Luks keyfile over ssh

Dieses Thema im Forum "Shell-Skripte" wurde erstellt von karloff, 15.01.2013.

  1. #1 karloff, 15.01.2013
    karloff

    karloff Routinier

    Dabei seit:
    09.07.2007
    Beiträge:
    317
    Zustimmungen:
    0
    Ort:
    ~/
    Moin,

    will mir ein script basteln um auf meinem Homeserver die Luks partionen aufzuschließen via keyfile welches sich nicht auf dem Rechner befindet.
    Das ganze via ssh, nur fällt mir da nichts allzutolles ein.
    Meine momentane Idee ist, ssh tunnel auf den Server aufzubauen, von dort via sshfs auf mein rechner zuzugreifen und dann wiederrum über den ssh tunnel damit die luks partionen aufzuschließen.
    Finde ich aber ziemlich unstylisch und auch nicht wirklich gut für nen wartungsarmes script geeignet.

    Daher wollte ich mal fragen ob ihr ne bessere Idee habt wie man den das aufschließen kann ohne dabei das keyfile selbst auf die server platten zu schreiben?
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 bitmuncher, 15.01.2013
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Was gibt's da gross zu scripten?

    scp keyfile server:/pfad/
    ssh server 'mount-befehl'
    ssh server 'rm /pfad/keyfile'

    Einen SSH-Tunnel brauchst du dafür nicht.
     
  4. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    @bitmuncher: Dann wird das Keyfile aber unverschlüsselt auf dem Server gespeichert. Und auch nach dem 'rm' dürfte sich der Schlüssel mit Glück/Pech noch wiederherstellen lassen.
     
  5. #4 bitmuncher, 16.01.2013
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Irgendwann muss der Schlüssel unverschlüsselt zur Verfügung stehen um die Platte damit zu entschlüsseln. Er muss also irgendwo gespeichert werden. Und dass er nach einem rm wiederherstellbar ist, kann man mit 'shred' verhindern.
     
  6. #5 Spröde, 16.01.2013
    Spröde

    Spröde Alter Sack

    Dabei seit:
    22.01.2012
    Beiträge:
    173
    Zustimmungen:
    0
    Aber nicht auf einem Journaling-Dateisystem oder RAID oder ... Shred kann man mittlerweile ziemlich vergessen.
     
  7. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Auf dem Server selbst sollte das aber am besten im Ram geschehen.
    Ja und zwar nur auf dem Datenträger, wo das Keyfile gespeichert wird, und der danach möglichst sicher verwahrt wird. Wenn das Keyfile an der selben Stelle liegt, wie die verschlüsselten Daten kann man sich die Verschlüsselung eigentlich auch gleich sparen.
     
  8. #7 bitmuncher, 16.01.2013
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Dann mountet man halt eine RAM-Disk und kopiert die Datei da rein während des Mount-Vorgangs. Seid doch mal nicht so unkreativ. ;)
     
  9. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  10. #8 karloff, 17.01.2013
    karloff

    karloff Routinier

    Dabei seit:
    09.07.2007
    Beiträge:
    317
    Zustimmungen:
    0
    Ort:
    ~/
    Erstmal danke für die Ideen, war der versuch das ohne ram disk zu lösen, aber wird wohl doch das Beste sein. ( zumindest fällt mir nichts besseres ein )
    Weil wie geschrieben will ich das Ding nicht auf die Server platten schreiben.
    Ram ist noch okay, weil der key dort eh liegt wenn die platten entschlüsselt sind.

    Also der Schlüssel ist auf nem USB Stick der ebenfalls Luks mit passwort verschlüsselt ist. ( keine halben Sachen ^^ )
     
  11. #9 karloff, 18.01.2013
    karloff

    karloff Routinier

    Dabei seit:
    09.07.2007
    Beiträge:
    317
    Zustimmungen:
    0
    Ort:
    ~/
    Hab mir mal bissel was zusammengeschrieben, sieht soweit ganz gut aus.
    Allerdings hab ich da noch ne Frage, und zwar läuft es so das ich das keyfile via scp ins tmpfs schiebe, mit user rechten, also ist es potenziel abgreifbar.
    Wie verhält es sich mit z.b. shred in nem tmpfs? wenn ich das ding nulle passt das?
     
Thema:

Luks keyfile over ssh

Die Seite wird geladen...

Luks keyfile over ssh - Ähnliche Themen

  1. Kurztipp: LUKS mit Rettungssystem öffnen

    Kurztipp: LUKS mit Rettungssystem öffnen: Auf Partitionen, die mit dem Linux Unified Key Setup (LUKS) verschlüsselt sind, kann man im Notfall auch mit einem Live-System zugreifen. Nötig...
  2. LUKS Verschlüsselung ein paar Fragen - entschlüsseln beim Boot ohne Passwortabfrage

    LUKS Verschlüsselung ein paar Fragen - entschlüsseln beim Boot ohne Passwortabfrage: Ich habe mich schon hier und da belesen, sehe aber noch nicht so richtig durch. Mein System ist ein aktuelles CentOS 6.2 mit 3 mdraid...
  3. Fedora15 Luks broken?

    Fedora15 Luks broken?: Moin, nach einem preupgrade von 14 auf 15 ist angeblich meine Luks-partition broken. gemountet wird das ganze wie folgt: cat /etc/crypttab...
  4. Partition in luks + lvm mounten, wie ?

    Partition in luks + lvm mounten, wie ?: Hallo Ist noch früh, vielleicht liegt es daran, das ich den wald vor bäumen nicht sehe. Problem: Ich muß zu Sicherungszwecken eine...
  5. [Debian Lenny] LVM und Verschlüsselung "luks"

    [Debian Lenny] LVM und Verschlüsselung "luks": Hi, ich habe vor ein bestehenden File Server ein wenig umzurüsten, da zum einen das Problem besteht, dass immer eine Festplatte voll wird...