LINUX.ORG.RU
ФорумTalks

Безопасность, шифрование


0

0

Hi All
Решил тему создать пока тут, ибо сам плохо понимаю что хочу, но что хочу знаю )))

Имеется удаленный сервак с папкой /home/user Она цепляется по sshfs (клиенты как никсы так и другие ОСи в.ч. офтопик)
Задача - зашифровать папку (её содержиммое)
Условие - это должен сделать САМ ПОЛЬЗОВАТЕЛЬ, без привлечения администрации ресурса (сервера)
Поправка - доступа к консоли у пользователя нет, отсюда или веб морда или хз (хотя бы из соображений гуманности ))), рутовых прав тоже нет, права на папку - 700
Крайне не желательно, хотя и возможно установка доп софта на пользовательский комп.

Как решить?

то есть ты хочешь не давая юзеру никаких прав, ничего не ставя и не делая что-то получить? Тогда в твоем случае есть замечательное решение - кнопка «сделать пейстато». Правда ее пока не изобрели толком.

Zhbert ★★★★★
()

можете пользователю вместо доступа к шеллу через ssh, дать доступ к менюшке с сменой пароля и сервисными функциями, скрипт меню ставите как login shell, написать можете сами на чем угодно или найти примеры готовые и доработать.

Sylvia ★★★★★
()
Ответ на: комментарий от Zhbert

Да нужна такая кнопа
В противном случае как это реализовать?
Как пример оффтопик и в качестве клиента dokan-sshfs
Расказывать про Puty и консоль никакого желания

aksi2000
() автор топика

Пускай клиенты там размещают файл, файл на криптолуп, а на криптолуп какую-нибудь фс.
Вендовые клиенты могут тоже пойти такиим путём - создать там зашифрованный фай, содержащий виртуальнный диск.

ixrws ★★★
()
Ответ на: комментарий от ixrws

это как раз таки не вопрос, true crypt etc никто не отменял, замут обработка на стороне сервера без привлечения администрации

aksi2000
() автор топика
Ответ на: комментарий от ixrws

Целью такой не задавался, но может это http://www.truecrypt.org/ поможет вам сделать такой шифрованный файл, чтобы было доступно попеременно как для венды, так и для никсов.

ixrws ★★★
()
Ответ на: комментарий от aksi2000

для хомячков есть ssh терминал из браузера на яве)
вариант вообщем-то с минимумом напряжности

хотите сделать вебморду - посмотрите webmin, возможно к нему есть модули управления, или можно написать, там perl (был во всяком случае раньше)


мне кажется уж проще про putty обьяснить будет или поставить на сайт апплет с ssh терминалом

Sylvia ★★★★★
()
Ответ на: комментарий от aksi2000

Тогда я не понял видимо точно, что вам надо. Если у клиента есть только право писать и читать, то вариант с хранением образа диска наиболее простой и других прав не надо.

ixrws ★★★
()
Ответ на: комментарий от Sylvia

думал )) не энтерпрайзно (
вы не в мск случайно? сожалею что упустил этот момент, я бы позвонил и в другой город, для более детального обсуждения, вы мне кажетесь адекватной

aksi2000
() автор топика

Была какая-то fuse фс на букву e.

ttnl ★★★★★
()

>Она цепляется по sshfs
Вроде sshfs как бы намекает на шифрование. Не ?

это должен сделать САМ ПОЛЬЗОВАТЕЛЬ

права на папку - 700


Зачем тогда самому пользователю что-то шифровать если права 700 предполагают изолирование каталога от других пользователей?

kraulfz
()
Ответ на: комментарий от kraulfz

Вроде sshfs как бы намекает на шифрование. Не ?

Это предоплогает шифрование трафика

это должен сделать САМ ПОЛЬЗОВАТЕЛЬ

права на папку - 700

Зачем тогда самому пользователю что-то шифровать если права 700 предполагают изолирование каталога от других пользователей?

Защита от того, чтоб данные были не доступны администрации ресурса, да пароня мод - знаю, но оно надо

aksi2000
() автор топика
Ответ на: комментарий от aksi2000

чтобы данные были не доступны администрации ресурса,
нужно шифроваться не зависимо от администрации ресурса.
Пусть осилят pgp,асинхронные алгоритмы, etc

kraulfz
()
Ответ на: комментарий от kraulfz

Согласен, но как быть если такая услуга присутствует, то как е реализовать в заданных рамках? Обработка всего и вя на стороне сервера, посредством юзера (я допускаю установку доп софта на его комп) без привлечения администрации раздачи доп привилегий

aksi2000
() автор топика
Ответ на: комментарий от kraulfz

ecryptfs - наиболее простой вариант, особенно для хомячков
тут важно лишь дать доступ пользователю к ее созданию/настройкам
монтировать можно попробовать через pam, другие варианты - сложнее в реализации

Sylvia ★★★★★
()
Ответ на: комментарий от Zenom

>Меж тем, такая кнопка есть. Называется ecryptfs.
Разве это решает проблему ? админы разве не смогут получать доступ к данным?

kraulfz
()
Ответ на: комментарий от aksi2000

>реализация для win/mac os есть?

ecryptfs -> (pam mount) -> sshfs | dokan или мак реализация

насчет связи, проблему лучше решать коллективно, на форуме, может кто подскажет более удачный вариант.

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

Я за вами давно приглядываю ))
И в случае контакта готов открыть сайт проекта, чтоб вы понимали о чем идет речь

aksi2000
() автор топика

А монтировать должен каталог /home/user ?
Если так то возможность создания eclyptfs нужно предусмотреть на этапе создания пользователя...отсюда и аутентификауия и менюшки. теперь все понятно.

kraulfz
()
Ответ на: комментарий от kraulfz

А монтировать должен каталог /home/user ?

