[quote:159989e32c="fabokzs"]Es nincs olyan megoldas, amihez egyaltalan nem kell semmifele root hozzaferes (sem kernelforditas, sem mount stb)?
(Olyan gepen, amin csak egy accountja van az embernek, es nem szeretne ha masok vagy akar a rendszergazda turkalna a dolgai kozott)
Udv.
Hat aranyapam, ha a rendszergazdatol akarod megvedeni a dolgaidat, akkor figyelja kovetkezokre is:
meg kell gyozodnod rola, hogy amikor begepeled a jelszot/passphraset akkor a rendszergazda nem lopja el(a bash-od eredeti, a kernelbe sincs belehekkelve)
a filejaidat elobb utobb megnyitod valami editorral, akkor mar ki kell lenniuk crypt-elve, az editorokba is lehet hack, hogy csinaljon "biztonsagi mentest"
figyelheti a belepeseidet, es amikor kikodoltad a filejaidat, egyszeruen cp-zik egyet.
En azt javaslom, hogy vagy bizz a rnedszergazdaban, hogy ne tarts semmit azon a szerveren.
Az egyeb userektol megvedheted magad jogosultsag allitassal.
[quote:2b01a72f6e="anr"]
Hat aranyapam, ha a rendszergazdatol akarod megvedeni a dolgaidat, akkor figyelja kovetkezokre is:
meg kell gyozodnod rola, hogy amikor begepeled a jelszot/passphraset akkor a rendszergazda nem lopja el(a bash-od eredeti, a kernelbe sincs belehekkelve)
a filejaidat elobb utobb megnyitod valami editorral, akkor mar ki kell lenniuk crypt-elve, az editorokba is lehet hack, hogy csinaljon "biztonsagi mentest"
figyelheti a belepeseidet, es amikor kikodoltad a filejaidat, egyszeruen cp-zik egyet.
Ezekre gondoltam mar en is (bar arra hogy hackeli a basht arra eppen nem), nem arrol van szo hogy egyaltalan nem bizom benne, de lehetnek olyan fajljaim, melyeket veletlenul sem tud megnezni meg o sem. Asszem ha jo a titkositas, akkor hiaba masolja at, nem kap mast mint egy hasznalhatatlan bithalmazt.
[quote:2b01a72f6e="anr"]
En azt javaslom, hogy vagy bizz a rnedszergazdaban, hogy ne tarts semmit azon a szerveren.
Nem feltetlenul az elrejtes az amire hasznalnam ezeket a lehetosegeket, hanem arra, hogy eltitkoljam olyan fajlok letezeset, melyeknek nem szabadna ott lennie.
[quote:2b01a72f6e="anr"]
Az egyeb userektol megvedheted magad jogosultsag allitassal.
Ezzel tisztaban vagyok, eleg is ezzel a lehetoseggel (ami csak lehet az 700). De akkor vagyok bajban, ha elfelejtem kiadni ezeket a jogokat, es van egy ket "elelmes" felhasznalo aki nagyon kivancsi. Ha valami le van kodolva akkor nyugodtabban alszom, hogy nem er vele semmit...
Hat, most stabilitas, meg gyorsasag stb-re csak annyit tudok valaszolni, hogy en leenukszos zenegepekhez hasznalom.
A tortenet az, hogy bevagom a zeneket egy konyvtarba, es cfs-el mountolja a szoftverunk a konyvtarat. Namost ilyenkor csak par ezer zeneszam szokott a gepeken lenni, ugyhogy nem egy nagy terheles, de eddig meg nem volt vele gond, amugy ha tul bugos lenne, sztem nem dobtak volna be woodyba.
na igen. a problema fenn all.
nekem hasonlo problemam volt, csak... inkabb leriom.
szoval
en el akartam kerulni a mountolast. mert ad 1 barmilyen rovid idore is, de akkor is hozzaferheto. ad 2 es ott kell hozza legyek en is, mikor a titok kulcsot megadom, es ez ugyebar mondjuk egy adatbazis dump-nal nem a legmegoldhatobb, foleg ha az automatan tortenik.
ellenben azt is szerettem volna, ha a programnak atadok valamit, akkor azt kerdes nelkul lenyelje, es ha vissza akarom fejteni, akkor meg adja vissza.
erre talaltam ki a programot amit irtam. perl-ben keszult, igy konnyen ellenorizheto, egyszeru, es konnyen ertheto.
mit tud?
