /etc/apache2/httpd.conf ob folgendes Modul geladen wird:
LoadModule dav_module libexec/mod_dav.so
Danach kannst in der httpd.conf folgende Einträge machen:
# WebDAV Section
DavLockDB /var/apache2/DavLock/lockdb
<Location /bliblablubb>
Dav On
AuthType Basic
AuthName DAV
AuthUserFile /var/apache2/DAV/user.passwd
<Limit GET HEAD OPTIONS CONNECT PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
require valid-user
</Limit>
</Location>
Natürlich musst noch /var/apache2/DavLock und /var/apache2/DAV anlegen aber das versteht sich ja von selbst und eigentlich hätte ich das gar nicht schreiben müssen ;)
Bitte auch die Permissions der Passwort-Files und des Datendirectories prüfen!
Gruss
Dominik