4

Существует несколько миллиардов HOWTO по шифрованию жесткого диска, но почему-то я не могу найти тот, который действительно делает то, что я хочу. Который:

У меня есть домашний NAS под управлением Ubuntu, доступ к которому получают клиенты Linux и Win XP. (Надеюсь, MacOS X скоро ...) Я хочу настроить шифрование для домашних каталогов на NAS, чтобы:

  • Это не мешает процессу загрузки (поскольку NAS он спрятан в шкафу),
  • домашние каталоги должны быть доступны как обычная файловая система на клиенте (ах) (например, через SMB),
  • его легко использовать «обычным» людям (поэтому он не требует SSH-подключения к NAS, монтирует зашифрованный раздел в командной строке, затем подключается через SMB и, наконец, размонтирует раздел после завершения работы. Я не могу объяснить это моей маме или вообще никому.)
  • не хранит ключ шифрования самого NAS,
  • шифрует метаданные и контент файла (т.е. защищен от атаки «RIAA», когда злоумышленник не может определить, какие песни находятся в вашей коллекции MP3).

Я надеялся использовать Samba + PAM. Идея заключалась в том, что при подключении к серверу SMB мне нужно будет ввести пароль на клиенте, который отправит его на сервер для аутентификации, который будет использовать пароль для монтирования раздела encrpytion и снова отключит его, когда сессия была закрыта. Оказывается, это не работает, потому что SMB не передает пароль в виде простого сообщения, и, следовательно, я не могу настроить PAM для использования входящего пароля для монтирования зашифрованного патента.

Итак ... что-то я пропускаю? Есть ли способ, которым я могу использовать пароль, введенный на клиенте (например, при подключении SMB), чтобы инициировать монтирование зашифрованного каталога на сервере?

2 ответа2

1

Похоже, что может быть более простое решение.

У меня также есть NAS (DNS-323 в моем случае).

Предложенное решение состоит в том, чтобы установить TrueCrypt и настроить (в соответствии с этим руководством) на открытие зашифрованного тома при наличии ключевого файла (расположенного на USB-ключе).

Таким образом, зашифрованный том монтируется при загрузке, только если присутствует ключевой файл.

Очевидно, что ваше решение монтировать том в SMB-соединении кажется оптимальным, но я лично не часто использую SMB для своего тома. Я предпочитаю подключаться через SCP, SSH, UPnP. Используя вышеупомянутое решение, данные все еще защищены ключом USB, и любой и любой протокол может быть использован для доступа к нему.

0

Посмотрите, IMHO, лучший (и самый простой) способ заставить Samba работать с LDAP, PAM и аутентификацией пользователей - это использовать производное Ubuntu под названием Zentyal (www.zentyal.org). Я не помню, есть ли у нее опция шифрования домашних папок, но опция truecrypt звучит довольно мило.

Итак, попробуйте использовать учебник выше по использованию TrueCrypt и используйте Zentyal для остальных.

Кроме того, вы можете использовать его в качестве шлюза для доступа к Интернету, и VPN очень легко настроить через него.

Правовая оговорка: я никоим образом не связан с Zentyal, просто очень довольный пользователь.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .