Re: crypto Dateisystem

To: debian-user-german@lists.debian.org
Subject: Re: crypto Dateisystem
From: Lars Weissflog <L@rs-w.de>
Date: Mon, 27 Oct 2003 14:09:56 +0100
Message-id: <[🔎] 1067260196.1014.29.camel@carryme.shs>
In-reply-to: <[🔎] 200310271154.22088.peter.kuechler@pvfrm.de>
References: <[🔎] 200310271154.22088.peter.kuechler@pvfrm.de>

Hallo Peter,

ich habe gerade auf einem meiner Rechner mehrere Partitionen mit
loop-AES verschlüsselt. Das ist kein Problem, aber deines ja auch nicht.


On Mon, 2003-10-27 at 11:54, Peter Kuechler wrote:
> Man will, das nur die Windows-clients diese Daten lesen können, sonst 
> niemend. Auch der Admin (root) nicht!!!
> Wie soll ich das machen???
> Geht das überhaupt??
> Wenn ja, wie?
> 
Ich denke, das geht nicht. Also die Verschlüsselung durch den User
vornehmen zu lassen mag möglich sein, dann muss der halt das Dateisystem
"initialisieren" (die Sache mit dem losetup ... Password? -> User muss
das eingeben).

> Wenn ich eine Partition per loop und Verschlüsselung mounte, dann muß 
> man ein Passwort eingeben, schön. Aber danach sind die Daten doch 
> über das Dateisystem lesbar wenn man Zugriffsrechte hat, und die hat 
> root überall. Und erst diese lesbaren daten werden auch mit samba 
> exportiert.
> 
Sehe ich auch so. Also root kommt da ran sobald der user das mount
ausgeführt hat. Und wenn der Netzwerk-Traffic nicht verschlüsselt ist,
kann da auch jeder andere eifrig mit-sniffen.

> Kann man das mit Linux lösen?
Denke nicht, root ist halt Gott.
> Könnten die das mit Win2000 o.ä. lösen?
> 
Das schon eher. NTFS unterstützt Verschlüsselung, und AFAIR wird die mit
dem User-Password verbunden. Also ich würde dann doch einen
NTFS-Basierten 2k oder 2k3-Server nehmen und die Homes da drauf legen.
In einer Domain sollte das mit der home-Verschlüsselung dann einfach
möglich sein und der User weiß es nicht mal. Allerdings VORSICHT: 
Wenn der DAU sein Password vergisst oder es aus irgend welchen Gründen
(kam bei uns in der Firma tausend mal vor) geändert wird, ist die
Verschlüsselung endgültig SICHER. Da geht dann nichts mehr. Und ob das
so gewollt ist..... Da sollten sich die Leute die das an dich
rangetragen haben mal gut drüber klar werden. Wenn Müller geht und sein
PW mitnimmt kann niemand jemals wieder nachschauen, was Müller dem Meyer
vom Lieblingszulieferer in den Abnahmen-Rahmenvertrag geschrieben hat.

HTH
Lars
 
LarsWeissflog
L@rs-W dot DE

Reply to:

Follow-Ups:
- Re: crypto Dateisystem
  - From: Martin Röhricht <roehricht@ira.uka.de>

References:
- crypto Dateisystem
  - From: Peter Kuechler <peter.kuechler@pvfrm.de>

Prev by Date: Re: Installationspfade anpassen
Next by Date: Re: Netenv bzw. Scripting/Bash, die 2. :)
Previous by thread: Re: crypto Dateisystem
Next by thread: Re: crypto Dateisystem
Index(es):
- Date
- Thread