Hi,
ein „aktuelles“ *ubuntu (9 oder 10) soll ein Verzeichnis per nfs auf einem SunOS5 eingehängt bekommen. Die abgelegten Dateien sollen zumindest „etwas“ verschlüsselt werden bevor sie übers Netz abgespeichert werden.
Wer kann mir sagen in welcher Richtung ich nach einer Lösung suchen soll? Auf den client habe ich administrativen Vollzugriff, auf den server nur sehr eingeschränkt.
Kann ich dem client (einfach?) beibringen, dass er die Daten verschlüsseln soll? Liegt dann der Schlüssel auf ihm und der Vorgang geht automatisch ohne Usereingriff (Passworteingabe)?
Wer kann mir sagen in welcher Richtung ich nach einer Lösung
suchen soll? Auf den client habe ich administrativen
Vollzugriff, auf den server nur sehr eingeschränkt.
Kann ich dem client (einfach?) beibringen, dass er die Daten
verschlüsseln soll? Liegt dann der Schlüssel auf ihm und der
Vorgang geht automatisch ohne Usereingriff (Passworteingabe)?
Du kannst:
Aufs NFS ein Image einer verschlüsselten Datei legen
Diese beim mounten des NFS-Dateisystems entschlüsseln (entweder durch eingeben des Passworts, oder lesen eine lokalen Schlüsseldatei) und
das entschlüsselte Image lokal über ein loopback-device irgendwo anders hin mounten (z.B. /mnt/crypt)
Damit werden alle Ordner und Dateien unterhalb von /mnt/crypt/ immer nur verschlüsselt übers Netwerk übertragen. Nachteile: ist vermutlich langsam, und du musst dir beim Anlege des Images die Größe des verschlüsselten Dateisystems überlegen
Stichwort für Google ist cryptsetup und luks. Wenn du Hilfe bei der Umsetzung brauchst: einfach nachfragen.
ein „aktuelles“ *ubuntu (9 oder 10) soll ein Verzeichnis per
nfs auf einem SunOS5 eingehängt bekommen. Die abgelegten
Dateien sollen zumindest „etwas“ verschlüsselt werden bevor
sie übers Netz abgespeichert werden.
Aufs NFS ein Image einer verschlüsselten Datei legen
Diese beim mounten des NFS-Dateisystems entschlüsseln
(entweder durch eingeben des Passworts, oder lesen eine
lokalen Schlüsseldatei) und
das entschlüsselte Image lokal über ein loopback-device
irgendwo anders hin mounten (z.B. /mnt/crypt)
[…]
Nachteile:
ist vermutlich langsam,
Ich vermute, „langsam“ ist das Understatement des Jahrhunderts. Wenn ich einen 1 GB Container über NFS mounte und in der entschlüsselten Version (also da, wohin ich das loopback-Device mounte) auch nur ein Zeichen ändere: ich habe den Verdacht, dass das wirklich(!) viele Daten übers NFS brausen.
Ich vermute, „langsam“ ist das Understatement des
Jahrhunderts. Wenn ich einen 1 GB Container über NFS mounte
und in der entschlüsselten Version (also da, wohin ich das
loopback-Device mounte) auch nur ein Zeichen ändere: ich habe
den Verdacht, dass das wirklich(!) viele Daten übers NFS
brausen.
Wenn du ein Zeichen aenderst, sollte ein Block uebertragen werden. Bei einer 512bit-Verschluesselung (das ist noch auf der maessig paranoiden Seiten) sind das 64 Byte Nutzdaten + Verwaltungsoverhead. Hoert sich nicht so gruselig an.
Wenn extrem viele Daten uebertragen werden muessten, waere es ja auch extrem langsam, direkt von der Platte aus verschluesselte mounts zu betreiben. Ist es meiner Erfahrung nach aber nicht.
Nein, ich habe das nicht getestet.
Ich auch nicht. Deswegen wuerde ich nicht von vornherein unterstellen, dass es extrem langsam ist.
wenn es dir eine Verschlüsselung der Daten bei der Übertragung ausreicht, dann kannst du das auch per NFS über einen ssh Tunnel zusammenbasteln. Denkanstösse gibts hier http://blogs.sun.com/shepler/entry/tunneling_nfs_tra…