Wie sicher per nfs mounten o.Dateien verschlüsseln

Hi,
ein „aktuelles“ *ubuntu (9 oder 10) soll ein Verzeichnis per nfs auf einem SunOS5 eingehängt bekommen. Die abgelegten Dateien sollen zumindest „etwas“ verschlüsselt werden bevor sie übers Netz abgespeichert werden.

Wer kann mir sagen in welcher Richtung ich nach einer Lösung suchen soll? Auf den client habe ich administrativen Vollzugriff, auf den server nur sehr eingeschränkt.

Kann ich dem client (einfach?) beibringen, dass er die Daten verschlüsseln soll? Liegt dann der Schlüssel auf ihm und der Vorgang geht automatisch ohne Usereingriff (Passworteingabe)?

Dank und Grüße,
J~

Hallo,

Wer kann mir sagen in welcher Richtung ich nach einer Lösung
suchen soll? Auf den client habe ich administrativen
Vollzugriff, auf den server nur sehr eingeschränkt.

Kann ich dem client (einfach?) beibringen, dass er die Daten
verschlüsseln soll? Liegt dann der Schlüssel auf ihm und der
Vorgang geht automatisch ohne Usereingriff (Passworteingabe)?

Du kannst:

1. Aufs NFS ein Image einer verschlüsselten Datei legen
2. Diese beim mounten des NFS-Dateisystems entschlüsseln (entweder durch eingeben des Passworts, oder lesen eine lokalen Schlüsseldatei) und
3. das entschlüsselte Image lokal über ein loopback-device irgendwo anders hin mounten (z.B. /mnt/crypt)

Damit werden alle Ordner und Dateien unterhalb von /mnt/crypt/ immer nur verschlüsselt übers Netwerk übertragen. Nachteile: ist vermutlich langsam, und du musst dir beim Anlege des Images die Größe des verschlüsselten Dateisystems überlegen

Stichwort für Google ist cryptsetup und luks. Wenn du Hilfe bei der Umsetzung brauchst: einfach nachfragen.

Grüße,
Moritz

Hi…

ein „aktuelles“ *ubuntu (9 oder 10) soll ein Verzeichnis per
nfs auf einem SunOS5 eingehängt bekommen. Die abgelegten
Dateien sollen zumindest „etwas“ verschlüsselt werden bevor
sie übers Netz abgespeichert werden.

encfs auf dem Client würde funktionieren.

genumi

Hallo,

Du kannst:

1. Aufs NFS ein Image einer verschlüsselten Datei legen
2. Diese beim mounten des NFS-Dateisystems entschlüsseln
   (entweder durch eingeben des Passworts, oder lesen eine
   lokalen Schlüsseldatei) und
3. das entschlüsselte Image lokal über ein loopback-device
   irgendwo anders hin mounten (z.B. /mnt/crypt)

[…]

Nachteile:
ist vermutlich langsam,

Ich vermute, „langsam“ ist das Understatement des Jahrhunderts. Wenn ich einen 1 GB Container über NFS mounte und in der entschlüsselten Version (also da, wohin ich das loopback-Device mounte) auch nur ein Zeichen ändere: ich habe den Verdacht, dass das wirklich(!) viele Daten übers NFS brausen.

Nein, ich habe das nicht getestet.

Gruß,

Sebastian

danke für eure Tipps!
Hi,
sobald ich Zeit finde versuche ich mal das umzusetzen.

VG
J~

Hallo,

Nachteile:
ist vermutlich langsam,

Ich vermute, „langsam“ ist das Understatement des
Jahrhunderts. Wenn ich einen 1 GB Container über NFS mounte
und in der entschlüsselten Version (also da, wohin ich das
loopback-Device mounte) auch nur ein Zeichen ändere: ich habe
den Verdacht, dass das wirklich(!) viele Daten übers NFS
brausen.

Wenn du ein Zeichen aenderst, sollte ein Block uebertragen werden. Bei einer 512bit-Verschluesselung (das ist noch auf der maessig paranoiden Seiten) sind das 64 Byte Nutzdaten + Verwaltungsoverhead. Hoert sich nicht so gruselig an.

Wenn extrem viele Daten uebertragen werden muessten, waere es ja auch extrem langsam, direkt von der Platte aus verschluesselte mounts zu betreiben. Ist es meiner Erfahrung nach aber nicht.

Nein, ich habe das nicht getestet.

Ich auch nicht. Deswegen wuerde ich nicht von vornherein unterstellen, dass es extrem langsam ist.

Gruesse,
Moritz

Hi J~,

wenn es dir eine Verschlüsselung der Daten bei der Übertragung ausreicht, dann kannst du das auch per NFS über einen ssh Tunnel zusammenbasteln. Denkanstösse gibts hier http://blogs.sun.com/shepler/entry/tunneling_nfs_tra…

Gruß
Martin

Moin,

wenn es dir eine Verschlüsselung der Daten bei der Übertragung
ausreicht,

nee, die sollen wenn möglich auch verschlüsselt auf dem Server liegen.

VG,
J~