Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Map Encrypten  (gelezen 1715 keer)

Offline RogierVLD

  • Lid
Map Encrypten
« Gepost op: 2009/12/06, 16:23:52 »
Hallo,

Een tijdje geledne heb ik een Ubuntu server geinstalleerd. De server is uiterst stabiel en ik ben er erg blij mee. Nu wil ik ook de boel gaan encrpten. Tenminste een deel dan.

Het betreft de 2 mappen die ik allebei via SAMBA share voor Windows gebruikers. Op 1 map staat een ouderwetse Paradox database en hier wordt veel van gelezen en af en toe geschreven.

Door de bomen zie ik het bos niet meer. Wie heeft wat tips om een map te encrypten op de Ubuntu server. Het is een DELL Server, quadcore processor en 8 GB intern geheugen.

Ik wil niet het hele systeem encrypten. Verder moet het (natuurlijk) stabiel zijn en bekend staan als veilig. Het liefst ook een beetje snel. Wie heeft er wat tips?

Bij voorbaat dank!

Rogier

Offline ivo

  • Lid
Re: Map Encrypten
« Reactie #1 Gepost op: 2009/12/06, 17:31:20 »

www.truecrypt.org


Free open-source disk encryption software for Windows 7/Vista/XP, Mac OS X, and Linux
There are only 10 types of people in the world; those who understand binary and those who don't.

Re: Map Encrypten
« Reactie #2 Gepost op: 2009/12/06, 22:11:34 »
Truecrypt en DM-crypt+LUKS zijn de twee meest gebruikte manieren voor harddisk-versleuteling bij Linux. Besef wel dat zolang de versleutelde map 'open' staat of een versleutelde LUKS partitie gemount is deze mappen/partities net zo bereikbaar zijn voor een hacker als een onversleutelde.

Geopende bestanden kunnen verder ook als tijdelijke bestanden in (submappen van) /home/<user> of  /tmp  terecht komen, en dacht ook /var. Ook als ze weer gedelete worden is het mogelijk die bestanden daarvandaan weer te herstellen. Dus je zou om die reden ook die mappen kunnen versleutelen.
« Laatst bewerkt op: 2009/12/07, 00:02:37 door AptlyNamed »

Offline RogierVLD

  • Lid
Re: Map Encrypten
« Reactie #3 Gepost op: 2009/12/07, 15:09:36 »
Bedankt voor de tips.

De bedoeling van de beveiling is puur diefstal. Voor de rest probeer ik de server dicht te houden. Even heel simpel gezegd: als de server aan een router hangt die dicht staat, een Cisco, dan kan toch niemand zomaar bij de server? Van buitenaf dan?

Ik ga zo eens met Truecrypt aan de slag (ziet er niet zo moeilijk uit). Weet iemand een methode hoe ik kan meten wat de extra systeem belasting van Truecrypt is?
De belasting gedurende een periode, bijvoorbeeld 4 uur (werktijd; niet in de nacht).

Verder las ik dat de beste methode van beveiliging bijvoorbeeld AES is, met een lange random key en een wachtwoord. De key zou je op een USB stick kunnen zetten.
Je leest dan dat je goed moet oppassen om de USB stick niet vergeten uit te loggen. Is er niets iets te bedenken om de administrator te dwingen om de USB uit te nemen?

Alvast bedankt!

Rogier

Re: Map Encrypten
« Reactie #4 Gepost op: 2009/12/07, 15:56:41 »
Je leest dan dat je goed moet oppassen om de USB stick niet vergeten uit te loggen. Is er niets iets te bedenken om de administrator te dwingen om de USB uit te nemen?
Ik heb geen ervaring met truecrypt maar op mijn servertje staan een aantal met dm-crypt/LUKS versleutelde partities. Tijdens het booten worden deze gemount waarbij de sleutel op een usbstick staat.

- Ik heb een map aangemaakt in /media genaamd 'usbhd-sdc1'.

- De usb-stick wordt gemount door een regel in /etc/fstab te zetten (bovenaan zodat deze als eerste gemount wordt):

/etc/fstab:
# de usbstick
UUID=0ce435387-0e32-47eb-83434526a97    /media/usbhd-sdc1 ext2 defaults,noatime,nodiratime 0 0
# de versleutelde partitie
/dev/mapper/home    /home ext4 defaults,noatime,nodiratime 0 1
(...)

- De versleutelde partitie '/dev/sda3' wordt tijdens het booten met de sleutel geopend:

/etc/crypttab:
home /dev/sda3 /media/usbhd-sdc1/keyfiles/server_-_luks.key

(...)

- Deze stick wordt na het booten automatisch weer ge-unmount.
Dit gebeurt terwijl nog niemand heeft ingelogd in het systeem. Ik gebruik zelf Arch Linux waarbij je dit kunt bereiken door het commando (umount /media/usbhd-sdc1) in /etc/rc.local te zetten, maar voor op Debian gebaseerde distros, zoals Ubuntu is het wat extra werk, zie:  https://help.ubuntu.com/community/RcLocalHowto

In de praktijk is het dus: usbstick insteken, server aanzetten en een minuutje laten ratelen, usbstick eruit trekken. Geen inloggen nodig.

« Laatst bewerkt op: 2009/12/07, 16:14:49 door AptlyNamed »

Re: Map Encrypten
« Reactie #5 Gepost op: 2009/12/12, 01:16:36 »
Gebruik zelf voor mn extern hdd die crypsetup package die in de repos zit. volgens mij tegenwoordig al standaard geinstalleerd.

Hou er wel rekening mee dat het meer resources uit je systeem vraagt. Ik ben met mijn eerste server ook is helemaal los gegaan op de encryptie maar dat scheelde toch wel een boel qua disk performance en cpu die het vraagt. Een beetje kieskeurig zijn over wat je encrypt is wel handig.