Passwort davfs2, Sicherheit

[AxelMD]

Hi,

nach folgenden Anleitung habe ich Webspace testweise in /home/user/mediencenter eingebunden:

http://anderes-en.de/blog.php?mode=view&blog=11

07.11.2009, 19:58 - T-Online Mediencenter mounten mit davfs2
Dieser Artikel beschreibt wie das T-Online Mediencenter unter Ubuntu 9.10 mit davfs2 gemountet werden kann. Das T-Online Mediencenter ist beim T-Online Freemail Account inclusive und damit komplett kostenlos nutzbar.

Beschreibung T-Online Mediencenter

Freemail Account buchen


Hier die einzellnen Schritte (getestet mit Ubuntu 9.10):


1. Paket davfs2 installieren:

thomas@mypc~$ sudo apt-get install davfs2


2. SUID bit für mount.davfs setzen:
Dies wird benötigt wenn man als User mounten möchte.

thomas@mypc~$ sudo chmod u+s /usr/sbin/mount.davfs
thomas@mypc~$ ls -l /usr/sbin/mount.davfs
-rwsr-xr-x 1 root root 126608 2009-06-22 20:02 /usr/sbin/mount.davfs


3. Eignen User der Gruppe davfs2 hinzufügen:
Dies wird ebenfalls benötigt wenn man als User mounten möchte.

thomas@mypc~$ sudo usermod -a -G davfs2 thomas
thomas@mypc~$ id
uid=1000(thomas) gid=1000(thomas) Gruppen=...(davfs2)...


4. Ordner zum mounten anlegen:
Dieser muss im eigenen Homedirectory sein, damit es als User mountbar ist.

thomas@mypc~$ mkdir ~/mediencenter


5. Eintrag in /etc/fstab hinzufügen:

thomas@mypc~$ sudo vi /etc/fstab
...
# T-Online Mediencenter
https://webdav.mediencenter.t-online.de/ /home/thomas/mediencenter davfs rw,noauto,user 0 0


6. Secrets File mit User/PW Credentials anlegen:
Beim T-Online Mediencenter ist die Email Adresse der Username und das Passwort ist das selbe wie beim Login im Web.

thomas@mypc~$ mkdir ~/.davfs2
thomas@mypc~$ touch ~/.davfs2/secrets
thomas@mypc~$ chmod 600 ~/.davfs2/secrets
thomas@mypc~$ vi ~/.davfs2/secrets
...
/home/thomas/mediencenter Username Password


7. Persönliche davfs2 Konfig anlegen:
Hier können noch Optimierungen an der davfs2 Konfig vorgenommen werden. Die von mir aufgelisteten Werte sind von mir erhoben und müssen nicht unbedingt perfekt sein. Einzig die Option "if_match_bug 1" (seit Version 1.4.0 nicht mehr default) muss gesetzt werden, damit der upload sauber funktioniert.

thomas@mypc~$ cp /etc/davfs2/davfs2.conf ~/.davfs2/
thomas@mypc~$ vi ~/.davfs2/davfs2.conf
...
if_match_bug 1
cache_size 1 # MiByte
table_size 4096
delay_upload 1
gui_optimize 1


8. Mounten:
Wenn man sich im Homedirectory befindet, kann man nun das Mediencenter ganz einfach wie folgt mounten.

thomas@mypc~$ mount mediencenter

Das wars, viel Erfolg beim ausprobieren!

Inwieweit beürcksichtigt diese Anleitung die erforderliche Sicherheit?
Sind Sicherheitslücken vorhanden?
Das Passwort wird nicht verschlüsselt gespeichert, kann man das. z. B irgendwo verschlüsselt ablegen?

MfG

AxelMD

[maieutike]

Ich denke das ist alles ein wenig zuviel des Guten. Man kann auch über gvfs (gnome) oder kio (kde) auf webdav(s) Speicher zugreifen. Bei beiden hast du die Möglichkeit das Passwort durch einen Manager abspeichern zu lassen oder auch nicht.

Für KDE einfach webdav://webdav.mediencenter.t-online.de/ im Dolphin oder Konqueror eingeben, unter Gnome davs://webdav.mediencenter.t-online.de/ im Nautilus bzw. unter Orte -> Verbindung zu Server ... -> Webdavs auswählen ; Server webdav.mediencenter.t-online.de usw.

So lange man darauf achtet SSL-Verbindungen zu benutzen, plus ein gutes Passwort, dann ist das eine sichere Sache. Das Umbiegen von Ausführungsrechten ist nicht sehr elegant, das Abspeichern von Passwörtern im Klartext ist hier nicht notwendig. Ist man anderswo dazu gezwungen, sollte man die Datei wenigsten unlesbar für andere und die Gruppe setzen (z.B. chmod 600).

[uname]

Besser wäre wenn der Provider SSL-Clientzertifikate anbieten würde. Musst sonst selbst hosten.

[AxelMD]

Hi,

das Gedanke mit der Einbindung in die fastab ist, ich möchte einen Treuecryptcontainer online einbinden.

Treucrypt kann vermutlich nicht direkt Netzlaufaufwerke einbinden, oder ich kann es nicht.

Eine Anleitung dazu:

http://infoblog.li/backups-verschluesse ... speichern/


Wenn ich den Webspace im klassischen Sinn mounte funktioniert das.

Truecrypt kann vermutlich nur "Drive Volumes" nutzen, wenn ich mit Konqueror einbinde ist es wohl kein echtes "Drive Volume" im Truecrypt-Sinn.


Deswegen auch dazu folgende Frage:

http://debianforum.de/forum/viewtopic.php?f=27&t=126625


Könnt Ihr mir da auch weiterhelfen?


MfG

AxelMD

[maieutike]

Ich habe gerade mal ein wenig mit den Möglichkeiten gespielt. Bei kio hab' ich auf die Schnelle keine Möglichkeit gefunden es auf der Konsole anzusprechen, dann probierte ich noch fusedav - ging nicht, ohne Fehler und ohne Meldung und offensichtlich ohne Funktion. Dann bin ich zu davfs2 gegangen und habe das nach dem HowTo ausprobiert - funktioniert.

Ich wollte aber des Truecrypt-Volume nicht direkt über das Netz mounten, sondern erst mit rsync mit einem lokalen Syncordner abgleichen und aus dem heraus das Volume mounten - funktioniert bis auf die Tatsache, dass er beim Hochladen die Synchronisation manchmal verschläft, ich schätze das liegt am Cache/der Geschwindigkeit bei davfs. Hier kann man aber noch weiter machen.

Also das obige HowTo ist schon ok, die Zugangsdaten sind relativ sicher und in den sauren Apfel mit suid-Bit muss man wohl beißen, wenns bequem sein soll.

Du kannst dir auch gern mal diesen Thread anschauen, da hat gbotti zum Schluß geschrieben, dass er so ein Script (Webdav, Truecrypt) selber benutzt.

lg,
maieutike