3 futtathato filebol all.
az egyik egy szerver amit el kell inditani, indulaskor bekeri a titokkulcsot. (gyk valami hosszu szoveget) majd var.
a masik egy file-kuldo, ami megnyitja a szerver portjat (localis csak) es atnyomja a file-t. attol fuggoenhogy van felparameterezve, visszakuldi a titkositott anyagot, vagy egy sajat taroloban letarolja, am ekkor visszakuldi neked a "koordinatakat" amin elerheted a file-od.
a harmadik pedig egy lekerdezo. nem csinal mast mint a megadott parameterek alapjan, megkerdezi a visszakodolo kulcsot, felveszi a kapcsolatot a szerverrel, lekerdezi a koordinatak alapjan a szegments, majd onmaga visszafejti es letraolja vagy kiirja a kepernyore. ugyanez sajat titkos file-t is vissza tud fejteni szerverkapcsolat nelkul.
a program meg fejlesztes es teszt alatt van. de mukodik kis szepseghibaval. sajnos valamiert a hatterbe szoritott progi altal keletkezett child-ok zombikka valnak, amig a szerver-resze a programnak fut. uff, GPL. meg nem publikaltam de szeretnem.
Hat, most stabilitas, meg gyorsasag stb-re csak annyit tudok valaszolni, hogy en leenukszos zenegepekhez hasznalom.
A tortenet az, hogy bevagom a zeneket egy konyvtarba, es cfs-el mountolja a szoftverunk a konyvtarat. Namost ilyenkor csak par ezer zeneszam szokott a gepeken lenni, ugyhogy nem egy nagy terheles, de eddig meg nem volt vele gond, amugy ha tul bugos lenne, sztem nem dobtak volna be woodyba.
[quote:d4fdadb12c="fabokzs"]
nem arrol van szo hogy egyaltalan nem bizom benne, de lehetnek olyan fajljaim, melyeket veletlenul sem tud megnezni meg o sem.
Hidd el, ha a rendszergazdi a home-odban turkal, az altalaban nem veletlenul van :)
Ezzel tisztaban vagyok, eleg is ezzel a lehetoseggel (ami csak lehet az 700). De akkor vagyok bajban, ha elfelejtem kiadni ezeket a jogokat, es van egy ket "elelmes" felhasznalo aki nagyon kivancsi. Ha valami le van kodolva akkor nyugodtabban alszom, hogy nem er vele semmit...
Akkor allitsd be az egesz HOME-od jogosultsagat (711), vagy csinalj egy ~/private konyvtarat 700-as joggal.
majd mountold be es immaron minden titkositva van:
[code:1:d23972a384]mount /dev/mapper/hda3-aes[/code:1:d23972a384]
4., a [code:1:d23972a384]cryptsetup -y -c aes -s 256 create hda3-aes /dev/hda3[/code:1:d23972a384]
sort minden ujraindulasnal le kell futtatni es meg kell adni a passphrase-t termeszetesen vannak automatikus toolok, de itt az emberi beavatkozas szuksegessege teszi biztonsagossa a file-ok titkositasat. http://www.saout.de/tikiwiki/tiki-index.php http://www.saout.de/misc/dm-crypt/
Hozzászólások
[quote:0e29c702f5="kgab0r"]Hat az elobbinel a cfs+cfsd szazszor egyszerubb
kerdes az hogy mennyire jon be az illetonek a bugoktol hemzsego loop.c :lol:
[quote:b279f95987="Sea-you"][quote:b279f95987="kgab0r"]Hat az elobbinel a cfs+cfsd szazszor egyszerubb
kerdes az hogy mennyire jon be az illetonek a bugoktol hemzsego loop.c :lol:
1, Köszönöm a korrekt leírást.