Да

Если так то возможность создания eclyptfs нужно предусмотреть на этапе создания пользователя...отсюда и аутентификауия и менюшки. теперь все понятно.

Я пока не знаю что это, буду читать, спасибо Но в любом случае, принять решение пользоваться или нет этой фичей принимает пользователь уже потом, сам, самостоятельно, никого не ставя в известность

aksi2000
() автор топика
Ответ на: комментарий от aksi2000

вообще варианты такие

1) если хотите именно sshfs использовать

ecryptfs ( pam mount ) - sshfs


2) truecrypt , файл образа диска лучше расшарить через nfs или для вендузятников и прочих - cifs (samba)

в этом случае сервер хранит только файл образа диска и соответственно отдает его, шифрование любым софтом у клиента
sshfs тут будет медленной, поэтому не рекомендуется

3) какое-нибудь клиент-серверное решение сочетающее в себе качества всего вышеперечисленного, в принципе есть проприетарные реализации на некоторых сервисах в сети, но т.к. я с этим особенно не разбиралась, не назову ничего конкретного

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia


1 не в курсе как ecryptfs ( pam mount ) сочитается с dokan-sshfs (это для оффтопика)
2 Не вариант, не удовлетворяет условиям задачих
3 Очень даже может быть =)

aksi2000
() автор топика

Шифровать файлы можно и gpg. Для Win — это gpg4win (+ там присадка для Проводника есть, известно, что в WinXP работает, слышал, что и в Vista работало). Для Mac — MacGPG.

Еще вариант — encfs через fuse. Прозрачно шифрует каждый файл по отдельности. Весьма красивое решение для шифрования файлов на стороне клиента. Есть для Mac OS X и Linux. Для Mac: MacFUSE + encfs. Для Linux и так все понятно. Минусы: (i) для виндов такого нет; (ii) файлы, которые были зашифрованы на Маке, мне не удалось открыть в Debian, но, предполагаю, что и мой косяк где-то или версии разные. Мало я провозился. Но факт: с первого наскока не получилось.

Zubok ★★★★★
()
Ответ на: комментарий от kraulfz

Ведь если представить себе что юзер хомячек, вводящий логин/пасс в окошечко, то каким бы красивеньким не было это окошечко у юзера не будет гарантий что админы не знают его логин/пасс.

kraulfz
()
Ответ на: комментарий от Sylvia

>2) truecrypt , файл образа диска лучше расшарить через nfs или для вендузятников и прочих - cifs (samba)

Не выйдет. То есть в файл образа коллективно залезть нельзя. Чтобы было коллективно, надо на сервере монтировать truecrypt.

http://www.truecrypt.org/docs/?s=sharing-over-network

Но если доступ к образу монопольный, т. е . у каждого юзера свой... может и получится. Вообще, с user-side шифрованием файлов голову сломать можно, когда надо для всех ОС решение общее найти. :)

Zubok ★★★★★
()
Ответ на: комментарий от kraulfz

+100500 о этом и сабж, дополнительная защита но на стороне сервера и без участия админов

aksi2000
() автор топика
Ответ на: комментарий от Zubok

>доступ к образу монопольный, т. е . у каждого юзера свой

я это и имею ввиду, всем по своему файлу-образу диска и пусть как хотят его сами шифруют

Sylvia ★★★★★
()
Ответ на: комментарий от aksi2000

Если например мне предложат ввести свой логин/пасс, я не поверю что все конфиденциально, так как админы могут прочитать данные из формы. Им будут известны л/п и они легко и просто получат доступ к моей шифрованной системе.

А вот если мне предложам в форму вводить не сам пароль а скажем его хеш , который я сгенерирую самостоятельно, то у меня не будет никаких сомнений в том что мой пароль никто не знает

kraulfz
()
Ответ на: комментарий от Sylvia

и опять так, есть полная гарантия того что данные никому кроме пользователя недоступны, т.к. все шифрование и все пароли на строне пользователя, на удаленный сервер уходят уже зашифрованные данные только

Sylvia ★★★★★
()
Ответ на: комментарий от aksi2000

>Рассматривается ТОЛЬКО шифрование на стороне сервера, но рулить им должен пользователь

А, ну раз на сервере шифрование, то тем проще. Я вот собираюсь человеку NAS шифрованный сделать (либо через dm-crypt, либо truecrypt). У него там два компа с макосью и один с виндами. На NAS стоит Linux (будет Debian стоять). На NAS замонтирую шифрованный диск и раздам папки по AFP или NFS (для Mac OS X) и по CIFS для виндов. А что получится — не знаю. :)

Zubok ★★★★★
()
Ответ на: комментарий от Sylvia

Чтобы получить получить доступ к зашифрованной фс нужно только знание логина и пароля или еще какие-то условия?

kraulfz
()
Ответ на: комментарий от Zubok

А доступ в пределах локала или через инет? Я этого явно не озвучивал, но как бы подразумевал, что у меня доступ только через интернет

aksi2000
() автор топика
Ответ на: комментарий от kraulfz

В общем в рамках данного обсуждения я вижу только систему , которая бы шифровала образ фс открытым ключем пользователя. При таких условиях получить доступ может ТОЛЬКО ОН и с помошью только своего закрытого ключа.

kraulfz
()
Ответ на: комментарий от Zubok

>NAS замонтирую шифрованный диск
Вы сможете доказать что в вашем случае только юзер получит доступ к зашифрованным данным?

kraulfz
()
Ответ на: комментарий от Sylvia

>и опять так, есть полная гарантия того что данные никому кроме пользователя недоступны
С этого места можно подробнее?

kraulfz
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.