(Hier geht es nicht darum, den Clientzugriff einzuschränken, für den ext3-Berechtigungen den Trick machen.)
Ich möchte die Daten auf meinem NAS-Laufwerk ( Buffalo LinkStation Pro mit aktiviertem SSH-Zugriff, falls dies wichtig ist) benutzerfreundlich verschlüsseln . Derzeit muss ein TrueCrypt-Container manuell über SSH bereitgestellt und auch wieder freigegeben werden (es sei denn, Sie lösen meine Timeout-Frage ). Bei Verwendung eines kennwortlosen (aber EFS-verschlüsselten) SSH-Schlüssels wird dieser auf zwei PuTTY-Desktopverknüpfungen reduziert und das TrueCrypt-Kennwort (bis zur weiteren Vereinfachung ) zum Mounten eingegeben .
Die ideale Lösung wäre jedoch transparent. Ich habe zuerst darüber nachgedacht, die Freigabe irgendwie für die EFS-Verschlüsselung zuzulassen , aber das würde wahrscheinlich mehr Arbeit bedeuten, und EFS für mehrere Benutzer ohne Active Directory-Server scheint problematisch zu sein .
Aber jetzt ist meine Idee eine automatisierte Bereitstellung von beispielsweise einem EncFS-verschlüsselten Verzeichnis, das automatisch durch einen Samba-Zugriff von autorisierten Benutzern (unter Verwendung von Windows-Clients) ausgelöst wird. Wie kann das erreicht werden? (Bonuspunkte für die Anzeige einer Honeypot-Freigabe für nicht autorisierte Benutzer ...)
quelle
Antworten:
Ich sehe eine Skizze einer Lösung mit Samba-Anmeldeskripten - clientseitigem Code, der nach einer Samba-Anmeldung ausgeführt wird -, aber eine vollständige Lösung muss die Skizze mit Details vervollständigen. Ebenfalls verwandt sind "preexec-Skripte" - serverseitiger Code, der während einer Samba-Anmeldung ausgeführt wird.
Verweisen auf die Manpage smb.conf
und auch
In Ihrem Fall möchten Sie jedoch wirklich Anmeldeskripte (unverschlüsseltes Formular ist auf dem Client bereitgestellt). Eine Lösungsskizze kann daher Folgendes umfassen:
Konfigurieren Sie smb.conf so, dass die relevanten Benutzer das Anmeldeskript ausführen. zB so etwas wie
Anmeldeskript = runencfs.bat
Für Bonuspunkte kann Ihr Anmeldeskript die Installation von Encfs (von der Samba-Freigabe) automatisieren / auffordern und den Mount nur ausführen, wenn er installiert ist!
Clientseitige Skripts verursachen jedoch aufgrund der cmd-Sprache Kopfschmerzen, stellen die Installation von encfs sicher und umgehen Windows- Fallstricke wie Windows 8.1 und höher. Die Anmeldeskripts werden erst fünf Minuten später ausgeführt, sofern nicht anders konfiguriert .
quelle
Wenn Sie sich um die Sicherheit ruhender Daten kümmern, können Sie stattdessen auf dem NAS nach einer Verschlüsselungslösung suchen (FreeNAS und Synology tun dies). Beim Booten müssen Sie einen Schlüssel eingeben, um das Volume zu öffnen. Danach funktioniert es wie eine unverschlüsselte Freigabe, sodass keine clientseitige Konfiguration erforderlich ist.
Wenn Sie andererseits Bedenken haben, dass die Daten während der Ausführung vom Server übernommen werden, kann Ihr Problem durch eine clientseitige Verschlüsselung behoben werden. So etwas wie EncFS oder Cryptomator könnte die einfachste Lösung für Ihr Problem sein?
Oder habe ich das Problem falsch verstanden?
quelle