scrpiting

Michael

10 Dec 2009 10 Dec '09

21:57

Hallo ich habe eine bash scripting Frage... Das Probelm: ich sichere meine Daten mit rsync auf ein NAS, das tut. Nun möchte ich vom NAS aus meine Daten auf einem "online" speicher sichern. Keiner gibt seine Daten ungeschützt ins Netz also möchte ich verschlüsseln. Da das keine Domäne von rsync und da ich das nicht dem Anbieter des Speicherplatzes überlassen will muss ich vorher verschlüsseln. Schnell bin ich auf encfs gekommen. Das wäre ideal - ich könnte alles so lassen und müsste nur das encfs Verzeichnis unmounten dann dieses Verzeichniss (was ja verschlüsselt ist) sichern. Nur hat das NAS einen ARM Prozessor und kennt kein encfs.Meine Versuche in einer chroot Umgebung encfs zu compliren habe leider nicht zum Erfolg geführt. Da ich Platz genug habe möchte ich nun folgendes machen: Unterhalb von sagen wir /mnt/backup liegen auf dem NAS meine Daten, ich möchte nun einmal in der Nacht alle geänderten Daten unterhalb von /mnt/backup in ein neues Verzeichnis z.B. /mnt/crypt mit der selben Struktur wie in /mnt/backup kopieren und dort verschlüsseln. /mtn/crypt würde ich dann nach extern mit rsync sichern Was haltet Ihr davon, macht das Sinn? Oder ist das zu umständlich? Mein Problem ist dann schlussendlich wie kann ich so was per bash script umsetzen? Gedacht hatte ich an find um die geänderten Daten zu finden, aber wie kann ich nach einem erfolgreichen find (pro datei) diese kopieren und verschlüsseln und dabei die Pfad struktur erhalten? Kann man das alles im -exec machen? Viele Grüße und vielen Dank Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Show replies by date

Joerg Thuemmler

11 Dec 11 Dec

07:05

Michael schrieb:

...

Hallo

ich habe eine bash scripting Frage...

Das Probelm: ich sichere meine Daten mit rsync auf ein NAS, das tut. Nun möchte ich vom NAS aus meine Daten auf einem "online" speicher sichern. Keiner gibt seine Daten ungeschützt ins Netz also möchte ich verschlüsseln. Da das keine Domäne von rsync und da ich das nicht dem Anbieter des Speicherplatzes überlassen will muss ich vorher verschlüsseln. Schnell bin ich auf encfs gekommen. Das wäre ideal - ich könnte alles so lassen und müsste nur das encfs Verzeichnis unmounten dann dieses Verzeichniss (was ja verschlüsselt ist) sichern. Nur hat das NAS einen ARM Prozessor und kennt kein encfs.Meine Versuche in einer chroot Umgebung encfs zu compliren habe leider nicht zum Erfolg geführt.

Da ich Platz genug habe möchte ich nun folgendes machen:

Unterhalb von sagen wir /mnt/backup liegen auf dem NAS meine Daten, ich möchte nun einmal in der Nacht alle geänderten Daten unterhalb von /mnt/backup in ein neues Verzeichnis z.B. /mnt/crypt mit der selben Struktur wie in /mnt/backup kopieren und dort verschlüsseln.

/mtn/crypt würde ich dann nach extern mit rsync sichern

Was haltet Ihr davon, macht das Sinn? Oder ist das zu umständlich? Mein Problem ist dann schlussendlich wie kann ich so was per bash script umsetzen? Gedacht hatte ich an find um die geänderten Daten zu finden, aber wie kann ich nach einem erfolgreichen find (pro datei) diese kopieren und verschlüsseln und dabei die Pfad struktur erhalten? Kann man das alles im -exec machen?

Viele Grüße und vielen Dank Michael

Hi, klingt doch ganz logisch. Ich habe eine ähnliche Sache am Laufen, abgesehen davon, dass es ein Samba-Share ist, was ich auf geänderte überwache. Ich verwende eine Kombination von find und tar dafür: (alles eine Zeile, LASTDATEFILE wird danach mit einem (vorher!) gesetzten Timestamp getouched) find . -type f -cnewer $LASTDATEFILE -exec /usr/local/bin/tarcp . ${BACKUPDIR} {} >>${LOG} \;. tarcp ist ein recht praktisches Miniscript, welches ich aus alten Unix-Zeiten mit mir rumschleppe, welches die Verzeichnisstruktur hübsch synchronisiert: sd=$1 td=$2 shift 2 (cd ${sd}; tar cf - "$*") | (cd ${td}; tar vxf -) Sicher gibts Moderneres, aber das tut. cu jth -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

David Haller

13:39

Hallo, Am Fre, 11 Dez 2009, Joerg Thuemmler schrieb: [..]

