Luks keyfile over ssh

karloff

karloff

Routinier
Moin,

will mir ein script basteln um auf meinem Homeserver die Luks partionen aufzuschließen via keyfile welches sich nicht auf dem Rechner befindet.
Das ganze via ssh, nur fällt mir da nichts allzutolles ein.
Meine momentane Idee ist, ssh tunnel auf den Server aufzubauen, von dort via sshfs auf mein rechner zuzugreifen und dann wiederrum über den ssh tunnel damit die luks partionen aufzuschließen.
Finde ich aber ziemlich unstylisch und auch nicht wirklich gut für nen wartungsarmes script geeignet.

Daher wollte ich mal fragen ob ihr ne bessere Idee habt wie man den das aufschließen kann ohne dabei das keyfile selbst auf die server platten zu schreiben?
 
Was gibt's da gross zu scripten?

scp keyfile server:/pfad/
ssh server 'mount-befehl'
ssh server 'rm /pfad/keyfile'

Einen SSH-Tunnel brauchst du dafür nicht.
 
@bitmuncher: Dann wird das Keyfile aber unverschlüsselt auf dem Server gespeichert. Und auch nach dem 'rm' dürfte sich der Schlüssel mit Glück/Pech noch wiederherstellen lassen.
 
Irgendwann muss der Schlüssel unverschlüsselt zur Verfügung stehen um die Platte damit zu entschlüsseln. Er muss also irgendwo gespeichert werden. Und dass er nach einem rm wiederherstellbar ist, kann man mit 'shred' verhindern.
 
Irgendwann muss der Schlüssel unverschlüsselt zur Verfügung stehen um die Platte damit zu entschlüsseln.
Auf dem Server selbst sollte das aber am besten im Ram geschehen.
Er muss also irgendwo gespeichert werden.
Ja und zwar nur auf dem Datenträger, wo das Keyfile gespeichert wird, und der danach möglichst sicher verwahrt wird. Wenn das Keyfile an der selben Stelle liegt, wie die verschlüsselten Daten kann man sich die Verschlüsselung eigentlich auch gleich sparen.
 
Dann mountet man halt eine RAM-Disk und kopiert die Datei da rein während des Mount-Vorgangs. Seid doch mal nicht so unkreativ. ;)
 
Erstmal danke für die Ideen, war der versuch das ohne ram disk zu lösen, aber wird wohl doch das Beste sein. ( zumindest fällt mir nichts besseres ein )
Weil wie geschrieben will ich das Ding nicht auf die Server platten schreiben.
Ram ist noch okay, weil der key dort eh liegt wenn die platten entschlüsselt sind.

Also der Schlüssel ist auf nem USB Stick der ebenfalls Luks mit passwort verschlüsselt ist. ( keine halben Sachen ^^ )
 
Hab mir mal bissel was zusammengeschrieben, sieht soweit ganz gut aus.
Allerdings hab ich da noch ne Frage, und zwar läuft es so das ich das keyfile via scp ins tmpfs schiebe, mit user rechten, also ist es potenziel abgreifbar.
Wie verhält es sich mit z.b. shred in nem tmpfs? wenn ich das ding nulle passt das?
 

Ähnliche Themen

Windows clients können nicht mehr auf lange laufendes System zugreifen

Deutsche Installationsanleitung für Slackware 9.0 (und auch 9.1)

Zurück
Oben