Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Mit Login ein verschlüsseltes Nutzerverzeichnis mounten
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
zielscheibe
l33t
l33t


Joined: 02 Apr 2004
Posts: 804
Location: Aachen

PostPosted: Tue Oct 12, 2004 7:18 pm    Post subject: Mit Login ein verschlüsseltes Nutzerverzeichnis mounten Reply with quote

Werte Sicherheitsexperten,

Ich möchte auf meiner Kiste für mehrere User, jeweils mittels "dm_crypt" verschlüsselte, "home-Verzeichnisse" zur Verfügung stellen (mounten über losetup).

Da ich mich überhaupt nicht mit den Eigenheiten eines "Loginablaufs" auskenne, bin ich unsicher wie ich diese Verzeichnisse den Nutzern komfortabel und sicher zugänglich machen kann.

Gibt es für mich als root die theoretische Möglichkeit, die Passworte der Nutzer im Klartext lesbar zu machen?

Wenn dies nicht der Fall wäre; wo kann ich dem Loginmechanismus einen weiteren Schritt hinzufügen, nämlich das Einbinden des verschlüsselten Userverzeichnisses bei korrekter Eingabe des Passwortes sowie das Weiterreichen der "Passphrase" an die AES Abfrage?

Ist es sinnvoll mit einem Cronjob die Abfrage der aktuellen Nutzer durchzuführen, um die nicht mehr aktiven Accounts zu sichern (mittels cryptsetup remove blabla)?

Dankeschön! :wink:
Back to top
View user's profile Send private message
tuxophil
Tux's lil' helper
Tux's lil' helper


Joined: 29 Jun 2003
Posts: 80
Location: Diddeleng, Lëtzebuerg

PostPosted: Mon Jan 10, 2005 9:52 am    Post subject: Re: Mit Login ein verschlüsseltes Nutzerverzeichnis mounten Reply with quote

zielscheibe wrote:
Werte Sicherheitsexperten,

Tut mir leid, aber Experte bin ich nicht. Ich antworte aber trotzdem. :wink: (Wenn auch etwas spät.)

zielscheibe wrote:
Gibt es für mich als root die theoretische Möglichkeit, die Passworte der Nutzer im Klartext lesbar zu machen?

Gan klar, nein, gibt es nicht und das ist auch gut so. (Dies würde Sicherheitsprobleme mit sich bringen.)

zielscheibe wrote:
Wenn dies nicht der Fall wäre; wo kann ich dem Loginmechanismus einen weiteren Schritt hinzufügen, nämlich das Einbinden des verschlüsselten Userverzeichnisses bei korrekter Eingabe des Passwortes sowie das Weiterreichen der "Passphrase" an die AES Abfrage?

Der Login-Vorgang wird über die PAM-Infrastruktur (Pluggable Authentication Modules) ausgeführt. Hierbei ist es möglich das Passwort intern weiterzureichen an ein entsprechendes PAM Modul das dann das Mounten übernimmt. Ich glaub' nicht dass es noch andere gibt (die das Mounten übernehmen könnten) aber ich bin sehr zufrieden mit pam_mount.
Automatisiertes Mounten eines verschlüsselten Nutzerverzeichnisses ist möglich, es bedarf allerdings etwas Bastlerei. Mehr Informationen findest du in diesem (englischsprachigen) HOWTO.
Falls du Probleme damit haben solltest bin ich gerne bereit zu helfen.

zielscheibe wrote:
Ist es sinnvoll mit einem Cronjob die Abfrage der aktuellen Nutzer durchzuführen, um die nicht mehr aktiven Accounts zu sichern (mittels cryptsetup remove blabla)?

pam_mount versucht automatisch beim logout das Verzeichniss zu unmounten.

Die pam_mount Lösung ist allerdings ungeeignet wenn das Verzeichnis nur bei Zugriffen gemountet werden soll und so schnell wie möglich geunmountet, da das Passwort nicht im Speicher gehalten wird (wie es z.B. der gpg-agent tut um bequemeres Arbeiten zu erlauben). Für verschlüsselte Home-Verzeichnisse ist es aber ideal.

Ich hoffe das hilft.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum