Mailinglist Archive: opensuse-de (1027 mails)
| < Previous | Next > |
Re: Bankdaten verschlüsseln mit Kryptodatei (loopbackdevice), SUSE Linux 2.6.22.17-0.1-default i686
- From: Jan Ritzerfeld <suse@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx>
- Date: Mon, 21 Apr 2008 19:49:40 +0200
- Message-id: <200804211949.40455.suse@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx>
Am Sonntag, 20. April 2008 schrieb Ralf Goos:
Das paßt ganz zu der in http://en.opensuse.org/Encrypted_Filesystems
beschriebenen Vorgehensweise, ergänzt um das Loopback-Device.
Da bliebe noch sudo.
IIRC kannst du sudo ja auch so einstellen, daß nur bestimmte Benutzer oder
Gruppen für bestimmte Befehle kein Paßwort brauchen.
Genau, dafür wird "pam_mount" genutzt. Und "cryptconfig" dient als
Verwaltungs-Tool.
Bist du dir ganz sicher, daß nach dem Logout noch das entschlüsselte
Home-Verzeichnis sichtbar ist? Ich bin da auch zuerst ein wenig verwirrt
gewesen, da YaST auch ein unverschlüsseltes Home-Verzeichnis mit den
Standard-Dateien und -Verzeichnissen anlegt und das anfangs natürlich noch
genau so aussieht wie das eigentlich verschlüsselte. Sprich, wenn du neue
Dateien anlegst, siehst du die auch noch nach einem Logout? Und überprüfe
die Ausgabe von "mount", ob dort tatsächlich noch ein Eintrag
wie "/dev/mapper/_dev_loop0 on /home/..." vorhanden ist.
Es kann aber durchaus passieren, daß irgendein Programm noch auf das
Home-Verzeichnis zugreift, sodaß es nicht ge-umountet werden kann. Beagle
soll einer der Kandidaten sein. Falls dem so ist, müßte ich auch selbst
noch was danach googlen, denn bei mir funktioniert das (ohne beagle)
wunderbar.
Gruß
Jan
--
I am Bashir of Borg. Prepare to be... did anyone ever tell you that you
have beautiful eyes?
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
(...).
vielen Dank für deine Antwort. Dein Tip hat geholfen, jetzt steh ich
allerdings vor weiteren Problemen. Aber der Reihe nach.
Befehlsfolge um eine KryptDatei für einen User als Homverzeichnis zu
öffnen (die KryptDatei muss natürlich zuvor mit YaST erzeugt werden):
1) losetup /dev/loop1 /home/KRYPTDATEI
2) cryptsetup luksOpen /dev/loop1 cr_KRYPTDATEI
=> jetzt wird das Passwort abgefragt
3) mount /dev/mapper/cr_KRYPTDATEI /home/MOUNTPOINT -t ext3
-o acl,user_xattr,noauto
=> jetzt steht das Homeverzeichnis (aus der KryptDatei) zur Verfügung
Und hier die Befehlsfolge um den Zugang zur KryptDatei vollständig wieder
zu entfernen:
1) umount /dev/mapper/cr_KRYPTDATEI -d -l
2) cryptsetup luksClose cr_KRYPTDATEI
3) losetup -d /dev/loop1
Das paßt ganz zu der in http://en.opensuse.org/Encrypted_Filesystems
beschriebenen Vorgehensweise, ergänzt um das Loopback-Device.
Das ganze hat aber den Haken, dass es nur als user root ausführbar ist.
Da bliebe noch sudo.
Ich wollte das Ausführen der BankingSW und die zugehörigen Daten aber nur
einem einzigen User auf dem Rechner einrichten, quasi beim Login/Logout
obige Befehle ausführen. Da möchte ich nicht mit sudo arbeiten und jedes
mal noch das root-Kennwort eintippen.
IIRC kannst du sudo ja auch so einstellen, daß nur bestimmte Benutzer oder
Gruppen für bestimmte Befehle kein Paßwort brauchen.
Deshalb habe ich jetzt (wie du auch vorgeschlagen hast) beim Anlegen des
Users gleich ein verschlüsseltes HomeVerzeichnis eingerichtet. Hier
arbeitet Suse wohl mit "pam", jedenfalls ist ein entsprechender Eintrag
in
"/etc/security/pam_mount.conf" zum mounten des verschlüsselten
HomeVerzeichnis vorhanden.
Genau, dafür wird "pam_mount" genutzt. Und "cryptconfig" dient als
Verwaltungs-Tool.
Das Ergebnis stellt mich aber nicht zufrieden. Da nach dem logout des
Banking-users dessen verschlüsseltes HomeVerzeichnis immer noch gemountet
ist, und mit "root-Berechtigung" voll zugänglich.
Hast du noch einen Rat?
Bist du dir ganz sicher, daß nach dem Logout noch das entschlüsselte
Home-Verzeichnis sichtbar ist? Ich bin da auch zuerst ein wenig verwirrt
gewesen, da YaST auch ein unverschlüsseltes Home-Verzeichnis mit den
Standard-Dateien und -Verzeichnissen anlegt und das anfangs natürlich noch
genau so aussieht wie das eigentlich verschlüsselte. Sprich, wenn du neue
Dateien anlegst, siehst du die auch noch nach einem Logout? Und überprüfe
die Ausgabe von "mount", ob dort tatsächlich noch ein Eintrag
wie "/dev/mapper/_dev_loop0 on /home/..." vorhanden ist.
Es kann aber durchaus passieren, daß irgendein Programm noch auf das
Home-Verzeichnis zugreift, sodaß es nicht ge-umountet werden kann. Beagle
soll einer der Kandidaten sein. Falls dem so ist, müßte ich auch selbst
noch was danach googlen, denn bei mir funktioniert das (ohne beagle)
wunderbar.
Gruß
Jan
--
I am Bashir of Borg. Prepare to be... did anyone ever tell you that you
have beautiful eyes?
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |