| View previous topic :: View next topic |
| Author |
Message |
zielscheibe
l33t
Joined: 02 Apr 2004
Posts: 804
Location: Aachen
|
 Posted: Tue Oct 12, 2004 7:18 pm Post subject: Mit Login ein verschlüsseltes Nutzerverzeichnis mounten |
 |
|
Werte Sicherheitsexperten,
Ich möchte auf meiner Kiste für mehrere User, jeweils mittels "dm_crypt" verschlüsselte, "home-Verzeichnisse" zur Verfügung stellen (mounten über losetup).
Da ich mich überhaupt nicht mit den Eigenheiten eines "Loginablaufs" auskenne, bin ich unsicher wie ich diese Verzeichnisse den Nutzern komfortabel und sicher zugänglich machen kann.
Gibt es für mich als root die theoretische Möglichkeit, die Passworte der Nutzer im Klartext lesbar zu machen?
Wenn dies nicht der Fall wäre; wo kann ich dem Loginmechanismus einen weiteren Schritt hinzufügen, nämlich das Einbinden des verschlüsselten Userverzeichnisses bei korrekter Eingabe des Passwortes sowie das Weiterreichen der "Passphrase" an die AES Abfrage?
Ist es sinnvoll mit einem Cronjob die Abfrage der aktuellen Nutzer durchzuführen, um die nicht mehr aktiven Accounts zu sichern (mittels cryptsetup remove blabla)?
Dankeschön!  |
|
| Back to top |
|
 |
tuxophil
Tux's lil' helper
Joined: 29 Jun 2003
Posts: 80
Location: Diddeleng, Lëtzebuerg
|
| Posted: Mon Jan 10, 2005 9:52 am Post subject: Re: Mit Login ein verschlüsseltes Nutzerverzeichnis mounten |
|
|
| zielscheibe wrote: | | Werte Sicherheitsexperten, |
Tut mir leid, aber Experte bin ich nicht. Ich antworte aber trotzdem. (Wenn auch etwas spät.)
| zielscheibe wrote: | | Gibt es für mich als root die theoretische Möglichkeit, die Passworte der Nutzer im Klartext lesbar zu machen? |
Gan klar, nein, gibt es nicht und das ist auch gut so. (Dies würde Sicherheitsprobleme mit sich bringen.)
| zielscheibe wrote: | | Wenn dies nicht der Fall wäre; wo kann ich dem Loginmechanismus einen weiteren Schritt hinzufügen, nämlich das Einbinden des verschlüsselten Userverzeichnisses bei korrekter Eingabe des Passwortes sowie das Weiterreichen der "Passphrase" an die AES Abfrage? |
Der Login-Vorgang wird über die PAM-Infrastruktur (Pluggable Authentication Modules) ausgeführt. Hierbei ist es möglich das Passwort intern weiterzureichen an ein entsprechendes PAM Modul das dann das Mounten übernimmt. Ich glaub' nicht dass es noch andere gibt (die das Mounten übernehmen könnten) aber ich bin sehr zufrieden mit pam_mount.
Automatisiertes Mounten eines verschlüsselten Nutzerverzeichnisses ist möglich, es bedarf allerdings etwas Bastlerei. Mehr Informationen findest du in diesem (englischsprachigen) HOWTO.
Falls du Probleme damit haben solltest bin ich gerne bereit zu helfen.
| zielscheibe wrote: | | Ist es sinnvoll mit einem Cronjob die Abfrage der aktuellen Nutzer durchzuführen, um die nicht mehr aktiven Accounts zu sichern (mittels cryptsetup remove blabla)? |
pam_mount versucht automatisch beim logout das Verzeichniss zu unmounten.
Die pam_mount Lösung ist allerdings ungeeignet wenn das Verzeichnis nur bei Zugriffen gemountet werden soll und so schnell wie möglich geunmountet, da das Passwort nicht im Speicher gehalten wird (wie es z.B. der gpg-agent tut um bequemeres Arbeiten zu erlauben). Für verschlüsselte Home-Verzeichnisse ist es aber ideal.
Ich hoffe das hilft. |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German)
