Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

[gelöst]NFS-Verbindung zu verschlüsselter Partition

Alles rund um die Server (Web-, Mail-, Datenbank-, Datenaustausch-, etc.) die man unter Linux betreiben kann

Moderator: Moderatoren

Antworten
halo44
Hacker
Hacker
Beiträge: 602
Registriert: 27. Mai 2011, 19:55

[gelöst]NFS-Verbindung zu verschlüsselter Partition

Beitrag von halo44 » 17. Dez 2011, 17:52

Ich habe jetzt zunächst mal bei meinem Notebook eine Datenpartition nach dieser Anweisung http://de.opensuse.org/SDB:Sicherheit_V ... g_mit_LUKS verschlüsselt. Es funktioniert auch alles zur Zufriedenheit und auch problemlos, da ich für die verschlüsselte Partition das gleiche Passwort wie für meinen Useraccount gewählt habe.

Diese Partition habe ich bisher immer (unverschlüsselt) über NFSv4 von meinem Desktop aus mit rsync aktualisiert. Dies scheitert aber nun daran, dass auf dem Notebook die verschlüsselte Partition erst garnicht über das Pseudo-(Unter)-Verzeichnis bereitgestellt wird.

Ich habe zwar damit gerechnet, daß ich mich vom Desktop aus irgendwie "ausweisen" muß, nicht aber, daß der Notebook die Daten erst garnicht zur Verfügung stellt.

Die Pseudo-Verzeichnisse für NFSv4 habe ich erfolglos neu erstellt und auch in der /etc/fstat bereitgestellt.

Wie kann ich meinem Notebook meine Wünsche näher bringen?

Kann mir jemand (auf die Sprünge) helfen?

Gruss H.
Zuletzt geändert von halo44 am 21. Dez 2011, 16:52, insgesamt 1-mal geändert.
debian jessie-armv5tel Gnome (NAS)
debian jessie-64 KDE
PCLinuxOS

Werbung:
halo44
Hacker
Hacker
Beiträge: 602
Registriert: 27. Mai 2011, 19:55

Re: NFS-Verbindung zu verschlüsselter Partition

Beitrag von halo44 » 17. Dez 2011, 21:06

>
UPDATE <<<<<<<<<

Ich habe den NFS-Server auf dem Notebook nochmal komplett neu eingerichtet und bin nun auch einen entscheidenden Schritt weiter gekommen. Leider aber noch nicht ganz dahin, wo ich hin will.

Belasse ich den Eintrag zur Freigabe unterhalb des Pseudo-Verzeichnisses für NFS in der /etc/fstab, so wird mir diese Freigabe auch beim Systemstart nicht gemountet.

Ich kann aber die Freigabe mounten, indem ich folgendes in die Konsole eingebe :

Code: Alles auswählen

sudo mount /dev/mapper/_dev_sda8 /nfs4exports/datenpartition-notebook
Dann erreiche ich das verschlüsselte Verzeichnis im Notebook auch und kann es lesen und schreiben (der Benutzer auf dem Desktop und der auf dem Notebook haben das gleiche Passwort, welches identisch mit dem LUKS-Passwort ist).

Lieber hätte ich allerdings eine Lösung über die /etc/fstab und nicht den manuellen Mount-Befehl.

Muss ich den Eintrag in der /etc/fstab auf /dev/mapper/_dev_sda8 umstellen (was ich nicht ohne Euren Rat versuchen möchte)?

Gruss H.
debian jessie-armv5tel Gnome (NAS)
debian jessie-64 KDE
PCLinuxOS

gropiuskalle
Guru
Guru
Beiträge: 4603
Registriert: 20. Nov 2007, 15:17
Wohnort: Berlin
Kontaktdaten:

Re: NFS-Verbindung zu verschlüsselter Partition

Beitrag von gropiuskalle » 17. Dez 2011, 22:37

Wie sieht Deine fstab denn jetzt aus?

halo44
Hacker
Hacker
Beiträge: 602
Registriert: 27. Mai 2011, 19:55

Re: NFS-Verbindung zu verschlüsselter Partition

Beitrag von halo44 » 17. Dez 2011, 23:41

gropiuskalle hat geschrieben:Wie sieht Deine fstab denn jetzt aus?
Hier meine fstab :