...

tarcp ist ein recht praktisches Miniscript, welches ich aus alten Unix-Zeiten mit mir rumschleppe, welches die Verzeichnisstruktur hübsch synchronisiert:

sd=$1 td=$2 shift 2 (cd ${sd}; tar cf - "$*") | (cd ${td}; tar vxf -)

Damit schießt du dir prima ins Knie, wenn man die Dateinamen nicht ganz sauber sind oder mehr als genau 3 Argumente angegeben werden. ==== Besser: ==== sd="$1" td="$2" shift 2 (cd "${sd}"; tar cpf - "$@") | (cd "${td}"; tar xpvf -) ==== HTH, -dnh -- Rincewind could scream for mercy in nineteen languages, and just scream in another forty-four. -- Terry Pratchett, Interesting Times -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Michael

22:39

Hallo, ich bekomme da einen Fehler den ich nicht verstehe.. Am 11. Dezember 2009 14:39 schrieb David Haller :

...

...
tarcp ist ein recht praktisches Miniscript, welches ich aus alten Unix-Zeiten mit mir rumschleppe, welches die Verzeichnisstruktur hübsch synchronisiert: ==== Besser: ==== sd="$1"

Am Fre, 11 Dez 2009, Joerg Thuemmler schrieb: [..] td="$2" shift 2 (cd "${sd}"; tar cpf - "$@") | (cd "${td}"; tar xpvf -) ====

Was macht das "$@" ? Ich habe zum testen nur mal schnell zwei Verzeichnisse genommen aber da scheint das erst tar ja keine DAten zu bekommen?? michael@akazia:~/wrk> /home/michael/bin/tarcp.sh /home/michael/apps /home/michael/bak tar: Anlegen eines leeren Archivs wird feige verweigert. „tar --help“ oder „tar --usage“ gibt weitere Informationen. tar: Das sieht nicht wie ein „tar“-Archiv aus. tar: Fehler beim Beenden, verursacht durch vorhergehende Fehler. michael@akazia:~/wrk> Viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Matthias Müller

22:53

Hallo, Am Freitag, 11. Dezember 2009 schrieb Michael: snip

...

Was macht das "$@" ? Das expandiert die Positionsparameter $1 $2 usw so dass sie Einzelparameter bleiben. Also: "${@}" wird zu "${1}" "${2}" usw, je nachdem wieviel angegeben wurden. "${*}" wird im Gegesatz dazu, zu "${1} ${2} usw" Trenner zwischen den Paramtern ist das erst in ${IFS} gespeicherte Zeichen.

-- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!

David Haller

23:20

Hallo, Am Fre, 11 Dez 2009, Michael schrieb:

...

Am 11. Dezember 2009 14:39 schrieb David Haller :

...
...
tarcp ist ein recht praktisches Miniscript, welches ich aus alten Unix-Zeiten mit mir rumschleppe, welches die Verzeichnisstruktur hübsch synchronisiert: ==== Besser: ==== sd="$1"

Am Fre, 11 Dez 2009, Joerg Thuemmler schrieb: [..] td="$2" shift 2 (cd "${sd}"; tar cpf - "$@") | (cd "${td}"; tar xpvf -) ====

Was macht das "$@" ?

==== man bash ==== PARAMETERS [..] Special Parameters The shell treats several parameters specially. These parameters may only be referenced; assignment to them is not allowed. * Expands to the positional parameters, starting from one. When the expansion occurs within double quotes, it expands to a single word with the value of each parameter separated by the first character of the IFS special variable. That is, "$*" is equivalent to "$1c$2c...", where c is the first character of the value of the IFS variable. If IFS is unset, the parameters are separated by spaces. If IFS is null, the parameters are joined without intervening separators. @ Expands to the positional parameters, starting from one. When the expansion occurs within double quotes, each parameter expands to a separate word. That is, "$@" is equivalent to "$1" "$2" ... When there are no positional parameters, "$@" and $@ expand to nothing (i.e., they are removed). ====

...

Ich habe zum testen nur mal schnell zwei Verzeichnisse genommen aber da scheint das erst tar ja keine DAten zu bekommen??

michael@akazia:~/wrk> /home/michael/bin/tarcp.sh /home/michael/apps /home/michael/bak

Das Script braucht noch ein Argument was (relativ zum Quell-Verzeichnis, dem ersten Argument) einzupacken ist. Wenn alles: dann '.' für's aktuelle Verzeichnis. -dnh -- The goal of Computer Science is to build something that will last at least until we've finished building it. -- BSD fortune file -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Michael

12 Dec 12 Dec

10:37

Hallo zusammen, 2009/12/12 David Haller :

...

Das Script braucht noch ein Argument was (relativ zum Quell-Verzeichnis, dem ersten Argument) einzupacken ist. Wenn alles: dann '.' für's aktuelle Verzeichnis.

Kaum macht man's richtig tuts. Und man bash ist eine geniale Quelle find . -type f -exec ~/bin/tarcp.sh . ~/bak {} \; das o.g. spiegelt ja nun die daten nach ~/bak Wie kann ich nun die Dateien die ich nach ~/bak schreibe verschlüsseln? Am liebsten mit einem x509 Zertifikat. Es müsste ja eine Erweiterung des o.g Befehls sein. Viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Dieter Kluenter

12:15

Michael writes:

...

Hallo zusammen,

2009/12/12 David Haller :

...
Das Script braucht noch ein Argument was (relativ zum Quell-Verzeichnis, dem ersten Argument) einzupacken ist. Wenn alles: dann '.' für's aktuelle Verzeichnis.

Kaum macht man's richtig tuts. Und man bash ist eine geniale Quelle

find . -type f -exec ~/bin/tarcp.sh . ~/bak {} \;

das o.g. spiegelt ja nun die daten nach ~/bak Wie kann ich nun die Dateien die ich nach ~/bak schreibe verschlüsseln? Am liebsten mit einem x509 Zertifikat. Es müsste ja eine Erweiterung des o.g Befehls sein.

z.B. man enc(1) openssl enc -e -ciphername AES256-SHA -K key -in file -out file ciphername ist hier beispielhaft, siehe openssl ciphers -v, je nach Situation muss vielleicht noch -pass und -a hinzugefügt werden. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

David Haller

16:34

Hallo, Am Sam, 12 Dez 2009, Dieter Kluenter schrieb:

...

Michael writes:

...
Hallo zusammen,

2009/12/12 David Haller :

...
Das Script braucht noch ein Argument was (relativ zum Quell-Verzeichnis, dem ersten Argument) einzupacken ist. Wenn alles: dann '.' für's aktuelle Verzeichnis.

Kaum macht man's richtig tuts. Und man bash ist eine geniale Quelle

find . -type f -exec ~/bin/tarcp.sh . ~/bak {} \;

Das ist fast äquivalent zu ~/bin/tarcp.sh . ~/bak . Nur leere Verzeichnisse und symlinks, sockets etc. werden hier mitkopiert.

...

...
das o.g. spiegelt ja nun die daten nach ~/bak Wie kann ich nun die Dateien die ich nach ~/bak schreibe verschlüsseln? Am liebsten mit einem x509 Zertifikat. Es müsste ja eine Erweiterung des o.g Befehls sein.

z.B. man enc(1) openssl enc -e -ciphername AES256-SHA -K key -in file -out file

ciphername ist hier beispielhaft, siehe openssl ciphers -v, je nach Situation muss vielleicht noch -pass und -a hinzugefügt werden.

Könnte man bei afio gut als Kopressionsprogramm angeben, bei obigen tar würde alles gemeinsam verschlüsselt. Bei der Variante mit find+exec tarcp.sh ginge das (ist halt langsam). -dnh -- Bored? Want hours of entertainment? Just set the initdefault to 6! Whee! -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Michael

13 Dec 13 Dec

08:21

Hallo Am 12. Dezember 2009 17:34 schrieb David Haller :

...

Könnte man bei afio gut als Kopressionsprogramm angeben, bei obigen tar würde alles gemeinsam verschlüsselt. Bei der Variante mit find+exec tarcp.sh ginge das (ist halt langsam).

Letztendlich möchte ich ja ALLE Dateien in einen eigene Struktur die identisch dem Original ist spiegeln und jede Datei EINZELN verschlüsseln. Ich möchte TÄGLICH nur die geändeten/neuen Dateien spiegeln und verschlüsseln. Denkt Ihr es gibt zu find . -type f -cnewer $LASTDATEFILE -exec /usr/local/bin/tarcp . ${BACKUPDIR} {} >>${LOG} \;. mit tarcp als: sd=$1 td=$2 shift 2 (cd ${sd}; tar cf - "$*") | (cd ${td}; tar vxf -) und zusätzlichem enc im Pipe: openssl enc -e -ciphername AES256-SHA -K key -in file -out file eine bessere Lösung ??? Die verschlüsselten Daten will ich dann mit rsync bei einen webspace Anbieter sichern. viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

David Haller

17:18

Hallo, Am Son, 13 Dez 2009, Michael schrieb:

...

Letztendlich möchte ich ja ALLE Dateien in einen eigene Struktur die identisch dem Original ist spiegeln und jede Datei EINZELN verschlüsseln. Ich möchte TÄGLICH nur die geändeten/neuen Dateien spiegeln und verschlüsseln.

Ah ok.

...

Denkt Ihr es gibt zu

find . -type f -cnewer $LASTDATEFILE -exec /usr/local/bin/tarcp . ${BACKUPDIR} {} >>${LOG} \;.

mit tarcp als:

sd=$1 td=$2 shift 2 (cd ${sd}; tar cf - "$*") | (cd ${td}; tar vxf -)

Sach mal, liest du was die anderen schreiben? Ich hab ausführlich geschrieben, daß und warum du mit diesem 'tarcp' nur auf die Schnauze fallen kannst!

...

und zusätzlichem enc im Pipe:

openssl enc -e -ciphername AES256-SHA -K key -in file -out file

In der Pipe wird das nicht klappen, damit würdest du das tar verschlüsseln, und das auspackende tar würde nur Fehler ausgeben. ==== cpbackenc.sh UNGETESTET und UNVOLLSTAENDIG ==== #!/bin/bash SOURCEDIR="$1"; shift; BACKUPDIR=/foo/bak; cd "$SOURCEDIR" || { echo "Cannot change to $SOURCEDIR!">&2; exit 1; } find . -type f -cnewer "$LASTDATEFILE" \ -exec openssl enc -e -aes256-ebc -K 'KEY' -iv 'IV' \ -in "{}" -out "${BACKUPDIR}/{}" \; done ==== Den key / IV mußt du anpassen (siehe man enc). HTH, -dnh -- In /etc is what you think. In /proc is, what the OS thinks. -- Thomas Blum in doc -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Michael

18:18

Hi Am 13. Dezember 2009 18:18 schrieb David Haller :

...

...
(cd ${sd}; tar cf - "$*") | (cd ${td}; tar vxf -)

Sach mal, liest du was die anderen schreiben? Ich hab ausführlich geschrieben, daß und warum du mit diesem 'tarcp' nur auf die Schnauze fallen kannst!

Klar lese ich, nur habe ich die falsche Stelle zitiert, da hätte deine Version stehen sollen. Sorry und vielen Dank!!! Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Michael

21:15

Hallo Am 13. Dezember 2009 18:18 schrieb David Haller :

...

openssl enc -e -aes256-ebc -K 'KEY' -iv 'IV'

So oft ich auch man enc, req, openssl .. lese ich finde nicht raus wie was ich als hex value unter -K angeben muss. Ausserdem verstehe ich -iv nicht. Ist das nicht der Initialisierungsvektor? Ich habe wiefolge einen x509 Key angelegt: openssl req -newkey rsa:2048 -x509 -keyout ~/backup2.key -out ~/backup2.crt Wie komme ich nun an den Wert für -K? Ich habe ein Passwort angegeben, das muss ich nun doch beim Aufruf neben -K mit geben? Aber dann muss ich kein -iv angeben oder? Oder sollte ich, für diesen speziellen Anwenungsfall, die option -nodes angeben und dann ohne Passwort arbeiten? Hoffe ihr könnte mir helfen, ich google hier schon seit Stunden.. viele grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Michael

21:54

Hallo, ich habe nun doch die Lösung gefunden -K ist der fullkey name in hex ohne Doppelpunte -iv habe ich immer noch nicht kapiert, muss aber nicht angeben werden wenn ich das passwort angebe. Passwort angeben ist nicht ganz nett, das kann mit ps ausgelesen werden. Da kann man aber scheinbar umgehen indem man das pwd in eine Datei auslagert. Würdet Ihr ggf ohne Passwort arbeiten? Bisher nehme ich beim Sicherne nur den type f mit was würder Ihr noch empfehlen? Viele Grüße Michael Am 13. Dezember 2009 22:15 schrieb Michael :

...

Hallo

Am 13. Dezember 2009 18:18 schrieb David Haller :

...
openssl enc -e -aes256-ebc -K 'KEY' -iv 'IV'

So oft ich auch man enc, req, openssl .. lese ich finde nicht raus wie was ich als hex value unter -K angeben muss. Ausserdem verstehe ich -iv nicht. Ist das nicht der Initialisierungsvektor?

