Am Mittwoch 30 Dezember 2009 schrieb Peter Jordan: > Stefan Bauer, Wed Dec 30 2009 09:19:27 GMT+0100 (CET): > > * Peter Jordan <usernetwork@gmx.info> [30.12.2009 09:12]: > >> Bei mir liegt der Schlüssel auf der (verschlüsselten, aber im > >> Betrieb natürlich geöffneten) root Partition. > >> > >> Ich sehe hier auch kein Problem. Die Frage ist, was hat ein > >> Angreifer, wenn er auf den Schl??ssel auf der root Partition > >> zugreifen kann? Er hat root-Zugriff auf mein System und den > >> Schlüssel für eine Partition, die das Backup der Daten enthält, auf > >> die er als root sowieso zugreifen kann. > > > > Nur als Denkanstoß, wie ich das hier für meine Backups regle. Ich > > sichere meine Backups zu einer vordefinierten Zeit. Ein Container > > wird mit einem Keyfile geöffnet und nach dem Backupvorgang wieder > > geschlossen. Das Key-File liegt auf einem externen Webspace, welches > > ich per HTTPS abrufe. Der entfernte Webserver akzeptiert nur Anfragen > > zur definierten Zeit und vom definierten Host (IP-Adresse). Dieser > > Weg hat mir besser gefallen als den Schlüssel lokal vorzuhalten. > > Hmmm, Schlŭssel oder Passwörter irgendwo im Web zu speichern, verstößt > gegen meinen Grundsatz, eben das niemals zu tun. > > Die Lösung für das Problem ist wohl ecryptfs, damit habe ich mich aber > bis jetzt noch nicht befassen können. ecryptfs oder encfs haben einen entscheidenden Vorteil: Die Daten lassen sich via rsync / rsnapshot in bereits verschlüsselter Form kopieren. ecryptfs hab ich noch nicht probiert, aber für meine beruflichen Sachen nehme ich encfs. Da gibts dann ein /home/ms, das ist der Mountpunkt des entschlüsselten Dateisystems im Betrieb, und wird nicht mitgesichert ;). Und /home/.ms mit den verschlüsselten Daten, das gesichert wird. Durch FUSE ließe sich das sogar so einrichten, dass nur der Benutzer drauf zugreifen kann, - root nicht! -, allerdings startet die X-Sitzung mit KDE für den Benutzer dann nicht. Da muss wohl erst X.org noch mit Benutzer- Rechten laufen, damit das hinhaut ;-). Ciao, -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.