Code: Alles auswählen

/dev/disk/by-id/ata-WDC_WD5000BPVT-22HXZT1_WD-WXG1A21S2983-part5	swap		swap	defaults 0 0 
/dev/disk/by-id/ata-WDC_WD5000BPVT-22HXZT1_WD-WXG1A21S2983-part6	/		ext4	acl,user_xattr 1 1 
/dev/disk/by-id/ata-WDC_WD5000BPVT-22HXZT1_WD-WXG1A21S2983-part7	/home		ext4	acl,user_xattr 1 2 
#/dev/disk/by-id/ata-WDC_WD5000BPVT-22HXZT1_WD-WXG1A21S2983-part8	/Datenpartition	ext4	acl,user_xattr 1 2 
proc	/proc	proc	defaults 0 0 
sysfs	/sys	sysfs	noauto 0 0 
debugfs	/sys/kernel/debug	debugfs	noauto 0 0 
usbfs	/proc/bus/usb	usbfs	noauto 0 0 
devpts	/dev/pts	devpts	mode=0620,gid=5 0 0 
#/Datenpartition 				/nfs4exports/datenpartition-notebook	none	rw,bind                   0 0 
linux-wgo1:/nfs4exports/datenpartition-desktop	/mnt/datenpartition-desktop		nfs	noauto,soft,timeo=10,user 0 0 
Die erste auskommentierte Zeile war der fstab-Eintrag, als die Partition noch nicht verschlüsselt war. Jetzt darf sie nicht mehr aktiv sein, weil sonst das System mit der Meldung über ein defektes Volume (bad Superblock) nicht startet.

Die zweite auskommentierte Zeile kann auch aktiv bleiben. Sie bleibt auch dann ohne Wirkung.

Ich kann mit oder ohne diese Zeile nach Systemstart nach /nfs4exports/datenpartition-notebook mounten, wie in meinem zweiten Post geschrieben.

Gruss H.
debian jessie-armv5tel Gnome (NAS)
debian jessie-64 KDE
PCLinuxOS

spoensche
Moderator
Moderator
Beiträge: 7395
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: NFS-Verbindung zu verschlüsselter Partition

Beitrag von spoensche » 18. Dez 2011, 02:22

Du musst die Partition erst entschlüsselt mounten bevor du per NFS darauf zugreifen kannst. Ansonsten wirst du per NFS nicht an die Daten kommen.

halo44
Hacker
Hacker
Beiträge: 602
Registriert: 27. Mai 2011, 19:55

Re: NFS-Verbindung zu verschlüsselter Partition

Beitrag von halo44 » 18. Dez 2011, 09:53

spoensche hat geschrieben:Du musst die Partition erst entschlüsselt mounten bevor du per NFS darauf zugreifen kannst. Ansonsten wirst du per NFS nicht an die Daten kommen.
Mit dem mounten habe ich kein Problem. Wie oben schon gesagt, kann ich die verschlüsselte Partitition mit

Code: Alles auswählen

sudo mount /dev/mapper/_dev_sda8 /nfs4exports/datenpartition-notebook
mounten. Ich kann sie dann auch mit rsync synchronisieren.

Was mich stört ist die nicht funktionierende Automatik aus der fstab. Beim Start aus einem Skript heraus ist andererseits die Partition natürlich nur dann für NFS bereit, wenn es nötig ist.

Gruss H.
debian jessie-armv5tel Gnome (NAS)
debian jessie-64 KDE
PCLinuxOS

spoensche
Moderator
Moderator
Beiträge: 7395
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: NFS-Verbindung zu verschlüsselter Partition

Beitrag von spoensche » 18. Dez 2011, 21:46

Hast du Cryptmount installiert? Wenn nicht, dann installiere es mal und dann sollte auch das autom. Mounten.

halo44
Hacker
Hacker
Beiträge: 602
Registriert: 27. Mai 2011, 19:55

Re: NFS-Verbindung zu verschlüsselter Partition

Beitrag von halo44 » 18. Dez 2011, 23:35

spoensche hat geschrieben:Hast du Cryptmount installiert? Wenn nicht, dann installiere es mal und dann sollte auch das autom. Mounten.
Cryptmount (auch cryptmount) findet mein YaST nicht.

Ich habe pam_mount installiert, wenn Du das meinst. Jedenfalls sollte dieses eigentlich die "Automatik" ermöglichen.

Gruss H.
debian jessie-armv5tel Gnome (NAS)
debian jessie-64 KDE
PCLinuxOS

spoensche
Moderator
Moderator
Beiträge: 7395
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: NFS-Verbindung zu verschlüsselter Partition

Beitrag von spoensche » 19. Dez 2011, 23:07

cryptmount heist das Paket bei Ubuntu und ist quasi pam_mount.