Ich habe wiefolge einen x509 Key angelegt: openssl req -newkey rsa:2048 -x509 -keyout ~/backup2.key -out ~/backup2.crt

Wie komme ich nun an den Wert für -K? Ich habe ein Passwort angegeben, das muss ich nun doch beim Aufruf neben -K mit geben? Aber dann muss ich kein -iv angeben oder? Oder sollte ich, für diesen speziellen Anwenungsfall, die option -nodes angeben und dann ohne Passwort arbeiten?

Hoffe ihr könnte mir helfen, ich google hier schon seit Stunden..

viele grüße Michael

-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Dieter Kluenter

14 Dec 14 Dec

08:57

Michael writes:

...

Hallo,

ich habe nun doch die Lösung gefunden -K ist der fullkey name in hex ohne Doppelpunte -iv habe ich immer noch nicht kapiert, muss aber nicht angeben werden wenn ich das passwort angebe. Passwort angeben ist nicht ganz nett, das kann mit ps ausgelesen werden. Da kann man aber scheinbar umgehen indem man das pwd in eine Datei auslagert.

Würdet Ihr ggf ohne Passwort arbeiten?

Bisher nehme ich beim Sicherne nur den type f mit was würder Ihr noch empfehlen?

[...] Hier ein Beispiel mit meinem Zertifikat: /usr/share/ssl/misc/c_hash certs/dkluenter.pem 35d0a1e2.0 => certs/dkluenter.pem openssl enc -e -P -in avci.ldif -out avci.ldif.enc -K 35d0a1e2 \ -aes256 -pass stdin das ergibt: <passwort> salt=DE6A3FDB3D63A85F key=35D0A1E200000000000000000000000000000000000000000000000000000000 iv =6D0320553926614CF86DCCF2A904CCD4 statt -P solltest du -a oder -A einsetzen um base64 Dateien zu erstellen. Anstelle von stdin gibt es auch andere Argumente für -pass, siehe hierzu openssl(1), PASS PHRASE ARGUMENTS. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Dieter Kluenter

10:10

"Dieter Kluenter" writes:

...

Michael writes:

...
Hallo,

ich habe nun doch die Lösung gefunden -K ist der fullkey name in hex ohne Doppelpunte -iv habe ich immer noch nicht kapiert, muss aber nicht angeben werden wenn ich das passwort angebe. Passwort angeben ist nicht ganz nett, das kann mit ps ausgelesen werden. Da kann man aber scheinbar umgehen indem man das pwd in eine Datei auslagert.

Würdet Ihr ggf ohne Passwort arbeiten?

Bisher nehme ich beim Sicherne nur den type f mit was würder Ihr noch empfehlen?

[...] Hier ein Beispiel mit meinem Zertifikat: /usr/share/ssl/misc/c_hash certs/dkluenter.pem 35d0a1e2.0 => certs/dkluenter.pem openssl enc -e -P -in avci.ldif -out avci.ldif.enc -K 35d0a1e2 \ -aes256 -pass stdin das ergibt: <passwort> salt=DE6A3FDB3D63A85F key=35D0A1E200000000000000000000000000000000000000000000000000000000 iv =6D0320553926614CF86DCCF2A904CCD4

statt -P solltest du -a oder -A einsetzen um base64 Dateien zu erstellen. Anstelle von stdin gibt es auch andere Argumente für -pass, siehe hierzu openssl(1), PASS PHRASE ARGUMENTS.

Die Fragestellung hat mich beschäftigt :-) Neben enc kann auch smime(1) benutzt werden, die einzelnen Dateien werden dann zusätzlich in base64 Format gewandelt. openssl smime -encrypt -in avci.ldif -out avci.ldif.enc \ -text -aes256 certs/dkluenter.pem openssl smime -decrypt -in avci.enc -out avci.ldif \ -inkey certs/dkluenter-key.pem certs/dkluenter.pem -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Michael

22:01

Hallo zusammen,

...

...
Hier ein Beispiel mit meinem Zertifikat: /usr/share/ssl/misc/c_hash certs/dkluenter.pem 35d0a1e2.0 => certs/dkluenter.pem openssl enc -e -P -in avci.ldif -out avci.ldif.enc -K 35d0a1e2 \ -aes256 -pass stdin das ergibt: <passwort> salt=DE6A3FDB3D63A85F key=35D0A1E200000000000000000000000000000000000000000000000000000000 iv =6D0320553926614CF86DCCF2A904CCD4

Selten aber ich gebe bei der Verschlüsselung auf. Die Themen sind alle verständlich und wenn man ein paar Abende verbringt dann wird es auch tun. Ich habe nun schon bei der Erstellung der Schlüssel zig Fragen. - wie erzeuge ich einen sicheres zertifkat nur für mich um meine Dateien zu verschlüsseln? - ich brauche keine CA ich will ja nur für mich verschlüsseln, wenn das auch einfacher geht dann nehme ich jede SICHERE Alternative an. Viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Dieter Kluenter

22:56

Michael writes:

...

