Verschlüsseln von Verzeichnissen mit CFS
Die letzte Ausgabe des Linux-Magazins hat mich schon wieder fasziniert.
Darin war ein Bericht über das Ver- schlüsseln von Dateiverzeichnissen abgedruckt,
ein Thema, mit dem ich mich seit Jahren selbst befasse.
Das Programm CFS habe ich mir daher sofort runtergeladen, die Installation des Programms
will ich hier mal kurz beschreiben.
Standardmäßig benutzt das Programm eine Codierung mit 2 Schlüsseln, kann jedoch auch mit
einer Triple DES oder nach der Blowfish-Methode arbeiten.
Es liegt also nahe, sensible Daten in ein extra dafür angelegtes Sub-Directory zu speichern.
Die Codierung geht sogar so weit, daß nicht einmal der Superuser root einen Zugriff auf das
verschlüsselte Verzeichnis hat, was auch gut so ist. Ein Angreifer, der sich mit Hilfe einer
Overflow-Attacke SU-Rechte angeeignet hat, könnte sonst ja jederzeit auf die sensiblen Daten
zugreifen.
Laßt uns also beginnen. Zuerst einmal brauchen wir das Programm, das können wir vom Server
Replay.Com herunterladen.
Jetzt muß das Makefile an die persönliche Umgebung angepasst werden, anschließend wird mit
"make cfs" das Programm übersetzt. Mit "make install_cfs" werden die benötigten Verzeichnisse
angelegt, in beiden Fällen müssen SU-Rechte vorliegen!
Da CFS rpc.mountd nutzt, muß ein sog. Bootstrap-Mountpoint eingerichtet werden, das geht mit:
mkdir /bmount
chmod 0 /bmount
Schließlich sollte in der /etc/exports noch eine Zeile "/bmount localhost" zugefügt werden,
sonst ist ein Export nicht möglich.
Ist auch dies vollzogen, dann solllte man folgendes Script anlegen, das beim Wechsel
auf Runlevel 2 ausgeführt wird:
#Start Script
cfsd
mount -o port=3049,intr localhost:/bmount /crypt
Außerdem sollte in der rc.config der portmapper aktiviert sein. (SuSE-Linux)
Jetzt ist das System für die Nutzung von CFS vorbereitet und dem Anlegen von verschlüsselten
Verzeichnissen liegt nichts mehr im Wege.
Ach ja, Warmstart nicht vergessen!
Um ein codiertes Verzeichnis anzulegen, wird das Kommando cmkdir verwendet, durch die
Ähnlichkeit zu den Standard- Kommandos, also leicht zu merken.
Zusätzlich zu diesem Kommado kann noch die Verschlüsselungs-Option angegeben werden,
genaue Erläuterungen können der Readme Datei entnommen werden.
Leider kann man jetzt nicht sofort in das so erzeugte Verzeichnis seine Dateien
reinkopieren. Ich habe lange gesucht, warum, (weil ich wieder mal zu faul zum Lesen war).
Nach dem Kommando "cattach data verzeichnis" kann man schließlich nach /crypt/verzeichnis
wechseln und dort seine Dateien reinschreiben. Dies entspricht dem Mount-Befehl, hier aber
speziell für die verschlüsselten Verzeichnisse.
Das Kopieren habe ich mit dem Midnight-Commander erledigt, (bin halt einfach tippfaul).
Nachdem alle Dateien kopiert wurden, unmountet man das Verzeichnis mit "cdettach verzeichnis"
Viel Spass mit dem Programm
Kurt Sommer
