Samba a šifrování na vzdáleném disku

dan67

Samba a šifrování na vzdáleném disku
« kdy: 05. 06. 2014, 09:35:55 »
Mám k dospozici sdílený prostor na win serveru, připojuji jej z linuxu pomocí samby.
Potřeboval bych na něj ukládat citlivá data v šifrované podobě, můžete mi poradit, nasměrovat?

Zkoušel jsem hledat, ale nenašel jsem nic rozumného.

pozn.
k nastavení win sdílení nemám přístup, mám k dospozici "pouze" datový prostor
linux je debian 7
« Poslední změna: 05. 06. 2014, 13:10:49 od Petr Krčmář »


Mikey

Re:samba a šifrování
« Odpověď #1 kdy: 05. 06. 2014, 10:28:11 »
Pokud nemate pristup k nastaveni Windows tak to bude problem.
Co se tyce zabezpeceni prenosu. Mohla by pomoci VPN primo na Windows a skrz ni namountovat disk.
Pripadne si dovolim odkazat na reseni vyuzivane u WEDOsu - http://kb.wedos.com/disk/smb.html
U obojiho je ale potreba mit pristup do OS.

Co se tyce zabezpeceni dat primo na sdilenem ulozisti. Mozna by pomohl truecrypt cointainer - http://truecrypt.ch ale nevim zda neni moc tezkopadny.


* Protokol SMB od verze 3.0 podporuje sifrovani

mhepp

Re:samba a šifrování
« Odpověď #2 kdy: 05. 06. 2014, 12:24:08 »
Co třeba encfs?

Re:samba a šifrování
« Odpověď #3 kdy: 05. 06. 2014, 12:38:05 »
Nechat na serveru "odložený" TrueCryptový container je docela dobré řešení, už proto, že se pak k němu lze v případě nutnosti připojit z jiného OS. Jenže to nebude zrovna nejrychlejší a jestli se ten server bude snažit ještě do toho procesu "vnášet vlastní inteligenci" (opožděné změny, apod.), může to být docela nešikovné. Čili moje doporučení zní: kontejner, ale jen o nezbytné velikosti, nepřesahující pár desítek megabajtů. (Na pomalé síti radši ještě mnohem menší.)

Re:Samba a šifrování na vzdáleném disku
« Odpověď #4 kdy: 05. 06. 2014, 13:12:33 »
Jak psal už někdo výše, já bych doporučil EncFS. Šifruje po souborech (včetně názvu, samozřejmě), je to hodně elegantní a pohodlné řešení. Vyhneš se vytváření velkého kontejneru, který je neohrabaný a musíš předem odhadnout jeho velikost.


dan67

Re:Samba a šifrování na vzdáleném disku
« Odpověď #5 kdy: 05. 06. 2014, 14:03:03 »
Díky moc za rady.
TrueCrypt mě napadl, ale manipulace s konteinerem, nejo montování atd. mi nepřišly ideální.

A hlavně, věděl jsem, že "linux" a "komunita" musí mít nějaké elegantnější řešení.  :)
EncFS vypadá zajimavě.

Díky.

j

Re:Samba a šifrování na vzdáleném disku
« Odpověď #6 kdy: 05. 06. 2014, 17:56:58 »
Zalezi ovsem na tom jak moc bezpecny to chces mit - sifrovani po souborech = postranni kanal jak krava. Vidim cleneni adresaru, velikosti ... a z toho se da casto primo urcit i obsah. Kontejner je z tohodle pohledu daleko bezpecnejsi.

Jenda

Re:Samba a šifrování na vzdáleném disku
« Odpověď #7 kdy: 05. 06. 2014, 18:13:21 »
Zalezi ovsem na tom jak moc bezpecny to chces mit - sifrovani po souborech = postranni kanal jak krava. Vidim cleneni adresaru, velikosti ... a z toho se da casto primo urcit i obsah. Kontejner je z tohodle pohledu daleko bezpecnejsi.
A datum změny - to je ještě horší.

Olaf

Re:samba a šifrování
« Odpověď #8 kdy: 05. 06. 2014, 18:47:30 »
Nechat na serveru "odložený" TrueCryptový container je docela dobré řešení, už proto, že se pak k němu lze v případě nutnosti připojit z jiného OS. Jenže to nebude zrovna nejrychlejší a jestli se ten server bude snažit ještě do toho procesu "vnášet vlastní inteligenci" (opožděné změny, apod.), může to být docela nešikovné. Čili moje doporučení zní: kontejner, ale jen o nezbytné velikosti, nepřesahující pár desítek megabajtů. (Na pomalé síti radši ještě mnohem menší.)

Dlouho jsem používal TrueCryptový container (TrueCrypt ver. 6.3a) cca 40 GB na sdíleném disk (LAN 100 Mbit/s, prostředí Windows)). Když odhlédnu od kryptování na relativně slabém PC, žádné výrazné zpomalení oproti běžné práci v LAN jsem nepozoroval (samozřejmě vytváření případně kopírování velkého kontejneru chvíli trvá).

