Passwort für Tar-Archive

Hallo Leuts,

habe bereits nach dem thema gegoogelt, hab aber nichts brauchbares gefunden.
ich würde gerne ein mit dem tar erstelltes archiv mit einem passwort verschlüsseln. so wie ich gesehen habe, bietet der tar selbst nichts in dieser richtung an.
eine eventuelle möglichkeit wäre, das tar-archiv (was auch auf jeden fall eins bleiben muss), nochmals in ein zip-archiv zu verpacken und dieses halt mit nem passwort zu verschlüsseln. dies würde ich aber eher als letzte möglichkeit in betracht ziehen. hat einer ne bessere idee? nur bitte nicht mit gpg, dass ist einfach zu mächtig und zu kompliziert für meine zwecke. denke eher an verschlüsselungen die suse 9.3 vielleicht von hause aus mitbringt.


greets
tsj

was soll denn die "Verschlüsselung von Suse" sein? aber da tar afaik keine Möglichkeiten mitliefert bleibt Dir nicht viel anderes übrig als

entweder a/ den Container nachträglich zu verschlüsseln
oder b/ in den Container nur verschlüsselte Daten zu schreiben.

TeXpert schrieb:

was soll denn die "Verschlüsselung von Suse" sein?

Zum Vergrößern anklicken....

dachte an sowas wie crypt oder mcrypt...hatte ich in einem anderem forum gelesen...kennt suse aber wohl nicht.

dann wird mir wohl nichts anderes übrig bleiben als version a zu nehmen.

Kgpg!
Von kompliziert kann da eigentlich keine Rede sein.

Wenn Kgpg installiert ist:
Datei mit der rechten Maustaste anklicken => Aktionen => Datei verschlüsseln => unter "Optionen" evtl. symmetrische Verschlüsselung wählen und ab dafür.

Oder muss es ein reiner Konsolenweg sein?

Alternativ kannst du deine sensiblen Daten auch in einem verschlüsselten Dateisystem lagern:
http://sman.informatik.htw-dresden.de/doc/manual.9.3/suselinux-adminguide_de/html/sec.cryptofs.html

Griffin schrieb:

Kgpg!
Von kompliziert kann da eigentlich keine Rede sein.

Zum Vergrößern anklicken....

Wenn erst einmal ein Schlüssel mit Kgpg (KDE) oder gpa (GNOME) eingerichtet wurde, dann kann man ganz einfach mit: ein verschlüsseltes tar-Archive erzeugen. (Recipient=Name oder dessen Abkürzung in dem neuen Schlüssel). Es lohnt sich also, einmal in die Manpage von gpg zu schauen.

das ist toll, dass man das mit kpgp machen kann, aber leider (oder auch zum glück) muss ich den konsolenweg gehen, da es sich um einen server handelt, auf dem keine grafische oberfläche läuft.

das was ich von gpg in der konsole gesehen habe, möchte ich nicht unbedingt einsetzen....das ist nämlich sehr kompliziert und scheinbar auch zeitaufwendig, glaubt man den anderen foren bzw. forumsusern.

GPG kann auch auch der Konsole Symetrsich verschlüsseln! Der Schalter heißt -c (oder --symetric).

Wenns nicht unbedingt tar sein muss: dar kann von Hause aus verschlüsseln.


Fertig. Geht auch Batchmodus.

es geht ja nichtmal darum ob synchron oder asynchron, das wäre mir ja noch egal, wobei synchron hier mehr sinn macht. es geht mir um den aufwand, gpg noch auf dem server zu installieren...letztendlich liefe es darauf hinaus, dass ich mit kanonen auf spatzen schieße!

der share, auf dem die backups liegen (wohlbemerkt, dass es sich um ein netzwerk ohne internetzugang handelt) fragt sowieso nach passwort ab. die verschlüsselung der archive soll nur nochmals zusätzliche sicherheit bieten, es ist kein muss, aber ein wunsch von mir selbst. der tar ist vorgegeben, denn muss ich nehmen. wenn ich aber mit zip nochmals drüber gehen würde, um das ganze zu verschlüsseln, dass könnte ich rechtfertigen und das wäre in ordnung. ist allerdings doppelter zeitverbrauch bei der sicherung und dies wollte ich ursprünglich vermeiden.

