Am Sonntag, 20. April 2008 schrieb Ralf Goos:
(...). vielen Dank für deine Antwort. Dein Tip hat geholfen, jetzt steh ich allerdings vor weiteren Problemen. Aber der Reihe nach.
Befehlsfolge um eine KryptDatei für einen User als Homverzeichnis zu öffnen (die KryptDatei muss natürlich zuvor mit YaST erzeugt werden): 1) losetup /dev/loop1 /home/KRYPTDATEI 2) cryptsetup luksOpen /dev/loop1 cr_KRYPTDATEI => jetzt wird das Passwort abgefragt 3) mount /dev/mapper/cr_KRYPTDATEI /home/MOUNTPOINT -t ext3 -o acl,user_xattr,noauto => jetzt steht das Homeverzeichnis (aus der KryptDatei) zur Verfügung
Und hier die Befehlsfolge um den Zugang zur KryptDatei vollständig wieder zu entfernen: 1) umount /dev/mapper/cr_KRYPTDATEI -d -l 2) cryptsetup luksClose cr_KRYPTDATEI 3) losetup -d /dev/loop1
Das paßt ganz zu der in http://en.opensuse.org/Encrypted_Filesystems beschriebenen Vorgehensweise, ergänzt um das Loopback-Device.
Das ganze hat aber den Haken, dass es nur als user root ausführbar ist.
Da bliebe noch sudo.
Ich wollte das Ausführen der BankingSW und die zugehörigen Daten aber nur einem einzigen User auf dem Rechner einrichten, quasi beim Login/Logout obige Befehle ausführen. Da möchte ich nicht mit sudo arbeiten und jedes mal noch das root-Kennwort eintippen.
IIRC kannst du sudo ja auch so einstellen, daß nur bestimmte Benutzer oder Gruppen für bestimmte Befehle kein Paßwort brauchen.
Deshalb habe ich jetzt (wie du auch vorgeschlagen hast) beim Anlegen des Users gleich ein verschlüsseltes HomeVerzeichnis eingerichtet. Hier arbeitet Suse wohl mit "pam", jedenfalls ist ein entsprechender Eintrag in "/etc/security/pam_mount.conf" zum mounten des verschlüsselten HomeVerzeichnis vorhanden.
Genau, dafür wird "pam_mount" genutzt. Und "cryptconfig" dient als Verwaltungs-Tool.
Das Ergebnis stellt mich aber nicht zufrieden. Da nach dem logout des Banking-users dessen verschlüsseltes HomeVerzeichnis immer noch gemountet ist, und mit "root-Berechtigung" voll zugänglich.
Hast du noch einen Rat?
Bist du dir ganz sicher, daß nach dem Logout noch das entschlüsselte Home-Verzeichnis sichtbar ist? Ich bin da auch zuerst ein wenig verwirrt gewesen, da YaST auch ein unverschlüsseltes Home-Verzeichnis mit den Standard-Dateien und -Verzeichnissen anlegt und das anfangs natürlich noch genau so aussieht wie das eigentlich verschlüsselte. Sprich, wenn du neue Dateien anlegst, siehst du die auch noch nach einem Logout? Und überprüfe die Ausgabe von "mount", ob dort tatsächlich noch ein Eintrag wie "/dev/mapper/_dev_loop0 on /home/..." vorhanden ist. Es kann aber durchaus passieren, daß irgendein Programm noch auf das Home-Verzeichnis zugreift, sodaß es nicht ge-umountet werden kann. Beagle soll einer der Kandidaten sein. Falls dem so ist, müßte ich auch selbst noch was danach googlen, denn bei mir funktioniert das (ohne beagle) wunderbar. Gruß Jan -- I am Bashir of Borg. Prepare to be... did anyone ever tell you that you have beautiful eyes? -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org