Hallo zusammen,

...
...
Hier ein Beispiel mit meinem Zertifikat: /usr/share/ssl/misc/c_hash certs/dkluenter.pem 35d0a1e2.0 => certs/dkluenter.pem openssl enc -e -P -in avci.ldif -out avci.ldif.enc -K 35d0a1e2 \ -aes256 -pass stdin das ergibt: <passwort> salt=DE6A3FDB3D63A85F key=35D0A1E200000000000000000000000000000000000000000000000000000000 iv =6D0320553926614CF86DCCF2A904CCD4

Selten aber ich gebe bei der Verschlüsselung auf. Die Themen sind alle verständlich und wenn man ein paar Abende verbringt dann wird es auch tun. Ich habe nun schon bei der Erstellung der Schlüssel zig Fragen. - wie erzeuge ich einen sicheres zertifkat nur für mich um meine Dateien zu verschlüsseln? - ich brauche keine CA ich will ja nur für mich verschlüsseln, wenn das auch einfacher geht dann nehme ich jede SICHERE Alternative an.

Also wirklich, nach einem 1.000 Meterlauf 1 Meter vor dem Ziel aufgeben :-( Das ist alles nicht so kompliziert, selbst ich, als alter Tattergreis, habe das irgendwann verstanden. Eine CA benötigst du, um eine saubere Kette zu bilden. Was nutzt dir irgendein Zertifikat, ohne eine Vertrauensbindung. Es ist doch nicht so schwer, sich mit den einfachsten Regeln der Sicherheit vertraut zu machen. X.509 ist unabhängig davon, ob du nur ein paar Dateien verschlüsseln möchtest, oder du eine Public Key Infrastructure für mehrere tausend Anwender betreibst. Ob GnuPG oder X.509, die Vorgehensweise ist immer ähnlich. Du möchtest *nur* ein paar private Dateien, verschlüsseln, da muss ich dann fragen, was verstehst du unter SICHERES *verschlüsseln*? Oder meinst du, das eine Base64-Kodierung für deine Belange ausreicht? Oder ist ein ROT13 für dich schon eine Verschlüsselung? Datensicherheit ist immer mit Mühe und Vertrauen verbunden. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Michael

16 Dec 16 Dec

22:03

Hallo Dieter, Am 14. Dezember 2009 23:56 schrieb Dieter Kluenter :

...

Also wirklich, nach einem 1.000 Meterlauf 1 Meter vor dem Ziel aufgeben :-( Noch nicht ganz.. da mich das schon wurmt, ich bin im Moment von der Fülle der Optionen erschlagen und "weigere" mich einfach mal zu machen ohne alles verstanden zu haben, ich werde das im Folgende primäre Ziel verfolgen und dann noch mal das Thema der korrekten Zertifikaterstellung mir all seinen Optionen ansehen.

...

Das ist alles nicht so kompliziert, selbst ich, als alter Tattergreis, habe das irgendwann verstanden. Eine CA benötigst du, um eine saubere Kette zu bilden. Was nutzt dir irgendein Zertifikat, ohne eine Vertrauensbindung. Die Grundprinzipien sind mir klar.

...

Du möchtest *nur* ein paar private Dateien, verschlüsseln, Dazu etwas weiter unten mehr

...

da muss ich dann fragen, was verstehst du unter SICHERES *verschlüsseln*? Oder meinst du, das eine Base64-Kodierung für deine Belange ausreicht? Oder ist ein ROT13 für dich schon eine Verschlüsselung? Datensicherheit ist immer mit Mühe und Vertrauen verbunden. Sicher = statistische Angriffe und brut force sollten es zu mindest nicht einfach haben also fallen base64, ROT13 (und damit alle Caesar Chiffres) weg. Ich besitze ein Zertifikate mit Namen die ich bisher zum signieren und verschlüsseln von Mails, Server Auth und Code Sig, benutze.

Nun habe ich schlicht ein Zertifikat erstellen wollen welches mind. 10 Jahre besteht, letztenlich benötige ich kein Zertifikat für meine Zwecke da ich tatsächlich ja "nur" Dateien verschlüsseln und bei einem WebSpaceProvider ablegen möchte. D.h. auch einen rein synchrone Verschlüsselung ist ok. Da man nun keine Sicherheit hat was mit seinen Daten nun _wirklich_ geschieht möchte ich ein Verfahren nutzen das möglichst noch ein paar Jährchen nicht geknackt wird. Ich habe in der Vergangenheit oft 3des genutzt aber das scheint mir zu unsicher. RSA scheint bei genügend großen Primzahlen interessant, hier habe ich mich aber noch nicht "schlau" gemacht. Tipps nehme ich gerne an :)))) Am Ende brauche ich ja "nur" so was (Dank an David, an dieser Stelle) #!/bin/bash SOURCEDIR="$1"; shift; BACKUPDIR=/foo/bak; cd "$SOURCEDIR" || { echo "Cannot change to $SOURCEDIR!">&2; exit 1; } find . -type f -cnewer "$LASTDATEFILE" \ -exec VERSCHLUESSELN_DER_DATEN -in "{}" -out "${BACKUPDIR}/{}" \; Viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

David Haller

17 Dec 17 Dec

01:33

Hallo, Am Mit, 16 Dez 2009, Michael schrieb:

...

Ich habe in der Vergangenheit oft 3des genutzt aber das scheint mir zu unsicher. RSA scheint bei genügend großen Primzahlen interessant, hier habe ich mich aber noch nicht "schlau" gemacht. Tipps nehme ich gerne an :))))

AES, Twofish. http://hp.kairaven.de/pgp/gpg/gpganhang2.html

...

Am Ende brauche ich ja "nur" so was (Dank an David, an dieser Stelle)

Bitte ;)

...

#!/bin/bash SOURCEDIR="$1"; shift; BACKUPDIR=/foo/bak; cd "$SOURCEDIR" || { echo "Cannot change to $SOURCEDIR!">&2; exit 1; } find . -type f -cnewer "$LASTDATEFILE" \ -exec VERSCHLUESSELN_DER_DATEN -in "{}" -out "${BACKUPDIR}/{}" \;

Ich hatte dir schon nen Beispiel geliefert, der Rest hängt von der Konfiguration deines GPG-Keys ab ;) -exec gpg --batch --verbose --no-textmode --output "${BACKUPDIR}/{}" \ -r [KEY-E-MAIL|KEY-ID] --encrypt --cipher-algo aes256 -- "{}" Dabei wird dein geheimer Key des spezifizierten GPG-Keys als Schüssel für's symmetrische Verschlüsseln per AES256 verwendet. Die Key-ID findest du mit 'gpg --list-keys', und du kannst entweder die zum Schlüssel gehörige Mail-Adresse hinter '-r' angeben oder eben die kurze oder lange, hexadezimale ID des Schlüssels (die dir z.B. von gpg --list-keys email-Adresse oder gpg --list-keys email-Adresse --keyid-format long angezeigt wird). Und du wirst dank gpg-agent nur einmal nach der Passphrase für deinen geheimen Schlüssel gefragt (es sei denn es dauert zu lange, eine einzelne Datei zu verschlüsseln). Wenn du Fragen zur Erstellung/Konfiguration des GPG-Keys hast, melde dich eben nochmal ;) Da sollte es aber eigentlich genug HOWTOs, auch auf deutsch im Netz geben ;) HTH, -dnh -- Die Väter des Grundgesetzes haben gesagt: "Die Deutschen brauchen keinen Fingerabdruck im Personalausweis, die Deutschen sind keine Verbrecher." Das wissen Schily, Schäuble und Beckstein aber besser. Man kann sie nicht hindern von sich auf andere zu schließen. -- Volker Pispers, "Bis neulich" (2007) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Dieter Kluenter

13 Dec 13 Dec

21:56

Michael writes:

...

Hallo

Am 13. Dezember 2009 18:18 schrieb David Haller :

...
openssl enc -e -aes256-ebc -K 'KEY' -iv 'IV'

So oft ich auch man enc, req, openssl .. lese ich finde nicht raus wie was ich als hex value unter -K angeben muss. Ausserdem verstehe ich -iv nicht. Ist das nicht der Initialisierungsvektor?

kein -iv nur Hashwert vom Zertifikat, diesen mit /usr/share/ssl/misc/c_hash erstellen.

...

Ich habe wiefolge einen x509 Key angelegt: openssl req -newkey rsa:2048 -x509 -keyout ~/backup2.key -out ~/backup2.crt

Und mit welcher CA hast du dieses Certificate signiert?

...

Wie komme ich nun an den Wert für -K? Ich habe ein Passwort angegeben, das muss ich nun doch beim Aufruf neben -K mit geben? Aber dann muss ich kein -iv angeben oder? Oder sollte ich, für diesen speziellen Anwenungsfall, die option -nodes angeben und dann ohne Passwort arbeiten? [...]

