Re: Verschlüsselung in Lenny
On Mon, 29 Dec 2008 18:02:08 +0100
Dirk Salva <dsalva@gmx.de> wrote:
> Nach der Lektüre vor allem dieses link fällt mir noch ein anderes
> Problem auf/ein: auf meinen Rechnern ist standardmäßig ein ssh-remote-
> login nur für bestimmte User möglich, sowohl für Root als auch für
> nicht berechtigte User ist das nicht machbar. Wenn ich jetzt /home
> verschlüssele, verbaue ich mir doch selbst die Möglichkeit des
> remote-Zugang, weil ich per ssh ja den Schlüssel nicht eingeben kann,
> oder täusche ich mich da gerade?
Wenn man per ssh erst den Schlüssel für /home eingeben möchte aber ssh-login von /home abhängig ist, dann hat man ein Problem. Aber sowas lässt sich dennoch lösen. Die Sachen müssen einfach in verschiedenen Bereichen liegen oder manches anders automatisiert werden. Die simpelste Lösung wäre nicht /home, sondern z.B. /home/peter/securestorage zu verschlüsseln.
> Ich könnte mir da Szenarien vorstellen, wo ich zwar per ssh an einen
> Rechner komme, mich lokal aber (aufgrund von Config-Fehlern oder
> Paketproblemen) nicht anmelden kann.
Das ist aber wirklich mal sehr aus der Luft gegriffen. Wenn man sich lokal aufgrund von Fehlern nicht einlogen kann aber dennoch über ssh, ist dann einiges schief gelaufen. Da hilft aber eh starten von einem Rettungsmedium und geradebiegen.
> Ebenso ist das Verfahren somit für
> Server ungeeignet - aber letzteres ist hier eher nebensächlich, dafür
> gibt es vermutlich noch kein mir zuträgliches
> Verschlüsselungsverfahren:-(
Es ist schon geeignet, nur muss man da halt beachten, was man für z.B. ssh braucht um weitere Volumes einzubinden. Whole-Disk-Encryption ist da aber eher problematisch (nicht unmöglich). U.U. kann man es sogar relativ sicher so einrichten, dass Server die nötigen Keys von einem anderen Server per ssh automatisch holt. Das ist nur dort sicher, wo man physische Zugänge von Fremden zu Servern rechtzeitig erkennen kann.
Reply to: