Безопасность, шифрование

то есть ты хочешь не давая юзеру никаких прав, ничего не ставя и не делая что-то получить? Тогда в твоем случае есть замечательное решение - кнопка «сделать пейстато». Правда ее пока не изобрели толком.

можете пользователю вместо доступа к шеллу через ssh, дать доступ к менюшке с сменой пароля и сервисными функциями, скрипт меню ставите как login shell, написать можете сами на чем угодно или найти примеры готовые и доработать.

Да нужна такая кнопа
В противном случае как это реализовать?
Как пример оффтопик и в качестве клиента dokan-sshfs
Расказывать про Puty и консоль никакого желания

А как быть с хомичками, про докан я уже указал
я правда в тупике :(

Пускай клиенты там размещают файл, файл на криптолуп, а на криптолуп какую-нибудь фс.
Вендовые клиенты могут тоже пойти такиим путём - создать там зашифрованный фай, содержащий виртуальнный диск.

это как раз таки не вопрос, true crypt etc никто не отменял, замут обработка на стороне сервера без привлечения администрации

Целью такой не задавался, но может это http://www.truecrypt.org/ поможет вам сделать такой шифрованный файл, чтобы было доступно попеременно как для венды, так и для никсов.

для хомячков есть ssh терминал из браузера на яве)
вариант вообщем-то с минимумом напряжности

хотите сделать вебморду - посмотрите webmin, возможно к нему есть модули управления, или можно написать, там perl (был во всяком случае раньше)


мне кажется уж проще про putty обьяснить будет или поставить на сайт апплет с ssh терминалом

Тогда я не понял видимо точно, что вам надо. Если у клиента есть только право писать и читать, то вариант с хранением образа диска наиболее простой и других прав не надо.

думал )) не энтерпрайзно (
вы не в мск случайно? сожалею что упустил этот момент, я бы позвонил и в другой город, для более детального обсуждения, вы мне кажетесь адекватной

Была какая-то fuse фс на букву e.

>Она цепляется по sshfs
Вроде sshfs как бы намекает на шифрование. Не ?

это должен сделать САМ ПОЛЬЗОВАТЕЛЬ

права на папку - 700

Зачем тогда самому пользователю что-то шифровать если права 700 предполагают изолирование каталога от других пользователей?

Вроде sshfs как бы намекает на шифрование. Не ?

Это предоплогает шифрование трафика

это должен сделать САМ ПОЛЬЗОВАТЕЛЬ

права на папку - 700

Зачем тогда самому пользователю что-то шифровать если права 700 предполагают изолирование каталога от других пользователей?

Защита от того, чтоб данные были не доступны администрации ресурса, да пароня мод - знаю, но оно надо

Меж тем, такая кнопка есть. Называется ecryptfs.

чтобы данные были не доступны администрации ресурса,
нужно шифроваться не зависимо от администрации ресурса.
Пусть осилят pgp,асинхронные алгоритмы, etc

Согласен, но как быть если такая услуга присутствует, то как е реализовать в заданных рамках? Обработка всего и вя на стороне сервера, посредством юзера (я допускаю установку доп софта на его комп) без привлечения администрации раздачи доп привилегий

ecryptfs - наиболее простой вариант, особенно для хомячков
тут важно лишь дать доступ пользователю к ее созданию/настройкам
монтировать можно попробовать через pam, другие варианты - сложнее в реализации

>Меж тем, такая кнопка есть. Называется ecryptfs.
Разве это решает проблему ? админы разве не смогут получать доступ к данным?

В таком случае юзер должен сам ее монтировать, иначе никак.

реализация для win/mac os есть?
как насчет позвонить или другой способ связи?

Без знания пароля не смогут.

в любом случае папку монтирует юзер

>реализация для win/mac os есть?

ecryptfs -> (pam mount) -> sshfs | dokan или мак реализация

насчет связи, проблему лучше решать коллективно, на форуме, может кто подскажет более удачный вариант.

truecrypt все забыли?)

Я за вами давно приглядываю ))
И в случае контакта готов открыть сайт проекта, чтоб вы понимали о чем идет речь

А монтировать должен каталог /home/user ?
Если так то возможность создания eclyptfs нужно предусмотреть на этапе создания пользователя...отсюда и аутентификауия и менюшки. теперь все понятно.

ecryptfs -> (pam mount) -> sshfs | dokan или мак реализация

спасибо покурю маны на досуге

А монтировать должен каталог /home/user ?

Да

Если так то возможность создания eclyptfs нужно предусмотреть на этапе создания пользователя...отсюда и аутентификауия и менюшки. теперь все понятно.

Я пока не знаю что это, буду читать, спасибо Но в любом случае, принять решение пользоваться или нет этой фичей принимает пользователь уже потом, сам, самостоятельно, никого не ставя в известность

А юзера будут гарантии что его пароль не хранится в открытом виде?

вообще варианты такие

1) если хотите именно sshfs использовать

ecryptfs ( pam mount ) - sshfs


2) truecrypt , файл образа диска лучше расшарить через nfs или для вендузятников и прочих - cifs (samba)

в этом случае сервер хранит только файл образа диска и соответственно отдает его, шифрование любым софтом у клиента
sshfs тут будет медленной, поэтому не рекомендуется

3) какое-нибудь клиент-серверное решение сочетающее в себе качества всего вышеперечисленного, в принципе есть проприетарные реализации на некоторых сервисах в сети, но т.к. я с этим особенно не разбиралась, не назову ничего конкретного

Oк
1 не в курсе как ecryptfs ( pam mount ) сочитается с dokan-sshfs (это для оффтопика)
2 Не вариант, не удовлетворяет условиям задачих
3 Очень даже может быть =)

Шифровать файлы можно и gpg. Для Win — это gpg4win (+ там присадка для Проводника есть, известно, что в WinXP работает, слышал, что и в Vista работало). Для Mac — MacGPG.

Еще вариант — encfs через fuse. Прозрачно шифрует каждый файл по отдельности. Весьма красивое решение для шифрования файлов на стороне клиента. Есть для Mac OS X и Linux. Для Mac: MacFUSE + encfs. Для Linux и так все понятно. Минусы: (i) для виндов такого нет; (ii) файлы, которые были зашифрованы на Маке, мне не удалось открыть в Debian, но, предполагаю, что и мой косяк где-то или версии разные. Мало я провозился. Но факт: с первого наскока не получилось.

Повторюсь )
Рассматривается ТОЛЬКО шифрование на стороне сервера, но рулить им должен пользователь

Ведь если представить себе что юзер хомячек, вводящий логин/пасс в окошечко, то каким бы красивеньким не было это окошечко у юзера не будет гарантий что админы не знают его логин/пасс.

>2) truecrypt , файл образа диска лучше расшарить через nfs или для вендузятников и прочих - cifs (samba)

Не выйдет. То есть в файл образа коллективно залезть нельзя. Чтобы было коллективно, надо на сервере монтировать truecrypt.

http://www.truecrypt.org/docs/?s=sharing-over-network

Но если доступ к образу монопольный, т. е . у каждого юзера свой... может и получится. Вообще, с user-side шифрованием файлов голову сломать можно, когда надо для всех ОС решение общее найти. :)

+100500 о этом и сабж, дополнительная защита но на стороне сервера и без участия админов

truecrypt самый кроссплатформенный.

>доступ к образу монопольный, т. е . у каждого юзера свой

я это и имею ввиду, всем по своему файлу-образу диска и пусть как хотят его сами шифруют

Если например мне предложат ввести свой логин/пасс, я не поверю что все конфиденциально, так как админы могут прочитать данные из формы. Им будут известны л/п и они легко и просто получат доступ к моей шифрованной системе.

А вот если мне предложам в форму вводить не сам пароль а скажем его хеш , который я сгенерирую самостоятельно, то у меня не будет никаких сомнений в том что мой пароль никто не знает

и опять так, есть полная гарантия того что данные никому кроме пользователя недоступны, т.к. все шифрование и все пароли на строне пользователя, на удаленный сервер уходят уже зашифрованные данные только

>Рассматривается ТОЛЬКО шифрование на стороне сервера, но рулить им должен пользователь

А, ну раз на сервере шифрование, то тем проще. Я вот собираюсь человеку NAS шифрованный сделать (либо через dm-crypt, либо truecrypt). У него там два компа с макосью и один с виндами. На NAS стоит Linux (будет Debian стоять). На NAS замонтирую шифрованный диск и раздам папки по AFP или NFS (для Mac OS X) и по CIFS для виндов. А что получится — не знаю. :)

Чтобы получить получить доступ к зашифрованной фс нужно только знание логина и пароля или еще какие-то условия?

А доступ в пределах локала или через инет? Я этого явно не озвучивал, но как бы подразумевал, что у меня доступ только через интернет

В общем в рамках данного обсуждения я вижу только систему , которая бы шифровала образ фс открытым ключем пользователя. При таких условиях получить доступ может ТОЛЬКО ОН и с помошью только своего закрытого ключа.

>NAS замонтирую шифрованный диск
Вы сможете доказать что в вашем случае только юзер получит доступ к зашифрованным данным?

гм. sshfs есть под оффтопик? Как так? Где так?

>и опять так, есть полная гарантия того что данные никому кроме пользователя недоступны
С этого места можно подробнее?

man dokan-sshfs=)

Еще вопрос: Шифрование должно выполняться на сервере или на машине клиента ?

На сервере, с передачей всех ключей клиенту, и с участим ТОЛЬКО клиента