Frage von DreiGegengifts, 58

NAS verschlüsselt einbinden?

Ich möchte, dass mein NAS beim Linux Systemstart eingebunden wird. Problem ist, dass das Passwort im Mount-Befehl nicht ungeschützt in einer ungeschützten Datei liegen soll. Wie könnte man das umgehen?

Freigabe erfolgt über NFS.

Antwort
von klugshicer, 39

Du könntest die Leserechte für die Datei /etc/fstab auf Root beschränken aber ich kann dir nicht versprechen, ob er dann noch booten kann. Wenn er mit eingeschränkten Rechten nicht mehr Booten sollte, dann kannst Du die Änderung mit Knoppix oder Puppy wieder rückgängig machen.

Damit wäre dann aber schon die nächste Schwachstelle offensichtlich ;-)

Kommentar von DreiGegengifts ,

Damit wäre dann aber schon die nächste Schwachstelle offensichtlich

Wenn man sich den Zugriff wieder holt, geht das doch nur mit einem neuen Root Passwort. Also wäre das verschlüsselte NAS-Passwort weiterhin unerreichbar. Oder ist das anders?

Kommentar von DreiGegengifts ,

Ja ne hast Recht.

Also müsste die ganze Platte/Partition
verschlüsselt sein (damit auch nach Austausch des roots kein Zugriff
erfolgen kann) und die Passwort Datei müsste root-Rechte benötigen
(damit während des Betriebes keine Programme darauf zugreifen können)

Kommentar von klugshicer ,

OK die ganze Platte verschlüsseln und die Leserechte für die fstab einschränken sollte eigentlich recht sicher sein.

Man sollte sich aber darüber im klaren sein, dass man mit steigender Sicherheit auch das Risiko erhöht, sich irgendwann (aus versehen oder einen Softwarefehler) selbst auszusperren.

Wenn die Geheimhaltung des NAS-Kennwortes wirklich eine so große Bedeutung für dich hat, dann solltest Du einen anderen Weg gehen, der das speichern des KWs in der /etc/fstab überflüssig macht.

Ich habe mir dafür z.B. ein shellscript geschrieben, das mich über ein Zenity-Formular nach dem Passwort fragt und nach dem Einbinden Thunar startet und den Einhängepunkt öffnet.

Kommentar von DreiGegengifts ,

Ja der Ansatz wäre eine Überlegung wert. Aber dann muss man jedes mal das Passwort eingeben. Das ist ziemlich lang und kryptisch. Danke.

Kommentar von klugshicer ,

Du hast eine interessante Definition von Sicherheit: Superlanges Kennwort, dass man sich aber nicht merken kann und deshalb irgendwo aufschreiben muss.

Ich würde sagen da ist dann ein kürzeres Passwort sicherer ;-)

Kommentar von DreiGegengifts ,

Sich Passwörter zu merken ist halt Blech. Einfache Passwörter zu verwenden ebenso.

Deshalb hat man ja ein Masterpasswort oder eben ein System-Passwort, das als Masterpasswort fungiert.

Die Frage ist einfach, wie man Linux ein Passwort zur verschlüsselten Verwahrung geben kann, das mit dem Systempasswort verschlüsselt wurde.

Ein Knacken wäre dann nicht mehr möglich. Wenn man root aushebelt, bleiben verschlüsselte Passwörter übrig, die nur mit der ursprünglichen Passphrase wiederhergestellt werden können.

Kommentar von klugshicer ,

Dann musst Du aber auch deine Datensicherungen verschlüsseln, darfst keine Fremdquellen einbinden und vor jedem einschalten unter den Tisch kriechen um zu prüfen ob nicht doch ein Keylogger deine Passwörter abkupfert.

Kommentar von DreiGegengifts ,

Dass man ein Passwort zum Server nicht im Klartext auf einer Client  Platte rumliegen lässt sollte eigentlich selbstverständlich sein.

Wer das macht, kann auch gleich ganz auf Passwörter verzichten.

Und jedes Betriebssystem kann Passwörter mit dem Nutzer-Passwort verschlüsseln. Linux auch.

Antwort
von wiedermalich, 36

das annst du nicht umgehen.

du kannst ja schlecht deinem eigenen system, welches auf die daten zugreifen soll, das passwort vorenthalten. dann kann sich das besagte system auch nicht anmelden.

also irgendwo ist dann auch gut mit der verschlüsselung, sonst macht diese überhaupt kein sinn

Kommentar von DreiGegengifts ,

du kannst ja schlecht deinem eigenen system, welches auf die daten zugreifen soll, das passwort vorenthalten. dann kann sich das besagte system auch nicht anmelden.

Ich will das Passwort meinem System nicht vorenthalten. Das System soll das Passwort lediglich nicht aus einer unverschlüsselten Datei auslesen.

Keine passende Antwort gefunden?

Fragen Sie die Community