KingGoy schrieb:
Eine Alternative wäre Apache als Proxy einzurichten, Aufrufe umzuleiten und mit Passwort zu versehen, aber auch hier reichen meine Kenntnisse nicht weit genug. Im Grunde wäre mir das sogar lieber.
Wenn die Software das nicht von sich aus anbietet, dann ist ein Apache wirklich sinnvoll. Dazu muss der gar nicht als (reverse) Proxy laufen, sondern einfach nur so konfiguriert werden, dass er wsgi-Skripte ausführt. Grob ist das hier beschrieben.
Dennoch bin ich mir nicht sicher, ob das die richtige Strategie ist. Zunächst mal wird das Passwort für Cryptsetup unverschlüsselt übers Netzwerk übertragen. Wenn wir jetzt mal davon ausgehen, dass das hin und wieder auch über WLAN passiert und die Kinder, die du von der Platte abhalten möchtest, im selben WLAN unterwegs sind, dann können die (oder jemand anders) natürlich auch einfach den Verkehr mitschneiden. Man könnte also sagen, dass deine Platte in diesem Szenario nur so sicher ist wie dein WLAN. Und: Alle, die Zugang zum WLAN haben, haben potenziell Zugang zum Inhalt der Platte.
Das bedeutet: Du solltest den Apache-Server in diesem Szenario unbedingt mit TLS-Verschlüsselung ausrüsten.
Nächster Punkt: Wie wird denn dann letztendlich auf die Daten der Platte zugegriffen? So wie der Screenshot aussieht, muss die Platte weiterhin auch lokal gemountet werden und ist nicht etwa über das Webinterface erreichbar. Wenn das stimmt, dann erschließt sich mir der Sinn dieser Software nicht.
Du kannst doch auch einfach ein Skript schreiben (if-Abfrage im Pseudocode, gpg-Teil optional, wenn das Keyfile lokal verschlüsselt vorliegen soll, was zu empfehlen ist):
if $PARAM="open" then
cat ~/mein_keyfile_für_luks | gpg -q -d - | ssh user@server sudo cryptsetup luksOpen --key-file=- /dev/sdx1 platte
else
ssh user@server sudo cryptsetup luksOpen /dev/mapper/platte && sudo mount /dev/mapper/platte /mnt/platte
end
Dann erstellst du ein Starter-Icon für ~/skript open bzw. ~/skript close und legst es deiner Frau auf den Desktop.
Serverseitig musst du lediglich ssh konfigurieren und sudo so einrichten, dass deine Frau auch ohne Adminrechte die Cryptsetup-Befehle ausführen darf.
Der Vorteil daran ist, dass du keinen Apache brauchst, dich außerdem nicht noch um die Verschlüsselung kümmern musst und darüberhinaus den lokalen mount ja auch direkt im Skript vollziehen kannst:
sshfs server:/mnt/platte /mnt
Deine Frau muss also nur einmal auf ein Icon klicken (kein Webbrowser, kein Passwort raussuchen, kein Passwort im Browser speichern), Kinder und Angreifer sind zuverlässt ausgesperrt und die Platte ist direkt wie lokal verfügbar.
Allerdings noch ein Hinweis: Ich würde die Platte einfach direkt beim Start des Servers entschlüsseln. Das ist ja ein Schutz gegen phsysichen Zugang. Ein Angreifer, der auf deinen Server eingebrochen ist, wartet einfach so lange bis die Platte einmal entschlüsselt ist und kopiert die Daten dann.
Im Falle eines physischen Zugriffs sind die Daten in beiden Fällen sicher.