• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst]NFS-Verbindung zu verschlüsselter Partition

halo44

Hacker
Ich habe jetzt zunächst mal bei meinem Notebook eine Datenpartition nach dieser Anweisung http://de.opensuse.org/SDB:Sicherheit_Verschlüsselung_mit_LUKS verschlüsselt. Es funktioniert auch alles zur Zufriedenheit und auch problemlos, da ich für die verschlüsselte Partition das gleiche Passwort wie für meinen Useraccount gewählt habe.

Diese Partition habe ich bisher immer (unverschlüsselt) über NFSv4 von meinem Desktop aus mit rsync aktualisiert. Dies scheitert aber nun daran, dass auf dem Notebook die verschlüsselte Partition erst garnicht über das Pseudo-(Unter)-Verzeichnis bereitgestellt wird.

Ich habe zwar damit gerechnet, daß ich mich vom Desktop aus irgendwie "ausweisen" muß, nicht aber, daß der Notebook die Daten erst garnicht zur Verfügung stellt.

Die Pseudo-Verzeichnisse für NFSv4 habe ich erfolglos neu erstellt und auch in der /etc/fstat bereitgestellt.

Wie kann ich meinem Notebook meine Wünsche näher bringen?

Kann mir jemand (auf die Sprünge) helfen?

Gruss H.
 
OP
H

halo44

Hacker
>
UPDATE <<<<<<<<<

Ich habe den NFS-Server auf dem Notebook nochmal komplett neu eingerichtet und bin nun auch einen entscheidenden Schritt weiter gekommen. Leider aber noch nicht ganz dahin, wo ich hin will.

Belasse ich den Eintrag zur Freigabe unterhalb des Pseudo-Verzeichnisses für NFS in der /etc/fstab, so wird mir diese Freigabe auch beim Systemstart nicht gemountet.

Ich kann aber die Freigabe mounten, indem ich folgendes in die Konsole eingebe :

Code:
sudo mount /dev/mapper/_dev_sda8 /nfs4exports/datenpartition-notebook

Dann erreiche ich das verschlüsselte Verzeichnis im Notebook auch und kann es lesen und schreiben (der Benutzer auf dem Desktop und der auf dem Notebook haben das gleiche Passwort, welches identisch mit dem LUKS-Passwort ist).

Lieber hätte ich allerdings eine Lösung über die /etc/fstab und nicht den manuellen Mount-Befehl.

Muss ich den Eintrag in der /etc/fstab auf /dev/mapper/_dev_sda8 umstellen (was ich nicht ohne Euren Rat versuchen möchte)?

Gruss H.
 
OP
H

halo44

Hacker
gropiuskalle schrieb:
Wie sieht Deine fstab denn jetzt aus?

Hier meine fstab :

Code:
/dev/disk/by-id/ata-WDC_WD5000BPVT-22HXZT1_WD-WXG1A21S2983-part5	swap		swap	defaults 0 0 
/dev/disk/by-id/ata-WDC_WD5000BPVT-22HXZT1_WD-WXG1A21S2983-part6	/		ext4	acl,user_xattr 1 1 
/dev/disk/by-id/ata-WDC_WD5000BPVT-22HXZT1_WD-WXG1A21S2983-part7	/home		ext4	acl,user_xattr 1 2 
#/dev/disk/by-id/ata-WDC_WD5000BPVT-22HXZT1_WD-WXG1A21S2983-part8	/Datenpartition	ext4	acl,user_xattr 1 2 
proc	/proc	proc	defaults 0 0 
sysfs	/sys	sysfs	noauto 0 0 
debugfs	/sys/kernel/debug	debugfs	noauto 0 0 
usbfs	/proc/bus/usb	usbfs	noauto 0 0 
devpts	/dev/pts	devpts	mode=0620,gid=5 0 0 
#/Datenpartition 				/nfs4exports/datenpartition-notebook	none	rw,bind                   0 0 
linux-wgo1:/nfs4exports/datenpartition-desktop	/mnt/datenpartition-desktop		nfs	noauto,soft,timeo=10,user 0 0

Die erste auskommentierte Zeile war der fstab-Eintrag, als die Partition noch nicht verschlüsselt war. Jetzt darf sie nicht mehr aktiv sein, weil sonst das System mit der Meldung über ein defektes Volume (bad Superblock) nicht startet.

Die zweite auskommentierte Zeile kann auch aktiv bleiben. Sie bleibt auch dann ohne Wirkung.

Ich kann mit oder ohne diese Zeile nach Systemstart nach /nfs4exports/datenpartition-notebook mounten, wie in meinem zweiten Post geschrieben.

Gruss H.
 

spoensche

Moderator
Teammitglied
Du musst die Partition erst entschlüsselt mounten bevor du per NFS darauf zugreifen kannst. Ansonsten wirst du per NFS nicht an die Daten kommen.
 
