{"id":1297,"date":"2015-11-07T11:00:22","date_gmt":"2015-11-07T10:00:22","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=1297"},"modified":"2015-11-06T22:57:33","modified_gmt":"2015-11-06T21:57:33","slug":"verzeichnisse-auf-linux-server-nachtraeglich-verschluesseln","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/verzeichnisse-auf-linux-server-nachtraeglich-verschluesseln\/","title":{"rendered":"Verzeichnisse auf Linux-Server nachtr\u00e4glich verschl\u00fcsseln"},"content":{"rendered":"

Auf einem entfernten Linux-Server sollen nachtr\u00e4glich das HOME-Verzeichnis eines Benutzers und weitere einzelne Verzeichnisse im Dateisystem verschl\u00fcsselt werden. Nach einer ersten Recherche im Internet kommen f\u00fcr diese Aufgabe ecryptfs<\/a>, EncFS<\/a> und VeraCrypt<\/a> in Frage.<\/p>\n

In diesem Artikel m\u00f6chte ich mich im Folgenden n\u00e4her mit der Zielstellung auseinandersetzen und die damit zusammenh\u00e4ngenden Fragen diskutieren. Daher freue ich mich, wenn ihr euch an der Diskussion beteiligt und weitere Informationen und Quellen zum Thema beisteuert.<\/p>\n

Zielstellung<\/h2>\n

Es sind Verzeichnisse eines entfernten Linux-Servers zu verschl\u00fcsseln. Auf den Server kann via SSH zugegriffen werden. Bei den zu verschl\u00fcsselnden Verzeichnissen handelt es sich um das HOME-Verzeichnis eines Benutzers und um weitere Verzeichnisse innerhalb des Dateisystems, wie z.B. \/var\/www\/sitename\/data<\/em>.<\/p>\n

Mit der Verschl\u00fcsselung sollen die Verzeichnisse vor unberechtigtem Zugriff gesch\u00fctzt werden f\u00fcr den Fall,<\/p>\n

    \n
  1. dass die Festplatten des Servers gestohlen werden.<\/li>\n
  2. dass der Server von einem anderen Bootmedium gestartet wird, um auf das Dateisystem zuzugreifen.<\/li>\n<\/ol>\n

    Beim Start des Servers sollen die verschl\u00fcsselten Verzeichnisse eingeh\u00e4ngt werden, so dass sie unabh\u00e4ngig von einer Benutzeranmeldung zur Verf\u00fcgung stehen.<\/p>\n

    Fragen<\/h2>\n

    Um die beschriebene Zielstellung zu erreichen, sind im Vorfeld folgende Fragen zu beantworten:<\/p>\n

      \n
    1. Ist es mit einer der genannten L\u00f6sungen prinzipiell m\u00f6glich, nachtr\u00e4glich Verzeichnisse eines entfernten Linux-Servers zu verschl\u00fcsseln, wenn diese Verzeichnisse bereits existieren und Daten enthalten?<\/li>\n
    2. Ist es mit einer der genannten L\u00f6sungen m\u00f6glich, die verschl\u00fcsselten Verzeichnisse nach dem Bootvorgang einzuh\u00e4ngen, ohne dass sich ein Benutzer dazu am Server anmelden muss?<\/li>\n
    3. Gibt es bekannte Schwachstellen in den genannten L\u00f6sungen, die einen Einsatz obsolet erscheinen lassen?<\/li>\n
    4. Welche Angriffsvektoren bestehen bei der in der Zielstellung beschriebenen Verschl\u00fcsselung?<\/li>\n<\/ol>\n

      Eigene Gedanken und Diskussion<\/h2>\n

      Besonders was den zweiten Stichpunkt betrifft, bin ich skeptisch, ob dies \u00fcberhaupt m\u00f6glich ist. Denn um ein verschl\u00fcsseltes Verzeichnis entschl\u00fcsseln zu k\u00f6nnen, ist in der Regel die Eingabe von Passwort oder Passphrase erforderlich.<\/p>\n

      Bei einem Desktop-System wird meist bei Eingabe des Benutzerpassworts bei der Anmeldung der Benutzer-Keyring entsperrt, in dem sich die Passphrase zum Entschl\u00fcsseln des Verzeichnisses befindet.<\/p>\n

      Es leuchtet ja auch ein, dass ein Schl\u00fcssel bzw. eine Passphrase nicht aus einem verschl\u00fcsselten Bereich geladen werden kann. Daher glaube ich nicht, dass sich oben beschriebenes Vorhaben umsetzen l\u00e4sst.<\/p>\n

      Was ist eure Meinung dazu? Habt ihr vielleicht andere Ideen, wie oben genannte Anforderungen erf\u00fcllt werden k\u00f6nnen?<\/p>\n","protected":false},"excerpt":{"rendered":"

      Auf einem entfernten Linux-Server sollen nachtr\u00e4glich das HOME-Verzeichnis eines Benutzers und weitere einzelne Verzeichnisse im Dateisystem verschl\u00fcsselt werden. Nach einer ersten Recherche im Internet kommen f\u00fcr diese Aufgabe ecryptfs, EncFS und VeraCrypt in Frage. In diesem Artikel m\u00f6chte ich mich im Folgenden n\u00e4her mit der Zielstellung auseinandersetzen und die damit zusammenh\u00e4ngenden Fragen diskutieren. Daher freue [Weiterlesen…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[95],"tags":[369,368,305,370],"class_list":["post-1297","post","type-post","status-publish","format-standard","hentry","category-security-2","tag-ecryptfs","tag-encfs","tag-planet","tag-veracrypt"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1297","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=1297"}],"version-history":[{"count":4,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1297\/revisions"}],"predecessor-version":[{"id":1302,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1297\/revisions\/1302"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=1297"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=1297"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=1297"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}