Pro-Linux.de

Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 21. Nov 2018 7:10

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 3 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 20. Jan 2009 16:58 
Folgendes: Für Susis Enterprise Desktop 10, würden wir gerne mit dem Login eines bestimmten Benutzers die per luks verschlüsselte Partition (Containerl) automatisch entschlüsseln. Also das loginpasswort gleich an cryptsetup weiterleiten und danach einen mount machen.

Hat jemand schon einmal so etwas gemacht und könnte mir auf die Sprünge helfen?


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 23. Jan 2009 9:16 
Offline
prolinux-forum-admin

Registriert: 14. Feb 2003 13:19
Beiträge: 1294
So wie Du es vorhast, hab ich's nicht gemacht, und ich bin mir nicht sicher, ob das vom Aspekt der Sicherheit sinnvoll ist, wenn Passwort und Schlüssel gleich sind. Beispielsweise würdest Du bei jedem Login über SSH der Schlüssel benutzen. Das ist jetzt eine technische Sicht der Dinge und geht zu Lasten des Bedienkomforts ... mir fällt leider keine Lösung ein, die beide Aspekte erfüllt.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 23. Jan 2009 11:17 
Offline
Benutzeravatar

Registriert: 11. Feb 2006 19:10
Beiträge: 3569
Bei Verschlüsselung musst du immer beachten, dass diese *ausschließlich* sinnvoll ist, wenn du den Rechner gegen Diebstahl absichern willst. Ist das Kennwort einmal erst einmal eingegeben, ist die Verschlüsselung unwirksam. Das ganze System arbeitet dann nur noch mit der normalen Rechteverwaltung.

Es ist weiterhin sinnlos, nur einzelne Dateien oder Partitionen zu verschlüsseln, wenn nicht der Swap abgeschaltet oder ebenfalls verschlüsselt wird. Der Swap kann aber beim Booten jeweils neu angelegt und mit einem Zufallskennwort verschlüsselt werden. Damit wird er dann auch gleich danach wieder benutzbar gemacht. Nach einem Strom-aus lässt sich der Swap dann nicht mehr entschlüsseln.

Weiterhin musst du unbedingt Suspend (to-RAM, to-Disk) auf dem Rechner verhindern, da dabei der Rechner im "offenen" Zustand abgeschaltet wird.

Das Loginkennwort wird über PAM ermittelt. Du musst also nach einem PAM-Modul Ausschau halten, das außerdem das Kennwort auch zum Entschlüsseln benutzt. Guck hier
http://wiki.linux-club.de/opensuse/Mit_ ... _einbinden

petametas Einwand, dass das Login-Kennwort meist ungeeignet gewählt wird und daher so ohnehin Tresortüren in Papierwände gebaut werden, ist sicher richtig. Außerdem musst du beachten, dass das Login-Kennwort nicht mehr geändert werden kann, ohne das man das Kennwort des Containers ebenfalls mitändert.

Janka

_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 3 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de