HD Verschluesselung mit Admin Account

[roli]

Hi,

es gibt ja diverse Tools um ganze Partitionen bzw. einzelne Verzeichnisse zu verschlüsseln. Gibt es eigentlich Tools, die (ich nenne es jetzt mal so) einen Admin und einen/mehrere User Accounts haben?
Hintergrund: ich moechte fuer mich und meine Kollegen ein Linux Image (fuer Notebooks) erstellen bei dem die Daten in einem Verschluesselten Bereich liegen. Zur Sicherheit haette ich gerne sowas wie einen Admin Account, mit dem ich auch auf die vom User erstellten "Crypto Container" zugreifen kann. Gibt's sowas ueberhaupt?

Danke

[KingBonecrusher]

Da sollte Luks gute Dienste leisten.

Code: Alles auswählen

luksAddKey <device> [<new key file>]

              add a new key file/passphrase. An  existing  passphrase  or  key
              file  (via  --key-file)  must be supplied. The key file with the
              new material is supplied as after luksAddKey as positional argu‐
              ment. <options> can be [--key-file].

[roli]

Hi,

ich werde es mir ansehen, aber was du mir da so schreibst, hat fuer mich nicht den Anschein, als das ich da quasi mit zwei verschiedenen Usern (mit jeweils eigenem Passwort) auf die Daten in dem "Crypto Container" zugreifen kann. Aber jetzt ist erstmal lesen angesagt.

Danke

[123456]

...einen Admin Account, mit dem ich auch auf die vom User erstellten "Crypto Container" zugreifen kann. Gibt's sowas ueberhaupt?

Weiss nicht, aber was gehen Dich denn die Inhalte der Container der User an?

[roli]

Weiss nicht, aber was gehen Dich denn die Inhalte der Container der User an?

Vom Prinzip her nix, das wolltest du doch hoeren , aber ...
Es handelt sich um Firmennotebooks, da sie nicht zur privat Nutzung freigegeben sind, "gehoert der Inhalt" der Firma. Daher suche ich nach einer Moeglichkeit, an die Daten sicher herankommen zu koennen. Ausserdem werden/würden die User in solch einem Fall benachrichtigt. Ausserdem handelt es sich um Notebooks, Fernwartung haben/wollen wir nicht, so das schon deshalb ein physischer Zugriff noetig waere.

[123456]

Weiss nicht, aber was gehen Dich denn die Inhalte der Container der User an?

Vom Prinzip her nix, das wolltest du doch hoeren , aber ...
Es handelt sich um Firmennotebooks, da sie nicht zur privat Nutzung freigegeben sind, "gehoert der Inhalt" der Firma. Daher suche ich nach einer Moeglichkeit, an die Daten sicher herankommen zu koennen. Ausserdem werden/würden die User in solch einem Fall benachrichtigt. Ausserdem handelt es sich um Notebooks, Fernwartung haben/wollen wir nicht, so das schon deshalb ein physischer Zugriff noetig waere.

Dann machs Dir einfach und richte bsp. truecrpyt ein und vergebe selber ein Passwort, das Du dem Mitarbeiter dann mitteilst...

[roli]

Dann machs Dir einfach und richte bsp. truecrpyt ein und vergebe selber ein Passwort, das Du dem Mitarbeiter dann mitteilst...

Dann muesste ich dem User aber, wie auch immer, die Moeglichkeit zum aendern des Passwortes nehmen. Wie ich das anstellen sollte ist mir schleierhaft.
Ausserdem haette ich schon gerne ein PWD das der User nach seinem Gusto vergeben kann, dann merkt sie/er sich das auch hoffentlich. Zusaetzlich wuerde ich halt fuer alle Rechner gerne ein Admin Passwort vergeben.

[KingBonecrusher]

Was Du suchst ist defenitiv Luks, habe damit ebenfalls unser Firmennotebook eingerichtet. Ich habe den Adminschlüssel, und jeder Mitarbeiter kann sich mit seinem Passwort anmelden. Das bietet Debian glaube sogar bei der Installation. Später fügst Du einfach einen 2ten Benutzerschlüssel hinzu, den kannst Du sogar wieder sperren. Gute Sache....

http://forum.ubuntuusers.de/topic/37676/

[Lohengrin]

Es handelt sich um Firmennotebooks, da sie nicht zur privat Nutzung freigegeben sind, "gehoert der Inhalt" der Firma. Daher suche ich nach einer Moeglichkeit, an die Daten sicher herankommen zu koennen. Ausserdem werden/würden die User in solch einem Fall benachrichtigt.

