Am Montag, 21. April 2008 schrieb Ralf Goos:
Am Montag, 21. April 2008 19:49:40 schrieb Jan Ritzerfeld:
Am Sonntag, 20. April 2008 schrieb Ralf Goos: (...). IIRC kannst du sudo ja auch so einstellen, daß nur bestimmte Benutzer oder Gruppen für bestimmte Befehle kein Paßwort brauchen.
Das würde mich interessieren, wie ich einem User meiner Wahl (der keine root-Rechte hat) dazu verhelfen kann, dass er mount/umount, cryptsetup und losetup ausführen darf.
Wenn du die pam_mount-Methode nutzt, sollte es reichen, dem Benutzer mount.crypt und umount.crypt zur Verfügung zu stellen: https://anon-web.aioe.org/daten_verschluesseln_dm-crypt.htm Unter 1. steht wie man sudo dafür konfiguriert und unter 5. wie man mount.crypt und umount.crypt benutzt.
(...).
Bist du dir ganz sicher, daß nach dem Logout noch das entschlüsselte Home-Verzeichnis sichtbar ist? Ich bin da auch zuerst ein wenig verwirrt gewesen, da YaST auch ein unverschlüsseltes Home-Verzeichnis mit den Standard-Dateien und -Verzeichnissen anlegt und das anfangs natürlich noch genau so aussieht wie das eigentlich verschlüsselte. Sprich, wenn du neue Dateien anlegst, siehst du die auch noch nach einem Logout? Und überprüfe die Ausgabe von "mount", ob dort tatsächlich noch ein Eintrag wie "/dev/mapper/_dev_loop0 on /home/..." vorhanden ist.
Du hast Recht, jetzt bin ich verwirrt.
Wie gesagt, war ich im ersten Augenblick auch.
In dem Homeverzeichnis sind (nach logout des BankingUsers) zwar alle Dateien vorhanden, aber von altem Datenstand (Freitag letzte Woche).
Also der Inhalt entspricht dem Stand zum Zeitpunkt des Anlegens von dem verschlüsselten Home-Verzeichnis?
Es ist auch definitiv kein loopbackdevice mehr vorhanden, sowie es keinen aktiven mount auf das verschlüsselte home-Verzeichnis mehr gibt
Das ist erst einmal das wichtigste. Sonst müßten wir pam_mount in den Debug-Modus versetzen und weiter nach den Ursachen suchen, warum das unmounten nicht erfolgreich ist.
Sieht ganz so aus, als ob ich jetzt zwei Versionen von allen Dateien habe. Je nach dem ob der owner (BankingUser) eingelogt ist, oder nicht. Das kann doch nicht gesund sein?
Gute Frage. Ich bin mir da auch nicht so sicher. Ich habe einfach das Home-Verzeichnis unverschlüsselt dort liegen lassen, welches beim Anlegen eines Benutzers erstellt wird. pam_mount ist ja nicht für alle Login-Möglichkeiten aktiviert. Ein Einloggen z. B. per su mountet das Verzeichnis nicht. Und wenn dann gar keins da ist, meckert garantiert schon die Login-Shell, daß das in /etc/passwd angegebene Home-Verzeichnis gar nicht existiert. Sprich, das unverschlüsselte Home-Verzeichnis dient als Fallback.
Kann es sein, dass diese doppelten Dateien sozusagen von der Initialbefüllung des home-Verzeichnisses noch vorhanden sind?
Wenn du mit YaST einem bestehenden Benutzer ein verschlüsseltes Home-Verzeichnis bereitstellst, dann kopiert YaST den bisherigen Inhalt in das verschlüsselte. IMHO eine sehr gute Idee. Würden die Daten verschoben, und hätte man bei der Einrichtung das Paßwort irgendwie falsch oder einfach ein falsches eingegeben oder hätte der Benutzer sein richtiges Paßwort einfach vergessen, dann wären alle Daten unwiderbringlich gelöscht.
Und kann ich die Dinger löschen?
Wenn du dir sicher bist, daß du auf das verschlüsselte Home-Verzeichnis zugreifen kannst. Und natürlich ein verschlüsseltes Backup hast, ich mache das mit dar, daß kann direkt verschlüsseln, sodaß man keine temporäre unverschlüsselte Kopie des Backups herumliegen hat. Und Löschen würde ich die Dateien mit wipe o. ä.. Sonst sind die Daten selbst ja noch auf der Platte vorhanden, man sieht sie nur nicht mehr mit den normalen Mitteln.
Oder werden die Dinger gebraucht, weil da irgendwie per loopback erkannt wird ob es Änderungen gab und wenn ja werden nur diese Änderungen in den verschlüsselten Datencontainer geschrieben?
Neee. Ich glaube nicht. Aber ich habe das unverschlüsselte Home-Verzeichnis auch nicht direkt gelöscht, sondern es erstmal verschoben und dann nachgesehen, ob noch alles da ist. Sicher ist sicher!
So was ähnliches habe ich unter dem Link http://de.wikipedia.org/wiki/EncFS den du mir geschickt hast gelesen.
Das bezog sich darauf, daß du bei einem mit EncFS verschlüsselten Verzeichnis auch an den verschlüsselten Dateien noch erkennst, wann sie das letzte Mal geändert wurden. EncFS verschlüsselt ja nur die Dateien und die Dateinamen. Die Meta-Daten wie die Verzeichnisstruktur und die ganzen Timestamps bleiben unverschlüsselt. Daher kannst du dein Backup-Programm auf die verschlüsselten Dateien loslassen und trotzdem inkrementelle und differenzielle Backups o. ä. durchführen. Sprich, beim ersten mal alles "backupen" und danach nur die Änderungen, die sich seit dem Zeitpunkt des vorherigen Backups (oder des ersten) ergeben haben. HTH Jan -- Idiot Box: The part of the envelope that tells a person where to place the stamp when they can't quite figure it out for themselves. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org