Používal jsem kontejnery formátované na NTFS a HFS+ (Mac OS X) a ani při poruchách sítě jsem neměl problémy s jejich integritou. Jen jsem je pak zkonntroloval (chkdsk, fsck_hfs).

Datum změny kontejneru (odpojeného) se nemění. Proti EncFS sdílím námitky s Jendou a j. Kontejner mi připadá víc anonymější.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Samba a šifrování na vzdáleném disku
« Odpověď #9 kdy: 05. 06. 2014, 20:01:21 »
Vzhledem k tomu, ze TC je momentalne ponekud neperspektivni reseni, co takle namontovat treba EcrypFS nebo EncFS na tu Sambu a do toho nahulakat soubor potrebne velikosti a ten naformatovat na Ext a namontovat?

noef

  • *****
  • 897
    • Zobrazit profil
    • E-mail
Re:Samba a šifrování na vzdáleném disku
« Odpověď #10 kdy: 05. 06. 2014, 21:00:15 »
TC je momentalne ponekud neperspektivni reseni
pokud vim, tak profesionalni bezpecnostni audit pokracuje (nevim kolik jinych reseni ho ma, pripadne jak aktualni) a nadsenci z truecrypt.ch skladaji novy tym - jsou ve spojeni s lidmi kolem auditu a forum take zije - TC rozhodne neni mrtvy (fork se sice bude jmenovat jinak, ale bude se pokracovat z kodu TrueCryptu).

dan67

Re:Samba a šifrování na vzdáleném disku
« Odpověď #11 kdy: 05. 06. 2014, 21:14:17 »
adresářová struktura a názvy souborů nejsou až tak závažný problém, jde o to zabezpečit, že data jako taková budou přístupná jen konkrétním lidem/aplikacím. to zajistí server s debianem.
pokud by se někdo, z různých důvodů a různými cestami, dostal pouze na to sdílení, zakryptovaná data mu budou k ničemu. správa toho externího úložiště je mimo moji pravomoc. je bezpečná, zálohovaná atd., ale nechceme aby data byly přístupná jinde.

použití kontejneru s následným šifrováním by bylo pěkné, ale problém je ve velikosti, 1,8TB.
použití menších kontejnerů, např. po týdnech nebo měsících naráží na "dynamickou velikost".
a následná potřeba automatického skriptu na vytvoření nového kontejneru, naformátování FS, nastavení sdílení, namontování,...
jde to, ano, ale jsem plavec začátečník a tím bych se dostal dost daleko od břehu do velké hloubky.  :)

řešení s kontejnery ale úplně nezatracuji, taky má své pozitiva. a nemusí to být zrovna TC, jak psal JardaP.


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Samba a šifrování na vzdáleném disku
« Odpověď #12 kdy: 05. 06. 2014, 21:22:50 »
TC je momentalne ponekud neperspektivni reseni
pokud vim, tak profesionalni bezpecnostni audit pokracuje (nevim kolik jinych reseni ho ma, pripadne jak aktualni) a nadsenci z truecrypt.ch skladaji novy tym - jsou ve spojeni s lidmi kolem auditu a forum take zije - TC rozhodne neni mrtvy (fork se sice bude jmenovat jinak, ale bude se pokracovat z kodu TrueCryptu).

Ano, ale vzhledem k soucasnym pochybnostem bych zatim volil jine reseni, pokud je k dispozici. Samozrejme, zalezi take na tom, jestli je treba data chranit pred tchyni nebo pred NSA.

Re:Samba a šifrování na vzdáleném disku
« Odpověď #13 kdy: 05. 06. 2014, 21:33:37 »
Zalezi ovsem na tom jak moc bezpecny to chces mit - sifrovani po souborech = postranni kanal jak krava. Vidim cleneni adresaru, velikosti ... a z toho se da casto primo urcit i obsah. Kontejner je z tohodle pohledu daleko bezpecnejsi.
Pokud by mi to vadilo a chtěl bych použít encfs, není zas takový problém pravidelně náhodně vytvářet, přepisovat a mazat nějaké fake soubory a adresáře. Můžou se klidně jmenovat všechny stejně, třeba .fake-XXXXXXXXX

Vzhledem k množství dat, o kterém se OP zmiňuje by spíš mohl být problém výkon FUSE.

karel

Re:Samba a šifrování na vzdáleném disku
« Odpověď #14 kdy: 06. 06. 2014, 07:21:47 »
ja pouzivam a doporucuju encfs, sice neukladam primo na sambu ale delam dost podobne zversvto ukladam zalohy pres encfs do mountle slosky pres sshfs mam v tom cirka 4TB dat, a makato v pohode ani cpu moc nervou