Re: Verschlüsselung in Lenny

To: debian-user-german@lists.debian.org
Subject: Re: Verschlüsselung in Lenny
From: Dirk Salva <dsalva@gmx.de>
Date: Mon, 29 Dec 2008 19:41:20 +0100
Message-id: <[🔎] 20081229184120.GA21875@dserver.dnetz>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20081229190344.4efa758c.debian@blacker47.de>
References: <[🔎] 20081229114855.GA10072@dserver.dnetz> <[🔎] 20081229151339.bb08e6f1.debian@blacker47.de> <[🔎] 20081229170208.GA18998@dserver.dnetz> <[🔎] 20081229190344.4efa758c.debian@blacker47.de>

On Mon, Dec 29, 2008 at 07:03:44PM +0100, Alex Maurer wrote:
> Wenn man per ssh erst den Schlüssel für /home eingeben möchte aber
> ssh-login von /home abhängig ist, dann hat man ein Problem. Aber
> sowas lässt sich dennoch lösen. Die Sachen müssen einfach in
> verschiedenen Bereichen liegen oder manches anders automatisiert
> werden. Die simpelste Lösung wäre nicht /home, sondern z.B.
> /home/peter/securestorage zu verschlüsseln.

Hmm. Das empfinde ich als eher "unelegant", weil ich dann nur quasi
eine Untermenge von /home/userX verschlüsseln könnte.

> > Ich könnte mir da Szenarien vorstellen, wo ich zwar per ssh an einen
> > Rechner komme, mich lokal aber (aufgrund von Config-Fehlern oder
> > Paketproblemen) nicht anmelden kann.
> Das ist aber wirklich mal sehr aus der Luft gegriffen. Wenn man sich
> lokal aufgrund von Fehlern nicht einlogen kann aber dennoch über ssh,
> ist dann einiges schief gelaufen. Da hilft aber eh starten von einem
> Rettungsmedium und geradebiegen.
Das ist gar nicht mal so unwahrscheinlich. Hatte ich letztens auf
mehreren Rechnern beim upgrade von Etch auf Lenny. Machte ich das
lokal, so bekam ich nach einem (automatisierten) Neustart vom Xserver
weder die Textkonsole noch X wieder zu Gesicht. Es funktionierte zwar
alles noch, aber man musste "blind" weitermachen, was bei einem
aptitude upgrade nicht wirklich witzig ist. Via ssh-Konsole klappte das
problemlos. Ich habe keine Ahnung, woran der Fehler wirklich lag...

> > Ebenso ist das Verfahren somit für
> > Server ungeeignet - aber letzteres ist hier eher nebensächlich, dafür
> > gibt es vermutlich noch kein mir zuträgliches
> > Verschlüsselungsverfahren:-(
> Es ist schon geeignet, nur muss man da halt beachten, was man für z.B.
> ssh braucht um weitere Volumes einzubinden. Whole-Disk-Encryption ist
> da aber eher problematisch (nicht unmöglich). U.U. kann man es sogar
> relativ sicher so einrichten, dass Server die nötigen Keys von einem
> anderen Server per ssh automatisch holt. Das ist nur dort sicher, wo
> man physische Zugänge von Fremden zu Servern rechtzeitig erkennen kann.

Interessant, aber eher was für "später"...;-)


ciao, Dirk

Reply to:

Follow-Ups:
- Re: Verschlüsselung in Lenny
  - From: Alex Maurer <debian@blacker47.de>

References:
- Verschlüsselung in Lenny
  - From: Dirk Salva <dsalva@gmx.de>
- Re: Verschlüsselung in Lenny
  - From: Alex Maurer <debian@blacker47.de>
- Re: Verschlüsselung in Lenny
  - From: Dirk Salva <dsalva@gmx.de>
- Re: Verschlüsselung in Lenny
  - From: Alex Maurer <debian@blacker47.de>

Prev by Date: Re: Verschlüsselung in Lenny
Next by Date: Re: gültigkeit von openssl Zertifikaten
Previous by thread: Re: Verschlüsselung in Lenny
Next by thread: Re: Verschlüsselung in Lenny
Index(es):
- Date
- Thread