Re: Verschlüsselte Platte in Cron-Job mounten?

To: debian-user-german@lists.debian.org
Subject: Re: Verschlüsselte Platte in Cron-Job mounten?
From: Martin Steigerwald <Martin@lichtvoll.de>
Date: Mon, 4 Jan 2010 21:09:19 +0100
Message-id: <201001042109.19655.Martin@lichtvoll.de>
In-reply-to: <hhf5ea$qc9$1@ger.gmane.org>
References: <200912291913.17626.michael@schuerig.de> <20091230081927.GA5473@black.cubewerk.de> <hhf5ea$qc9$1@ger.gmane.org> (sfid-20091230_114546_312082_80D71055)

Am Mittwoch 30 Dezember 2009 schrieb Peter Jordan:
> Stefan Bauer, Wed Dec 30 2009 09:19:27 GMT+0100 (CET):
> > * Peter Jordan <usernetwork@gmx.info> [30.12.2009 09:12]:
> >> Bei mir liegt der Schlüssel auf der (verschlüsselten, aber im
> >> Betrieb natürlich geöffneten) root Partition.
> >>
> >> Ich sehe hier auch kein Problem. Die Frage ist, was hat ein
> >> Angreifer, wenn er auf den Schl??ssel auf der root Partition
> >> zugreifen kann? Er hat root-Zugriff auf mein System und den
> >> Schlüssel für eine Partition, die das Backup der Daten enthält, auf
> >> die er als root sowieso zugreifen kann.
> >
> > Nur als Denkanstoß, wie ich das hier für meine Backups regle. Ich
> > sichere meine Backups zu einer vordefinierten Zeit. Ein Container
> > wird mit einem Keyfile geöffnet und nach dem Backupvorgang wieder
> > geschlossen. Das Key-File liegt auf einem externen Webspace, welches
> > ich per HTTPS abrufe. Der entfernte Webserver akzeptiert nur Anfragen
> > zur definierten Zeit und vom definierten Host (IP-Adresse). Dieser
> > Weg hat mir besser gefallen als den Schlüssel lokal vorzuhalten.
> 
> Hmmm, Schlŭssel oder Passwörter irgendwo im Web zu speichern, verstößt
> gegen meinen Grundsatz, eben das niemals zu tun.
> 
> Die Lösung für das Problem ist wohl ecryptfs, damit habe ich mich aber
> bis jetzt noch nicht befassen können.

ecryptfs oder encfs haben einen entscheidenden Vorteil:

Die Daten lassen sich via rsync / rsnapshot in bereits verschlüsselter 
Form kopieren.

ecryptfs hab ich noch nicht probiert, aber für meine beruflichen Sachen 
nehme ich encfs. Da gibts dann ein /home/ms, das ist der Mountpunkt des 
entschlüsselten Dateisystems im Betrieb, und wird nicht mitgesichert ;). 
Und /home/.ms mit den verschlüsselten Daten, das gesichert wird. Durch 
FUSE ließe sich das sogar so einrichten, dass nur der Benutzer drauf 
zugreifen kann, - root nicht! -, allerdings startet die X-Sitzung mit KDE 
für den Benutzer dann nicht. Da muss wohl erst X.org noch mit Benutzer-
Rechten laufen, damit das hinhaut ;-).

Ciao,
-- 
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA  B82F 991B EAAC A599 84C7

Attachment: signature.asc
Description: This is a digitally signed message part.

Reply to:

Follow-Ups:
- Re: Verschlüsselte Platte in Cron-Job mounten?
  - From: Michael Schuerig <michael@schuerig.de>
- Re: Verschlüsselte Platte in Cron-Job mounten?
  - From: Peter Jordan <usernetwork@gmx.info>

Prev by Date: Re: Unterstützung Lexmark Scanner in Multifunktions-Laser?
Next by Date: Re: DHCP mit standortabhängiger resolv.conf
Previous by thread: Re: "W: GPG error: ftp://ftp.de.debian.org stable Release: Die folgenden ..."
Next by thread: Re: Verschlüsselte Platte in Cron-Job mounten?
Index(es):
- Date
- Thread