dann definier doch mal die "Sicherheit" die Du erreichen willst

joka schrieb:

Wenn erst einmal ein Schlüssel mit Kgpg (KDE) oder gpa (GNOME) eingerichtet wurde, dann kann man ganz einfach mit:

Code:

tar -zcf - $TarArgs | gpg --batch --yes -r $Recipient -o $Archive.tgz.asc -e

ein verschlüsseltes tar-Archive erzeugen. (Recipient=Name oder dessen Abkürzung in dem neuen Schlüssel).

Zum Vergrößern anklicken....

P.S.: den obigen Aufruf verwende ich selbst zu Backupzwecken.
Da mit dem öffentlichen Schlüssel verschlüsselt wird, braucht dabei kein Passwort eingegeben zu werden.

Ein Schlüsselbund für gpg (also was unter ~/.gpg steht) ist übertragbar, könnte also auf einem Rechner mit GUI erstellt und dann auf einen Server kopiert werden. gpg ist ein Standardpaket in SuSE.

ich dachte eigentlich, dass ich die sicherheit die ich haben will definiert hätte in meinem letzten beitrag.

der share wo die sicherungen liegen ist sowieso mit pw gesichert. ich will nur nochmal zusätzliche sicherheit durch den pw-schutz fürs archiv. macht sinn....

was willst Du verhindern?


a/ die User dürfen nicht daran? -> dafür hast Du doch die Filerechte konfiguriert, also reicht.

b/ niemand soll an die Backups kommen (auch wenn jemand physischen oder erweiterten Zugriff auf das System hat dann solltest Du Dir wirklich über gpg oder über ein verschlüsseltes Loop-Device nachdenken, dass nur sporadisch gemountet wird, nachdenken.

es ist eher variante a...

die sicherungsdateien werden auf einen passwortgeschützten share gelegt (share-level). dies ist quasi im netz (ohne internet) ein public ftp, auf den alle dürfen.

die sicherung wird vom server1 erstellt und auf server2 gespeichert, da server1 kein sicherungslaufwerk (streamer) hat. server1 ist nur für administratoren zugänglich, diese werden die entsprechenden passwörter alle kennen. die anderen user aber nicht.

mir geht es darum, dass falls jemand das pw vom share knackt, er noch lange nicht an die daten kommt, die auf dem server1 gespeichert sind (durch das backup), denn server1 wird hat ein anderes pw als der share und das archiv, also ist auch der missbrauch auf dem server1 selbst gesichert.

hab ich das jetzt klar erkärt? ist ein bissl undurchsichtig...

damit sollte klar sein, dass eine asynchrone verschlüsselung als auch überhaupt die verschlüsselung über gpg zu übertrieben wäre, denn eigentlich sind die "normalen" user alle DAUs...

das ist ein flashces Sicherheitsgefühl. Wer auf den Share kommt kann auch ZIP-Files knacken *punkt*

Wenn das System nicht sicher ist, dann mach es sicher, z.B. mit on demand gemounteten verschlüsselten Partitionen.

ich bestreite auch nicht, dass ein zip-verschlüsseltes file nicht knackbar ist....grundsätzlich ist nur die frage wie lange es dauert.

für die zip-verschlüsselung kann ich aber durchaus 20-stellige kryptische schlüssel wählen, dass kann ich beim share nicht, denn auf denn auf den share muss man öfter mal drauf, an das archiv nicht! ich weiss zwar generell nicht als wie sicher gzip zählt, aber wenn der schlüssel nicht gerade aus irgendeinem block ausgelesen werden kann, sitzt ein rechner oder auch eine workstation ein bissl länger dran das via brute-force zu knacken, nech...