Fórum Root.cz
Hlavní témata => Software => Téma založeno: dan67 05. 06. 2014, 09:35:55
-
Mám k dospozici sdílený prostor na win serveru, připojuji jej z linuxu pomocí samby.
Potřeboval bych na něj ukládat citlivá data v šifrované podobě, můžete mi poradit, nasměrovat?
Zkoušel jsem hledat, ale nenašel jsem nic rozumného.
pozn.
k nastavení win sdílení nemám přístup, mám k dospozici "pouze" datový prostor
linux je debian 7
-
Pokud nemate pristup k nastaveni Windows tak to bude problem.
Co se tyce zabezpeceni prenosu. Mohla by pomoci VPN primo na Windows a skrz ni namountovat disk.
Pripadne si dovolim odkazat na reseni vyuzivane u WEDOsu - http://kb.wedos.com/disk/smb.html
U obojiho je ale potreba mit pristup do OS.
Co se tyce zabezpeceni dat primo na sdilenem ulozisti. Mozna by pomohl truecrypt cointainer - http://truecrypt.ch ale nevim zda neni moc tezkopadny.
* Protokol SMB od verze 3.0 podporuje sifrovani
-
Co třeba encfs?
-
Nechat na serveru "odložený" TrueCryptový container je docela dobré řešení, už proto, že se pak k němu lze v případě nutnosti připojit z jiného OS. Jenže to nebude zrovna nejrychlejší a jestli se ten server bude snažit ještě do toho procesu "vnášet vlastní inteligenci" (opožděné změny, apod.), může to být docela nešikovné. Čili moje doporučení zní: kontejner, ale jen o nezbytné velikosti, nepřesahující pár desítek megabajtů. (Na pomalé síti radši ještě mnohem menší.)
-
Jak psal už někdo výše, já bych doporučil EncFS (http://www.root.cz/clanky/encfs-sifrovani-souboru-jinak-a-bez-problemu/). Šifruje po souborech (včetně názvu, samozřejmě), je to hodně elegantní a pohodlné řešení. Vyhneš se vytváření velkého kontejneru, který je neohrabaný a musíš předem odhadnout jeho velikost.
-
Díky moc za rady.
TrueCrypt mě napadl, ale manipulace s konteinerem, nejo montování atd. mi nepřišly ideální.
A hlavně, věděl jsem, že "linux" a "komunita" musí mít nějaké elegantnější řešení. :)
EncFS vypadá zajimavě.
Díky.
-
Zalezi ovsem na tom jak moc bezpecny to chces mit - sifrovani po souborech = postranni kanal jak krava. Vidim cleneni adresaru, velikosti ... a z toho se da casto primo urcit i obsah. Kontejner je z tohodle pohledu daleko bezpecnejsi.
-
Zalezi ovsem na tom jak moc bezpecny to chces mit - sifrovani po souborech = postranni kanal jak krava. Vidim cleneni adresaru, velikosti ... a z toho se da casto primo urcit i obsah. Kontejner je z tohodle pohledu daleko bezpecnejsi.
A datum změny - to je ještě horší.
-
Nechat na serveru "odložený" TrueCryptový container je docela dobré řešení, už proto, že se pak k němu lze v případě nutnosti připojit z jiného OS. Jenže to nebude zrovna nejrychlejší a jestli se ten server bude snažit ještě do toho procesu "vnášet vlastní inteligenci" (opožděné změny, apod.), může to být docela nešikovné. Čili moje doporučení zní: kontejner, ale jen o nezbytné velikosti, nepřesahující pár desítek megabajtů. (Na pomalé síti radši ještě mnohem menší.)
Dlouho jsem používal TrueCryptový container (TrueCrypt ver. 6.3a) cca 40 GB na sdíleném disk (LAN 100 Mbit/s, prostředí Windows)). Když odhlédnu od kryptování na relativně slabém PC, žádné výrazné zpomalení oproti běžné práci v LAN jsem nepozoroval (samozřejmě vytváření případně kopírování velkého kontejneru chvíli trvá).