OP
H

halo44

Hacker
spoensche schrieb:
Du musst die Partition erst entschlüsselt mounten bevor du per NFS darauf zugreifen kannst. Ansonsten wirst du per NFS nicht an die Daten kommen.

Mit dem mounten habe ich kein Problem. Wie oben schon gesagt, kann ich die verschlüsselte Partitition mit

Code:
sudo mount /dev/mapper/_dev_sda8 /nfs4exports/datenpartition-notebook
mounten. Ich kann sie dann auch mit rsync synchronisieren.

Was mich stört ist die nicht funktionierende Automatik aus der fstab. Beim Start aus einem Skript heraus ist andererseits die Partition natürlich nur dann für NFS bereit, wenn es nötig ist.

Gruss H.
 

spoensche

Moderator
Teammitglied
Hast du Cryptmount installiert? Wenn nicht, dann installiere es mal und dann sollte auch das autom. Mounten.
 
OP
H

halo44

Hacker
spoensche schrieb:
Hast du Cryptmount installiert? Wenn nicht, dann installiere es mal und dann sollte auch das autom. Mounten.

Cryptmount (auch cryptmount) findet mein YaST nicht.

Ich habe pam_mount installiert, wenn Du das meinst. Jedenfalls sollte dieses eigentlich die "Automatik" ermöglichen.

Gruss H.
 

spoensche

Moderator
Teammitglied
cryptmount heist das Paket bei Ubuntu und ist quasi pam_mount.

Du darfst in der fstab keine ext4 als Dateisystem angeben, sondern cryptfs bzw. luks. Die eigentliche Konfiguration wird allerdings in der /etc/crypttab getätigt
 
OP
H

halo44

Hacker
spoensche schrieb:
... Du darfst in der fstab keine ext4 als Dateisystem angeben, sondern cryptfs bzw. luks ...

Vielleicht reden wir aneinander vorbei.

Mein Problem ist nicht das Einbinden der verschlüsselten Partition in die laufende Sitzung. Dies funktioniert bereits prima ohne jeglichen Eintrag in der /etc/fstab.

Das regelt für mich der Eintrag

Code:
<volume fstype="crypt" path="dev/sda8" mountpoint="/Datenpartition" />
in der /etc/security/pam_mount.conf.xml.

Was ich vermisse ist die "automatische" Bereitstellung im Pseudoverzeichnis für den NFS-Server, so daß ich vom Desktop als
NFS-Client auf die verschlüsselte Partition zugreifen kann.

Händisch geht das, wie erwähnt, über

Code:
sudo mount /dev/mapper/_dev_sda8 /nfs4exports/datenpartition-notebook

Damit kann man leben, wenn auch die "Automatik" einfacher wäre.

Gruss H.
 

spoensche

Moderator
Teammitglied
Dann ändere den Mountpoint /Datenplatte doch einfach ab oder verpacke den Befehl in ein Script, das nach dem NFS-Server gestartet wird.

Du verstehst da etwas falsch. Der NFS-Server stellt, in der /etc/exports exportierte bzw. freigegebene Verzeichnisse im Netz bereit. Dies erfolgt mit dem Start des Netzwerks, also nach dem die Partitionen gemountet worden sind. Ausserdem darf nur Root mounten.

Mal abgesehen davon, ist es sicherheitstechnisch gesehen ein no go.
 
OP
H

halo44

Hacker
spoensche schrieb:
Dann ändere den Mountpoint /Datenplatte doch einfach ab ...

Das ist natürlich eine Lösung, die auch funktioniert. Leider müsste ich mich dann allerdings auf dem Notebook an einen anderen Pfad zu meinen Daten gewöhnen. Statt "/Datenpartition" nun "/nfs4exports/datenpartition-notebook". Die Pfade wären also auf Desktop und Notebook unterschiedlich.

spoensche schrieb:
... oder verpacke den Befehl in ein Script ...

Das mache ich auch jetzt schon, um nicht soviel tippen zu müssen. Das hat auch den Vorteil, daß ich das Pseudoverzeichnis nur
dann mounte, wenn ich meine Daten auch synchronisieren will.

Damit ist die (theoretische) Sicherheitslücke auch deutlich kleiner geworden :

spoensche schrieb:
Mal abgesehen davon, ist es sicherheitstechnisch gesehen ein no go.

Ich markiere das Thema jetzt mal als gelöst, weil ich mit dem Stand der Dinge leben kann. Ich danke Dir für Dein Engagement
und Deine Geduld.

Gruss H.
 

spoensche

Moderator
Teammitglied
Eine weitere Möglichkeit wäre noch ein "Bindmount". D.h., Wenn die Partition nach /Datenplatte gemountet worden ist kannst du sie per

Code:
mount -o bind /Datenplatte /nfs4export/notebook

zusätzlich noch nach nfs4export mounten.
 
Oben