Kompromittierende temp-Verzeichnnisse auf Linux-Systemen.

[6b616e]

Hallo,

ich nutze einen openSUSE-Fileserver mit einem luks+dmcrypt-verschlüsseltem RAID-5. Die Systemplatte ist allerdings unverschlüsselt. Dies ist nötig, da ich sonst keine Möglichkeit habe, das Passwort remote einzugeben und somit immer eine Tastatur und ein Bildschirm am Server hängen müsste.

Swap habe ich deaktiviert, /tmp und /var/tmp auf einer ramdisk gemounted.

Dazu habe ich zwei Fragen:

1. Reicht das aus oder gibt es noch weitere Verzeichnisse, die eventuell entschlüsselte Daten enthalten können, die für einen Known-Plaintext-Angriff genutzt werden könnten?
2. Werden NFS-Transfers eigentlich irgendwo auf Platte gepuffert?

Danke für die Antworten,
6b616e

 

[saeckereier]

Man kann die Passworteingabe per initrd und ssh realisieren. Das habe ich hier eine Zeitlang benutzt. Ich weiss nur nicht mehr auf welcher Kiste das läuft, sonst könnte ich nachschauen. Dazu findet man aber genug Infos im Netz.

Um deine Frage zu beantworten wäre die Ausgabe vonl mount recht interessant. Aus deiner Formulierung wird nämlich nicht ersichtlich, was jetzt verschlüsselt ist und was nicht.

 

[6b616e]

Also mount beim Fileserver sagt folgendes:

/dev/sda2 on / type ext3 (rw,acl,user_xattr)
/proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
debugfs on /sys/kernel/debug type debugfs (rw)
udev on /dev type tmpfs (rw)
devpts on /dev/pts type devpts (rw,mode=0620,gid=5)
/dev/sda1 on /boot type ext3 (rw,acl,user_xattr)
/dev/sda3 on /home type ext3 (rw,acl,user_xattr)
fusectl on /sys/fs/fuse/connections type fusectl (rw)
securityfs on /sys/kernel/security type securityfs (rw)
none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
rpc_pipefs on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)
/dev/mapper/raid5 on /media/raid5 type ext3 (rw)
nfsd on /proc/fs/nfsd type nfsd (rw)
gvfs-fuse-daemon on /root/.gvfs type fuse.gvfs-fuse-daemon (rw,nosuid,nodev)

Der Desktop-PC sagt:

/dev/sda1 on / type ext3 (rw,acl,user_xattr)
/proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
debugfs on /sys/kernel/debug type debugfs (rw)
udev on /dev type tmpfs (rw)
devpts on /dev/pts type devpts (rw,mode=0620,gid=5)
/dev/sda2 on /home type ext3 (rw)
none on /tmp type tmpfs (rw,size=33%)
none on /var/tmp type tmpfs (rw,size=25%)
none on /home/_6b616e/Desktop/JDownloader/tmp type tmpfs (rw,size=10%)
fusectl on /sys/fs/fuse/connections type fusectl (rw)
none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
gvfs-fuse-daemon on /home/_6b616e/.gvfs type fuse.gvfs-fuse-daemon (rw,nosuid,nodev,user=_6b616e)
192.168.1.3:/media/raid5 on /media/raid5 type nfs (rw,addr=192.168.1.3,nfsvers=3,proto=tcp,mountproto=udp)
/dev/loop0 on /media/cdrom type iso9660 (ro,loop=/dev/loop0)

Danke für die Hilfe.

EDIT: Achja, die ramdisks auf dem fileserver sind noch nicht gemounted. Hatte noch kein Bock, ihn neuzustarten
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
Und noch ne Frage am Rande:
Wo genau ist der Cache von mplayer?

 

[saeckereier]

Also auf deinem Server sind weder home noch / noch irgendwas verschlüsselt ausser /media/raid5. Das ist sicherlich nicht ausreichend. Mindestens /home sollte dazu.

 

[6b616e]

Also auf deinem Server sind weder home noch / noch irgendwas verschlüsselt ausser /media/raid5. Das ist sicherlich nicht ausreichend. Mindestens /home sollte dazu.

Richtig, aber im Moment laufen auch keine Dienste außer der NFS-Freigabe. Für anderes wird der Server gar nicht genutzt. Ich denke mal, /home/ wird gerade gar nicht verwendet.

Also an temp-Verzeichnissen war's das dann, oder?