Používal jsem kontejnery formátované na NTFS a HFS+ (Mac OS X) a ani při poruchách sítě jsem neměl problémy s jejich integritou. Jen jsem je pak zkonntroloval (chkdsk, fsck_hfs).
Datum změny kontejneru (odpojeného) se nemění. Proti EncFS sdílím námitky s Jendou a j. Kontejner mi připadá víc anonymější.
-
Vzhledem k tomu, ze TC je momentalne ponekud neperspektivni reseni, co takle namontovat treba EcrypFS nebo EncFS na tu Sambu a do toho nahulakat soubor potrebne velikosti a ten naformatovat na Ext a namontovat?
-
TC je momentalne ponekud neperspektivni reseni
pokud vim, tak profesionalni bezpecnostni audit pokracuje (nevim kolik jinych reseni ho ma, pripadne jak aktualni) a nadsenci z truecrypt.ch (http://truecrypt.ch/) skladaji novy tym - jsou ve spojeni s lidmi kolem auditu a forum take zije - TC rozhodne neni mrtvy (fork se sice bude jmenovat jinak, ale bude se pokracovat z kodu TrueCryptu).
-
adresářová struktura a názvy souborů nejsou až tak závažný problém, jde o to zabezpečit, že data jako taková budou přístupná jen konkrétním lidem/aplikacím. to zajistí server s debianem.
pokud by se někdo, z různých důvodů a různými cestami, dostal pouze na to sdílení, zakryptovaná data mu budou k ničemu. správa toho externího úložiště je mimo moji pravomoc. je bezpečná, zálohovaná atd., ale nechceme aby data byly přístupná jinde.
použití kontejneru s následným šifrováním by bylo pěkné, ale problém je ve velikosti, 1,8TB.
použití menších kontejnerů, např. po týdnech nebo měsících naráží na "dynamickou velikost".
a následná potřeba automatického skriptu na vytvoření nového kontejneru, naformátování FS, nastavení sdílení, namontování,...
jde to, ano, ale jsem plavec začátečník a tím bych se dostal dost daleko od břehu do velké hloubky. :)
řešení s kontejnery ale úplně nezatracuji, taky má své pozitiva. a nemusí to být zrovna TC, jak psal JardaP.
-
TC je momentalne ponekud neperspektivni reseni
pokud vim, tak profesionalni bezpecnostni audit pokracuje (nevim kolik jinych reseni ho ma, pripadne jak aktualni) a nadsenci z truecrypt.ch (http://truecrypt.ch/) skladaji novy tym - jsou ve spojeni s lidmi kolem auditu a forum take zije - TC rozhodne neni mrtvy (fork se sice bude jmenovat jinak, ale bude se pokracovat z kodu TrueCryptu).
Ano, ale vzhledem k soucasnym pochybnostem bych zatim volil jine reseni, pokud je k dispozici. Samozrejme, zalezi take na tom, jestli je treba data chranit pred tchyni nebo pred NSA.
-
Zalezi ovsem na tom jak moc bezpecny to chces mit - sifrovani po souborech = postranni kanal jak krava. Vidim cleneni adresaru, velikosti ... a z toho se da casto primo urcit i obsah. Kontejner je z tohodle pohledu daleko bezpecnejsi.
Pokud by mi to vadilo a chtěl bych použít encfs, není zas takový problém pravidelně náhodně vytvářet, přepisovat a mazat nějaké fake soubory a adresáře. Můžou se klidně jmenovat všechny stejně, třeba .fake-XXXXXXXXX
Vzhledem k množství dat, o kterém se OP zmiňuje by spíš mohl být problém výkon FUSE.
-
ja pouzivam a doporucuju encfs, sice neukladam primo na sambu ale delam dost podobne zversvto ukladam zalohy pres encfs do mountle slosky pres sshfs mam v tom cirka 4TB dat, a makato v pohode ani cpu moc nervou