syscon-hh
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
Der Artikel Baustelle/ecryptfs-utils, der den Einsatz eines verschlüsselten Homeverzeichnis bzw. eines einzelnen verschlüsselten Ordners (innerhalb des Homeverzeichnisses eines Benutzers) beschreibt, ist jetzt soweit fertig, dass dieser aus der Baustelle ins normale WIKI übergeleitet werden kann. gruß syscon-hh
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
ein paar Anmerkungen, die mir beim Überfliegen aufgefallen sind:
für ein Paket braucht es keine Paketlisten 😉 Installation von Alternate funktionierte bereits in Intrepid Ein Sicherheitsaspekt wurde nicht erwähnt: root User kann die Dateien lesen, wenn das Verzeichnis eingehängt ist
abgesehen davon sieht der Artikel gut aus. Syntax ist top, gut lesbar. 👍 Zur Korrektheit müssen sich andere äußern 😉
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
martingr schrieb: Ein Sicherheitsaspekt wurde nicht erwähnt: root User kann die Dateien lesen, wenn das Verzeichnis eingehängt ist
root darf alles (auch die Schlüssel von verschlüsselten Partitionen aus dem Speicher lesen), insofern...
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
Rotbart van Dainig schrieb: martingr schrieb: Ein Sicherheitsaspekt wurde nicht erwähnt: root User kann die Dateien lesen, wenn das Verzeichnis eingehängt ist
root darf alles (auch die Schlüssel von verschlüsselten Partitionen aus dem Speicher lesen), insofern...
natürlich 😉 Darauf hinweisen schadet aber auch nicht - gerade wenn man ein Mehrbenutzersystem hat.
|
syscon-hh
(Themenstarter)
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
@martingr ▶ Dieser Hinweis Baustelle/ecryptfs-utils (Abschnitt „Sicherheit-der-Daten“) sollte eigentlich reichen? Ansonsten kann man sich eh' nicht wehren → siehe Rotbart van Daining Und Dein Einwurf oben zu den Paketlisten - war von meinem Vorarbeiter (jug) wohl als Standard drin - nur ich war auch am Zweifeln, da er aber noch Pakete (lib's) nachläd und es so einfacher ist, sich eine Kopie ins Terminal zu holen. gruß syscon-hh
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
Mach eine Hinweis-Box daraus, abstrahiere es etwas und pflege es weiter oben ein, sowie in LUKS. Wenn es sonst keine Kritik gibt kann der Artikel dann verschoben werden und unter Daten verschlüsseln verlinkt werden.
|
syscon-hh
(Themenstarter)
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
So ich hab' den Artikel mal angepasst - ist wirklich sinnvoll, die Warnung gleich an den Anfang zu setzen. Ich habe jetzt nur ein Problem mit der Variante verschlüsseltes /home im genannten Artikel. Dieses Verfahren soll ja gerade abgelöst werden, weil es nicht mit dem Kernel auf Dauer vereinbar ist (integrated kernel encrypt-function). Man kann es ja erst mal stehen lassen und dort dann einen Hinweis auf das neue Verfahren geben und verlinken. Dazu brauche ich aber einen Hinweis (Hilfe), wie das alte Verfahren zu bewerten ist (es erscheint mir doch komplexer) und ehrlich gesagt, ich habe nicht die Lust, das vergleichsweise zu installieren und dann auszutesten, die Test mit ecryptfs-utils haben mich ausreichend beschäftigt. gruß syscon-hh
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
Wir haben eine schöne Vorlage für solche Sachen:
Fehlende Vorlage Das gewünschte Template „Wiki/Vorlagen/Obsolet“ existiert nicht.
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
syscon-hh schrieb: So ich hab' den Artikel mal angepasst - ist wirklich sinnvoll, die Warnung gleich an den Anfang zu setzen.
Mal etwas überarbeitet. syscon-hh schrieb: Ich habe jetzt nur ein Problem mit der Variante verschlüsseltes /home im genannten Artikel. Dieses Verfahren soll ja gerade abgelöst werden, weil es nicht mit dem Kernel auf Dauer vereinbar ist (integrated kernel encrypt-function). Man kann es ja erst mal stehen lassen und dort dann einen Hinweis auf das neue Verfahren geben und verlinken.
Äh, nein. Es ist nur schlicht einfacher und flexibler, auf einem normalen Dateisystem pro Datei zu verschlüsseln, als einen ganzen Container oder eine Partition zu verschlüsseln. Sicherer ist natürlich der Container oder die Partition, da weniger Informationen im nicht-entschlüsselten Zustand offenliegen. martingr schrieb: Wir haben eine schöne Vorlage für solche Sachen:
Nur eben nicht für diesen.
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
Rotbart van Dainig schrieb: Äh, nein. Es ist nur schlicht einfacher und flexibler, auf einem normalen Dateisystem pro Datei zu verschlüsseln, als einen ganzen Container oder eine Partition zu verschlüsseln. Sicherer ist natürlich der Container oder die Partition, da weniger Informationen im nicht-entschlüsselten Zustand offenliegen. martingr schrieb: Wir haben eine schöne Vorlage für solche Sachen:
Nur eben nicht für diesen.
ja mit deiner oben genannten Angabe, passt die Vorlage natürlich nicht.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29041
Wohnort: WW
|
Hallo, fett und kursiv werden zur Hervorhebung genutzt, dass ist nicht Syntax-konform. Fett bitte nur Paketname, Dateien und Verzeichnisse. Kursiv bitte nur Menüeinträge u.ä. sowie gconf-Schlüssel. Gruß, noisefloor
|
zuihoi
Anmeldungsdatum: 12. Juni 2006
Beiträge: Zähle...
|
Ich hoffe ich bin hier richtig. Mir ist aufgefallen, dass bei der Desktop Installation darauf hingewiesen wird den Boot Optionen einen entsprechenden Zusatz am Ende der Zeile hinzuzufügen. Hier wird allerdings beschrieben den Zusatz "user-setup/encrypt-home=true" vor den "–" zu setzen. Bei dem im Wiki beschriebenen Vorgehen wurde mir leider nichts angeboten.
|
syscon-hh
(Themenstarter)
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
zuihoi ▶ habe das eingearbeitet, war für mich und andere Benutzer hier aber vorher klar, dass das vor die Doppelstriche gehört, wie alle anderen Zusatzanweisungen auch. Es wurde das Verfahren als solches ja durchgetestet und für ausführbar befunden. Der Hinweis bei Dustin ist aus einem Meinungsaustausch entstanden und auch unser Verfahren für das nachträgliche Einbinden ist bei ihm noch in Arbeit (er möchte das noch mehr automatisieren, sozusagen mit einem Befehl abarbeiten. gruß syscon-hh
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29041
Wohnort: WW
|
Hallo, habe mal einen Schwung Syntax-Fehler korrigiert. Ansonsten ein schöner Artikel. ☺ Gruß, noisefloor
|
oliverhorn
Anmeldungsdatum: 24. April 2005
Beiträge: 1192
|
Hi, wenn mich nicht alles täuscht hab ich es vorgestern auch hinter dem Doppelstrich eingetragen und es hat funktioniert. Aber egal. Wie siehts denn mit der Möglichkeit aus den swap zu schlüsseln? Hat das schon mal jemand gemacht, das sollte auch noch eingearbeitet werden, sonst ist der Artikel irgendwie unvollständig. Grüße, Beleriand
|