Du darfst in der fstab keine ext4 als Dateisystem angeben, sondern cryptfs bzw. luks. Die eigentliche Konfiguration wird allerdings in der /etc/crypttab getätigt

halo44
Hacker
Hacker
Beiträge: 602
Registriert: 27. Mai 2011, 19:55

Re: NFS-Verbindung zu verschlüsselter Partition

Beitrag von halo44 » 20. Dez 2011, 15:21

spoensche hat geschrieben:... Du darfst in der fstab keine ext4 als Dateisystem angeben, sondern cryptfs bzw. luks ...
Vielleicht reden wir aneinander vorbei.

Mein Problem ist nicht das Einbinden der verschlüsselten Partition in die laufende Sitzung. Dies funktioniert bereits prima ohne jeglichen Eintrag in der /etc/fstab.

Das regelt für mich der Eintrag

Code: Alles auswählen

<volume fstype="crypt" path="dev/sda8" mountpoint="/Datenpartition" /> 
in der /etc/security/pam_mount.conf.xml.

Was ich vermisse ist die "automatische" Bereitstellung im Pseudoverzeichnis für den NFS-Server, so daß ich vom Desktop als
NFS-Client auf die verschlüsselte Partition zugreifen kann.

Händisch geht das, wie erwähnt, über

Code: Alles auswählen

sudo mount /dev/mapper/_dev_sda8 /nfs4exports/datenpartition-notebook
Damit kann man leben, wenn auch die "Automatik" einfacher wäre.

Gruss H.
debian jessie-armv5tel Gnome (NAS)
debian jessie-64 KDE
PCLinuxOS

spoensche
Moderator
Moderator
Beiträge: 7395
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: NFS-Verbindung zu verschlüsselter Partition

Beitrag von spoensche » 20. Dez 2011, 21:45

Dann ändere den Mountpoint /Datenplatte doch einfach ab oder verpacke den Befehl in ein Script, das nach dem NFS-Server gestartet wird.

Du verstehst da etwas falsch. Der NFS-Server stellt, in der /etc/exports exportierte bzw. freigegebene Verzeichnisse im Netz bereit. Dies erfolgt mit dem Start des Netzwerks, also nach dem die Partitionen gemountet worden sind. Ausserdem darf nur Root mounten.

Mal abgesehen davon, ist es sicherheitstechnisch gesehen ein no go.

halo44
Hacker
Hacker
Beiträge: 602
Registriert: 27. Mai 2011, 19:55

Re: NFS-Verbindung zu verschlüsselter Partition

Beitrag von halo44 » 21. Dez 2011, 16:51

spoensche hat geschrieben:Dann ändere den Mountpoint /Datenplatte doch einfach ab ...
Das ist natürlich eine Lösung, die auch funktioniert. Leider müsste ich mich dann allerdings auf dem Notebook an einen anderen Pfad zu meinen Daten gewöhnen. Statt "/Datenpartition" nun "/nfs4exports/datenpartition-notebook". Die Pfade wären also auf Desktop und Notebook unterschiedlich.
spoensche hat geschrieben: ... oder verpacke den Befehl in ein Script ...
Das mache ich auch jetzt schon, um nicht soviel tippen zu müssen. Das hat auch den Vorteil, daß ich das Pseudoverzeichnis nur
dann mounte, wenn ich meine Daten auch synchronisieren will.

Damit ist die (theoretische) Sicherheitslücke auch deutlich kleiner geworden :
spoensche hat geschrieben:Mal abgesehen davon, ist es sicherheitstechnisch gesehen ein no go.
Ich markiere das Thema jetzt mal als gelöst, weil ich mit dem Stand der Dinge leben kann. Ich danke Dir für Dein Engagement
und Deine Geduld.

Gruss H.
debian jessie-armv5tel Gnome (NAS)
debian jessie-64 KDE
PCLinuxOS

spoensche
Moderator
Moderator
Beiträge: 7395
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: [gelöst]NFS-Verbindung zu verschlüsselter Partition

Beitrag von spoensche » 22. Dez 2011, 18:30

Eine weitere Möglichkeit wäre noch ein "Bindmount". D.h., Wenn die Partition nach /Datenplatte gemountet worden ist kannst du sie per

Code: Alles auswählen

mount -o bind /Datenplatte /nfs4export/notebook
zusätzlich noch nach nfs4export mounten.

halo44
Hacker
Hacker
Beiträge: 602
Registriert: 27. Mai 2011, 19:55

Re: [gelöst]NFS-Verbindung zu verschlüsselter Partition

Beitrag von halo44 » 22. Dez 2011, 23:29

Danke für den Hinweis - funktioniert auch gut.

Gruss H.
debian jessie-armv5tel Gnome (NAS)
debian jessie-64 KDE
PCLinuxOS

Antworten