Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
$HOME verschlüsseln und mit dem login freischalten

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
BOFE
Gast





BeitragVerfasst am: 20. Jan 2009 16:58   Titel: $HOME verschlüsseln und mit dem login freischalten

Folgendes: Für Susis Enterprise Desktop 10, würden wir gerne mit dem Login eines bestimmten Benutzers die per luks verschlüsselte Partition (Containerl) automatisch entschlüsseln. Also das loginpasswort gleich an cryptsetup weiterleiten und danach einen mount machen.

Hat jemand schon einmal so etwas gemacht und könnte mir auf die Sprünge helfen?
 

petameta
prolinux-forum-admin


Anmeldungsdatum: 14.02.2003
Beiträge: 1294

BeitragVerfasst am: 23. Jan 2009 9:16   Titel:

So wie Du es vorhast, hab ich's nicht gemacht, und ich bin mir nicht sicher, ob das vom Aspekt der Sicherheit sinnvoll ist, wenn Passwort und Schlüssel gleich sind. Beispielsweise würdest Du bei jedem Login über SSH der Schlüssel benutzen. Das ist jetzt eine technische Sicht der Dinge und geht zu Lasten des Bedienkomforts ... mir fällt leider keine Lösung ein, die beide Aspekte erfüllt.
 
Benutzer-Profile anzeigen Private Nachricht senden

Janka



Anmeldungsdatum: 11.02.2006
Beiträge: 3569

BeitragVerfasst am: 23. Jan 2009 11:17   Titel:

Bei Verschlüsselung musst du immer beachten, dass diese *ausschließlich* sinnvoll ist, wenn du den Rechner gegen Diebstahl absichern willst. Ist das Kennwort einmal erst einmal eingegeben, ist die Verschlüsselung unwirksam. Das ganze System arbeitet dann nur noch mit der normalen Rechteverwaltung.

Es ist weiterhin sinnlos, nur einzelne Dateien oder Partitionen zu verschlüsseln, wenn nicht der Swap abgeschaltet oder ebenfalls verschlüsselt wird. Der Swap kann aber beim Booten jeweils neu angelegt und mit einem Zufallskennwort verschlüsselt werden. Damit wird er dann auch gleich danach wieder benutzbar gemacht. Nach einem Strom-aus lässt sich der Swap dann nicht mehr entschlüsseln.

Weiterhin musst du unbedingt Suspend (to-RAM, to-Disk) auf dem Rechner verhindern, da dabei der Rechner im "offenen" Zustand abgeschaltet wird.

Das Loginkennwort wird über PAM ermittelt. Du musst also nach einem PAM-Modul Ausschau halten, das außerdem das Kennwort auch zum Entschlüsseln benutzt. Guck hier
http://wiki.linux-club.de/opensuse/Mit_dm-crypt/luks_verschl%FCsselte_Home-Partition_beim_Login_einbinden

petametas Einwand, dass das Login-Kennwort meist ungeeignet gewählt wird und daher so ohnehin Tresortüren in Papierwände gebaut werden, ist sicher richtig. Außerdem musst du beachten, dass das Login-Kennwort nicht mehr geändert werden kann, ohne das man das Kennwort des Containers ebenfalls mitändert.

Janka
_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy