Forums Neueste Beiträge
 

LUKS und autofs (USB-Stick verschluesseln)

25/09/2016 - 17:20 von Christoph Mehdorn Weber | Report spam
Hallo!

Nachdem mir neulich ein USB-Stick verloren gegangen ist
(allerdings wiedergefunden), und man hinterher nie so ganz
sicher ist, welche Daten darauf waren, möchte ich da künftig
verschlüsseln.

Aktuell binde ich die Sticks bereits per autofs ein, da sie
teilweise an Headless-Systemen genutzt werden und man da nicht
immer per SSH manuell nachhelfen will, soll das auch so bleiben.

Im Netz gefunden habe ich dazu
<http://www.einval.org/~steve/docs/gpg-autofs.html>, Kurzfassung:

- cryptoloop
- ein Script in autofs, was den Stick erkennt und ein
entsprechendes Mapping mit speziellem Pseudo-Dateisystem erzeugt
- mount-Script für das Pseudo-Dateisystem, daß die Partition
entschlüsselt und das Resultat dann mountet

Allerdings ist die Anleitung noch aus Etch-Zeiten. Statt des
Mapping-Scripts kann man heutzutage das Device sicherlich auch per
udev zuordnen und ein statisches Mapping verwenden.

Gern würde ich auch LUKS benutzen, aber IIRC fallen die
entschlüsselten Resultate dort via Devmapper unter anderem
Device-Namen ab. Wenn ich die dann im Script mounte, fürchte ich,
daß autofs hinterher Probleme mit der Zuordnung und somit ein
Problem beim Umount hàtte.

(Wobei ich beim Original-Script auch nicht verstehe, wie das
Aushàngen làuft. Umount des Dateisystems seitens autofs ist zwar
ein Anfang, aber solange das Loop-Device existiert, dürfte der
Stick seitens des Systems noch als belegt gelten.)


Insofern: Wie würdet ihr das Problem angehen, USB-Sticks
beim Wechsel zwischen vertrauenswürdigen Standorten zu
verschlüsseln, aber die Benutzung dabei nicht unnötig zu
komplizieren?

Christoph

Man kann nicht alles mit Worten ausdruecken.
Z. B. eine Zitrone.
(Marc Rothballer)
 

Lesen sie die antworten

#1 Christoph Mehdorn Weber
08/10/2016 - 17:02 | Warnen spam
Hallo!

* Christoph 'Mehdorn' Weber :

Gern würde ich auch LUKS benutzen, aber IIRC fallen die
entschlüsselten Resultate dort via Devmapper unter anderem
Device-Namen ab. Wenn ich die dann im Script mounte, fürchte ich,
daß autofs hinterher Probleme mit der Zuordnung und somit ein
Problem beim Umount hàtte.



Mein aktueller Ansatz ist, sich via udev schon beim Einstecken
auf die ausgewàhlten Sticks zu stürzen und dort bereits die
Entschlüsselung durchzuführen. Und "autofs" könnte dann ganz
normal auf die entschlüsselten Geràte zugreifen.

Allerdings hab ich dann noch keine gute Idee dazu:

(Wobei ich beim Original-Script auch nicht verstehe, wie das
Aushàngen làuft. Umount des Dateisystems seitens autofs ist zwar
ein Anfang, aber solange das Loop-Device existiert, dürfte der
Stick seitens des Systems noch als belegt gelten.)




Ein alternativer Ansatz wàre, stattdessen eCryptfs oder EncFS
auf einem normalen Dateisystem zu verwenden. Man hàtte zwei
Autofs-Eintràge, einen für das regulàre Dateisystem, einen für
das verschlüsselte, und letzteres zeigt eben in den Mountpoint
von ersterem. Da muß man dann nur aufpassen, daß man kritische
Daten nicht in den unverschlüsselten Bereich ablegt. Zumindest
muß man autofs dafür nicht mit Scripts vergewaltigen.

Christoph

Auf dem Windows2000-Rechner koennte noch defekte Hardware verbaut
sein, insbesondere wenn der Rechner neu ist. --
Komisch - ich dachte immer Hardware wuerde meistens intakt geliefert
und ging mit der Zeit kaputt. (Johannes Sackmann, Thomas Braun)

Ähnliche fragen