Da gibt es nur zwei Möglichkeiten.
1) Du versuchst technisch zu verhindern, dass der Benuzter etwas tut, was du nicht mehr in der Hand hast. Keylogger usw. Das funktioniert nur halbwegs, wenn der Benutzer nicht weiß, was gespielt wird. Benachrichtigung passt nicht zu diesem Konzept.
2) Du verlangst vom Benutzer, dass er dir eine Hintertür offenlässt, zB dass er dein Passwort bei LUKS nicht rausschmeißt.

[KingBonecrusher]

Soviel ich weiss, kann ein Benutzer dass Adminpasswort nicht löschen, oder sollte ich da irren? Ausserdem sollte ein Benutzer keine root Rechte erlangen...!

[roli]

2) Du verlangst vom Benutzer, dass er dir eine Hintertür offenlässt, zB dass er dein Passwort bei LUKS nicht rausschmeißt.

Ohne es jetzt wuenschen zu wollen, aber es ist auch schon vorgekommen, das Menschen vor dem erreichen der Rente, einfach so (Herzinfarkt, Unfall, was weiss ich), gestorben sind. Die haben das dann zwar vielleicht gemacht, nur findet man dummerweise den Zettel mit dem Passwort nicht, und dann?
Da ist mir ein Admin Account lieber.

[Lohengrin]

Soviel ich weiss, kann ein Benutzer dass Adminpasswort nicht löschen, oder sollte ich da irren? Ausserdem sollte ein Benutzer keine root Rechte erlangen...!

Wenn der Benutzer eine verschlüsselte Partition einbinden will, braucht er root-Recht, oder zumindest ein Skript, das ihm diese Partition einbindet. Bei Debian mit allem außer /boot in einem dmcrypt-Container und LVM darin kommt beim Booten eine Abfrage dieses Passworts.
Der Benutzer hat ein Passwort, mit dem er von Knoppix aus das Luks verwalten kann. Er kann damit andere Luks-Passwörter rauswerfen.
Wenn man das verhindern will, muss man schon trixen. Man könnte ein Skript schreiben, das das Benutzer-Passwort mit einem nur dem Administrator bekanntem Passwort zusammentut (und hasht), und dann dieses Konstrukt als Luks-Passwort nimmt. Dann könnte der Benutzer immernoch etwas mit gpg Verschlüsseltes speichern. Dagegen hilft nur ein Keylogger...

[Lohengrin]

2) Du verlangst vom Benutzer, dass er dir eine Hintertür offenlässt, zB dass er dein Passwort bei LUKS nicht rausschmeißt.

Ohne es jetzt wuenschen zu wollen, aber es ist auch schon vorgekommen, das Menschen vor dem erreichen der Rente, einfach so (Herzinfarkt, Unfall, was weiss ich), gestorben sind. Die haben das dann zwar vielleicht gemacht, nur findet man dummerweise den Zettel mit dem Passwort nicht, und dann?
Da ist mir ein Admin Account lieber.

Dann sag dem Benutzer, dass er dein Luks-Passwort nicht rausschmeißen darf. Es dürfen bis zu acht (glaube ich) Passwörter eingegeben werden. Das erste ist deins, und das soll er nicht verändern oder rausschmeißen.

[KingBonecrusher]

So, habe gerade mal getestet. Du hast wie mein Vorredner bereits sagte 8 Schlüssel Slots. Und LEIDER kannst Du wie auch bereits gesagt mit einem Schlüssel alles verwalten. Es wäre ein leichtes den 1ten Schlüssel in Slot0 zu löschen, bzw. neu zu vergeben. Ich dachte der wäre geschützt

[roli]

Mhh,

das ist ja bloed. Aber was soll's, solange es keine "bessere" Loesung gibt, wird dann wohl noch eine Arbeitsanweisung mit den Notebooks ausgegeben, die die Leute unterschreiben muessen.