Du solltest den private key herauslösen mit rsa(1) z.B. opensssl rsa -in newreq.pem -out newkey.pem Aber das ist alles nicht unzureichend. Die einfachste Lösung ist: Sieh dir /etc/ssl/openssl.cnf an, modifizierte nach deinen Wünschen, dann 1. /usr/share/ssl/misc/CA.pl -newca 2. /usr/share/ssl/misc/CA.pl -newreq 3. /usr/share/ssl/misc/CA.pl -sign 4. openssl rsa -in newreq.pem -out newkey.pem 5. mv newcert.pem mycert.pem 5. /usr/share/ssl/misc/CA.pl -verify mycert.pem 6. /usr/share/ssl/misc/c_hash ./certs (oder wo immer die erstellten Certficatesliegen) -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

David Haller

14 Dec 14 Dec

01:35

Hallo, Am Son, 13 Dez 2009, Michael schrieb:

...

Hoffe ihr könnte mir helfen, ich google hier schon seit Stunden..

Du könntest auch gpg verwenden. gpg --batch --verbose --no-textmode \ --output "${BACKUPDIR}/${file}" -r KEYID --encrypt -- "$file" Algorithmus kannst du beim erzeugen des Keypairs definieren (oder auch per Kommandozeile). Nur so als Alternative ;) -dnh --

...

Ich habe folgende Frage: Wie lautet der Imperativ von "erschrecken"? "Buh!" -- S. Doerner und R. Radermacher in desd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Michael

22:13

Hallo ich habe versucht mit gpg zu verschlüsseln aber irgendwie mag das script meinen Schlüssel nicht erkennen, muss etwas etwas anderes als die ID meines Schlüssels angeben? gpg: ./BILD4791.jpg: encryption failed: Kein öffentlicher Schlüssel gpg: 9x3x1x3x: übersprungen: Kein öffentlicher Schlüssel Am 14. Dezember 2009 02:35 schrieb David Haller :

...

Du könntest auch gpg verwenden. gpg --batch --verbose --no-textmode \ --output "${BACKUPDIR}/${file}" -r KEYID --encrypt -- "$file"

Viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Christian Brabandt

22:33

Hi Michael! On Mo, 14 Dez 2009, Michael wrote:

...

ich habe versucht mit gpg zu verschlüsseln aber irgendwie mag das script meinen Schlüssel nicht erkennen, muss etwas etwas anderes als die ID meines Schlüssels angeben?

gpg: ./BILD4791.jpg: encryption failed: Kein öffentlicher Schlüssel gpg: 9x3x1x3x: übersprungen: Kein öffentlicher Schlüssel

Du mußt erst einen Schlüssel erzeugen. Alternativ kannst Du auch symmetrisch verschlüsseln: exec 3

Michael

15 Dec 15 Dec

07:22

Hallo, vielen Dank. Da habe ich wohl zu knapp geschrieben. Ich habe gpg und meinen Schlüssel funktional im Einsatz. Ich hatte nun meinen Schlüssel angegeben

...

...
gpg: ./BILD4791.jpg: encryption failed: Kein öffentlicher Schlüssel gpg: 9x3x1x3x: übersprungen: Kein öffentlicher Schlüssel

und bekam die o.g. Meldung die x stammen natürlich von mir. Die Frage ist warum ich den o.g. Fehler bekomme. Viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Christian Brabandt

07:32

Hi Michael! On Di, 15 Dez 2009, Michael wrote:

...

vielen Dank. Da habe ich wohl zu knapp geschrieben. Ich habe gpg und meinen Schlüssel funktional im Einsatz. Ich hatte nun meinen Schlüssel angegeben

Laß mich raten: Du hast den Schlüssel als User erzeugt, aber verschlüsselst als root? Mit freundlichen Grüßen Christian -- hundred-and-one symptoms of being an internet addict: 17. You turn on your intercom when leaving the room so you can hear if new e-mail arrives. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Michael

08:34

...

Laß mich raten: Du hast den Schlüssel als User erzeugt, aber verschlüsselst als root? Leider nein, root bin ich so selten wie nötig.

Viele Grüße Mcihael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

5253

Age (days ago)

5260

Last active (days ago)

List overview

Download

26 comments

6 participants

participants (6)

Christian Brabandt
David Haller
Dieter Kluenter
Joerg Thuemmler
Matthias Müller
Michael

scrpiting

Michael

Michael

Matthias Müller

Michael

Michael

Michael

Michael

Michael

Michael

Michael

Michael

Michael

Michael

tags

participants (6)