2, A másikkal milyen jellegű bugok voltak? Teljeseítmény szempontjából hogy vizsgáznak ezek a cuccok?
cryptolooprol nem tudok sebessegtesztet, de dm-crypt-rol igen:
http://www.saout.de/tikiwiki/tiki-index.php?page=UserPageChonhulio
Masik doksi: http://www.lugbe.ch/action/reports/cryptoloop.pdf
Es nincs olyan megoldas, amihez egyaltalan nem kell semmifele root hozzaferes (sem kernelforditas, sem mount stb)?
(Olyan gepen, amin csak egy accountja van az embernek, es nem szeretne ha masok vagy akar a rendszergazda turkalna a dolgai kozott)
Udv.
akkor titkositsd a file-jaidat gpg-vel
S.
[quote:b738fa26f2="kgab0r"]Hat az elobbinel a cfs+cfsd szazszor egyszerubb
erről hol lehet vmi doksit találni?
[quote:8174e9cccd="fabokzs"]Es nincs olyan megoldas, amihez egyaltalan nem kell semmifele root hozzaferes (sem kernelforditas, sem mount stb)?
(Olyan gepen, amin csak egy accountja van az embernek, es nem szeretne ha masok vagy akar a rendszergazda turkalna a dolgai kozott)
Udv.
tehát Te fájlt akarsz titkosítani? ha igen akkor:
http://quasar.mathstat.uottawa.ca/~selinger/ccrypt/
van mindenféle os alá.
én ezt használom
[quote:159989e32c="fabokzs"]Es nincs olyan megoldas, amihez egyaltalan nem kell semmifele root hozzaferes (sem kernelforditas, sem mount stb)?
(Olyan gepen, amin csak egy accountja van az embernek, es nem szeretne ha masok vagy akar a rendszergazda turkalna a dolgai kozott)
Udv.
Hat aranyapam, ha a rendszergazdatol akarod megvedeni a dolgaidat, akkor figyelja kovetkezokre is:
meg kell gyozodnod rola, hogy amikor begepeled a jelszot/passphraset akkor a rendszergazda nem lopja el(a bash-od eredeti, a kernelbe sincs belehekkelve)
a filejaidat elobb utobb megnyitod valami editorral, akkor mar ki kell lenniuk crypt-elve, az editorokba is lehet hack, hogy csinaljon "biztonsagi mentest"
figyelheti a belepeseidet, es amikor kikodoltad a filejaidat, egyszeruen cp-zik egyet.
En azt javaslom, hogy vagy bizz a rnedszergazdaban, hogy ne tarts semmit azon a szerveren.
Az egyeb userektol megvedheted magad jogosultsag allitassal.
[quote:2b01a72f6e="anr"]
Hat aranyapam, ha a rendszergazdatol akarod megvedeni a dolgaidat, akkor figyelja kovetkezokre is:
meg kell gyozodnod rola, hogy amikor begepeled a jelszot/passphraset akkor a rendszergazda nem lopja el(a bash-od eredeti, a kernelbe sincs belehekkelve)
a filejaidat elobb utobb megnyitod valami editorral, akkor mar ki kell lenniuk crypt-elve, az editorokba is lehet hack, hogy csinaljon "biztonsagi mentest"
figyelheti a belepeseidet, es amikor kikodoltad a filejaidat, egyszeruen cp-zik egyet.
Ezekre gondoltam mar en is (bar arra hogy hackeli a basht arra eppen nem), nem arrol van szo hogy egyaltalan nem bizom benne, de lehetnek olyan fajljaim, melyeket veletlenul sem tud megnezni meg o sem. Asszem ha jo a titkositas, akkor hiaba masolja at, nem kap mast mint egy hasznalhatatlan bithalmazt.
