Netzwerkdateisystem mit authentifizierung per Key ?

Antworten
Nachricht
Autor
petameta
prolinux-forum-admin
Beiträge: 1294
Registriert: 14. Feb 2003 13:19

Netzwerkdateisystem mit authentifizierung per Key ?

#1 Beitrag von petameta » 18. Jun 2006 19:02

Hi !

Ich möchte auf nem Server auf ein paar Verzeichnisse per Netzwerk zugreifen. Das wäre nicht weiter wild, NFS oder Samba würden es machen.

Nun würde ich gerne nur den Zugriff erlauben, wenn der Nutzer sich vorher authentifiziert (Verschlüsselung ist weder nötig noch erwünscht). Allerdings bin ich so faul, nicht jedesmal nen Passwort tippen zu wollen :-). Da meine Home-Partition eh verschlüsselt ist, wäre der optimale Weg, daß vorher nen Key vereinbart wird. Wenn also in meiner Home-Partition der richtige Key als Datei liegt, soll der Zugriff freigeschaltet werden.

Hat da jemand ne Idee ? Hab schon mal bei Google geguckt, AFS und Coda würden's evtl. machen, allerdings ist das wohl mit Kanonen auf Spatzen schießen, und würde wohl nen ziemlichen Installationsaufwand mit sich bringen. Hat da jemand ne Idee für ne einfachere Lösung ?

libmad

#2 Beitrag von libmad » 20. Jun 2006 5:48

ssh mit chroot eventuell.
(s)ftp oder samba bieten sich doch an.
mit samba kenn ich mich nicht aus.

petameta
prolinux-forum-admin
Beiträge: 1294
Registriert: 14. Feb 2003 13:19

#3 Beitrag von petameta » 20. Jun 2006 14:28

Mit Samba hab ich nen bißchen rumgespielt, das ist ja total verkorkst. Man lese sich z. B. mal folgende Option durch:
password level (G)

Some client/server combinations have difficulty with mixed-case passwords. One offending
client is Windows for Workgroups, which for some reason forces passwords to upper case
when using the LANMAN1 protocol, but leaves them alone when using COREPLUS! Another prob-
lem child is the Windows 95/98 family of operating systems. These clients upper case clear
text passwords even when NT LM 0.12 selected by the protocol negotiation request/response.

This parameter defines the maximum number of characters that may be upper case in pass-
words.

For example, say the password given was "FRED". If password level is set to 1, the fol-
lowing combinations would be tried if "FRED" failed:

"Fred", "fred", "fRed", "frEd","freD"

If password level was set to 2, the following combinations would also be tried:

"FRed", "FrEd", "FreD", "fREd", "fReD", "frED", ..
Da werden also munter Passwörter probiert, bis mal eins paßt, das nenne ich Sicherheit. Das ist nicht wirklich die Schuld von Samba, da es zur Kompatibilität mit einigen Windows-Versionen benötigt wird. Trotzdem habe ich keine Lust Samba erstmal sicher zu konfigurieren, und dabei evtl. ne Option zu übersehen.

Ich tendiere zu ner anderen Lösung: Die entsprechended Ports zunächst mal per firewall sperren. Bei Bedarf können diese dann, richtiger Key vorausgesetzt, freigeschaltet werden. Dazu bietet sich ostiary an, nen nettes Programm, das immun ist gegen Buffer Overflows und die damit verbundenen Sicherheitsprobleme.

Marco Gerber

#4 Beitrag von Marco Gerber » 22. Jun 2006 23:21

tach
petameta hat geschrieben: ... Mit Samba hab ich nen bißchen rumgespielt, das ist ja total verkorkst.....
... Da werden also munter Passwörter probiert, bis mal eins paßt, das nenne ich Sicherheit....
Ursache : Windows.

Wenn du schon keinen Wert auf verschluesselte Uebertragung legst, und deine home Partition verschluesselt ist und du nach einem keyfile suchst, weshalb traegst du nicht gleich das Passwort in die fstab mit ein?
Ist genauso unsinnig wie auf verschluesselte Uebertragung zu verzichten aber mit Authentifikation mittels Keys arbeiten zu wollen ;}

greetz by
Marco

petameta
prolinux-forum-admin
Beiträge: 1294
Registriert: 14. Feb 2003 13:19

#5 Beitrag von petameta » 23. Jun 2006 7:28

Marco Gerber hat geschrieben:tach
Ist genauso unsinnig wie auf verschluesselte Uebertragung zu verzichten aber mit Authentifikation mittels Keys arbeiten zu wollen ;}
Hab das jetzt per iptables und ostiary gelöst. Das Netzwerkkabel wo's drüberläuft ist 15m lang und läuft ausschließlich in meiner Wohnung, von daher ist eine Verschlüsselung denke ich überflüssig. Der Server ist da nicht mit so ner kräftigen CPU ausgestattet, von daher möchte ich die zusätzlichen Taktzyklen zur Verschlüsselung sparen. Für die Authentifizierung hab ich da meine Gründe :-).

Antworten