[quote:2b01a72f6e="anr"]
En azt javaslom, hogy vagy bizz a rnedszergazdaban, hogy ne tarts semmit azon a szerveren.
Nem feltetlenul az elrejtes az amire hasznalnam ezeket a lehetosegeket, hanem arra, hogy eltitkoljam olyan fajlok letezeset, melyeknek nem szabadna ott lennie.
[quote:2b01a72f6e="anr"]
Az egyeb userektol megvedheted magad jogosultsag allitassal.
Ezzel tisztaban vagyok, eleg is ezzel a lehetoseggel (ami csak lehet az 700). De akkor vagyok bajban, ha elfelejtem kiadni ezeket a jogokat, es van egy ket "elelmes" felhasznalo aki nagyon kivancsi. Ha valami le van kodolva akkor nyugodtabban alszom, hogy nem er vele semmit...
vmiklos: apt-get install cfs :)
Hat, most stabilitas, meg gyorsasag stb-re csak annyit tudok valaszolni, hogy en leenukszos zenegepekhez hasznalom.
A tortenet az, hogy bevagom a zeneket egy konyvtarba, es cfs-el mountolja a szoftverunk a konyvtarat. Namost ilyenkor csak par ezer zeneszam szokott a gepeken lenni, ugyhogy nem egy nagy terheles, de eddig meg nem volt vele gond, amugy ha tul bugos lenne, sztem nem dobtak volna be woodyba.
na igen. a problema fenn all.
nekem hasonlo problemam volt, csak... inkabb leriom.
szoval
en el akartam kerulni a mountolast. mert ad 1 barmilyen rovid idore is, de akkor is hozzaferheto. ad 2 es ott kell hozza legyek en is, mikor a titok kulcsot megadom, es ez ugyebar mondjuk egy adatbazis dump-nal nem a legmegoldhatobb, foleg ha az automatan tortenik.
ellenben azt is szerettem volna, ha a programnak atadok valamit, akkor azt kerdes nelkul lenyelje, es ha vissza akarom fejteni, akkor meg adja vissza.
erre talaltam ki a programot amit irtam. perl-ben keszult, igy konnyen ellenorizheto, egyszeru, es konnyen ertheto.
mit tud?
3 futtathato filebol all.
az egyik egy szerver amit el kell inditani, indulaskor bekeri a titokkulcsot. (gyk valami hosszu szoveget) majd var.
a masik egy file-kuldo, ami megnyitja a szerver portjat (localis csak) es atnyomja a file-t. attol fuggoenhogy van felparameterezve, visszakuldi a titkositott anyagot, vagy egy sajat taroloban letarolja, am ekkor visszakuldi neked a "koordinatakat" amin elerheted a file-od.
a harmadik pedig egy lekerdezo. nem csinal mast mint a megadott parameterek alapjan, megkerdezi a visszakodolo kulcsot, felveszi a kapcsolatot a szerverrel, lekerdezi a koordinatak alapjan a szegments, majd onmaga visszafejti es letraolja vagy kiirja a kepernyore. ugyanez sajat titkos file-t is vissza tud fejteni szerverkapcsolat nelkul.
a program meg fejlesztes es teszt alatt van. de mukodik kis szepseghibaval. sajnos valamiert a hatterbe szoritott progi altal keletkezett child-ok zombikka valnak, amig a szerver-resze a programnak fut. uff, GPL. meg nem publikaltam de szeretnem.
D.
[quote:f0b0d1ff2c="kgab0r"]vmiklos: apt-get install cfs :)
Hat, most stabilitas, meg gyorsasag stb-re csak annyit tudok valaszolni, hogy en leenukszos zenegepekhez hasznalom.
A tortenet az, hogy bevagom a zeneket egy konyvtarba, es cfs-el mountolja a szoftverunk a konyvtarat. Namost ilyenkor csak par ezer zeneszam szokott a gepeken lenni, ugyhogy nem egy nagy terheles, de eddig meg nem volt vele gond, amugy ha tul bugos lenne, sztem nem dobtak volna be woodyba.
köszi, majd utánanézek :wink:
FreeBSD-n tudtok valami mount-olos verziot?
[quote:d4fdadb12c="fabokzs"]
nem arrol van szo hogy egyaltalan nem bizom benne, de lehetnek olyan fajljaim, melyeket veletlenul sem tud megnezni meg o sem.
Hidd el, ha a rendszergazdi a home-odban turkal, az altalaban nem veletlenul van :)
Akkor allitsd be az egesz HOME-od jogosultsagat (711), vagy csinalj egy ~/private konyvtarat 700-as joggal.
Szeretnék átállni Sese-ról Debianra. Viszont szertnék titkosított fájlrendszert is használni. A Suseban ugye a raisfs-nél csak be kellett "klikkelni".
Debianban a "legegyszerűbb" megoldás ez volt: http://www.cs.elte.hu/~fth/loopaes.html
Kérdésem: egyszerűbb tényleg nincs Woody/stable-hoz?
En cfs-t hasznalok, nincs vele baj. Ja es benne van woodyban.
A leheto legegyszerubb, legkorszerubb, es legtisztabb mod amit ismerek:
1., Forgass egy 2.6.4-rc2-esnel frissebb kernelt a kovetkezo beallitasokkal:
Cryptographic options --->
[code:1:d23972a384]<*> AES cipher algorithms[/code:1:d23972a384]
persze azt forgatsz bele amit akarsz, csak annyit erdemes tudni, hogy az AES erre a celra kozel tokeletes (gyors es biztonsagos).
Device Drivers > Multi-device support (RAID and LVM) >
[code:1:d23972a384][*] Multiple devices driver support (RAID and LVM)
¦ ¦ < > RAID support
¦ ¦ <*> Device mapper support
¦ ¦ <*> Crypt target support [/code:1:d23972a384]
2.,
a kernel lefordulasa utan tedd fel a kovetkezo csomagot:
http://software.fionet.com/debian/cryptsetup_0.1-2_i386.deb
a dependek:
http://www.backports.org/debian/dists/stable/libgcrypt7/binary-i386/libgcrypt7_1.1.90-0.backports.org.1_i386.deb
http://www.fs.tum.de/~bunk/debian/dists/woody/bunk-2/main/binary-i386/libdevmapper1.00_1.00.15-0.bunk_i386.deb
3.,
unmountold azt a particiot amelyiket titkositani akarod
[code:1:d23972a384]umount /dev/hda3[/code:1:d23972a384]
fsckzd:
[code:1:d23972a384]fsck /dev/hda3[/code:1:d23972a384]
majd hozd letre a titkositott particiot:
[code:1:d23972a384]cryptsetup -y -c aes -s 256 create hda3-aes /dev/hda3[/code:1:d23972a384]
A passhrase tenyleg passphrase legyen ne csak egy sima jelszo.
ha a jelenleg hda3 tartalmat akarnad titkositani akkor pedig az alabbi parancsot add ki (lehetoleg screenben)
[code:1:d23972a384]dd if=/dev/hda3 of=/dev/mapper/hda3-aes bs=4k[/code:1:d23972a384]
majd mountold be es immaron minden titkositva van:
[code:1:d23972a384]mount /dev/mapper/hda3-aes[/code:1:d23972a384]
4., a [code:1:d23972a384]cryptsetup -y -c aes -s 256 create hda3-aes /dev/hda3[/code:1:d23972a384]
sort minden ujraindulasnal le kell futtatni es meg kell adni a passphrase-t termeszetesen vannak automatikus toolok, de itt az emberi beavatkozas szuksegessege teszi biztonsagossa a file-ok titkositasat.
http://www.saout.de/tikiwiki/tiki-index.php
http://www.saout.de/misc/dm-crypt/
Hat az elobbinel a cfs+cfsd szazszor egyszerubb