Schreibrechte zum lesen? Experimente mit encfs

[rowlar]

Hallo,

ich habe wohl ein Verständnisproblem mit den Rechten.
Ich habe mit encfs for Windows einen Ordner auf dem NAS01 angelegt und dort verschlüsselte Dateien abgelegt. Das sieht so aus:

Code: Select all

8iWuVbWg4nXLgqxGoavw 1017.91 MiB File 	2010/11/19 02:06      -rw-r--r-- 	
DvLMQZ,b1rWJe7AfxxiKvk8t 19.18 KiB File 	2013/10/25 17:46      -rw-r--r-- 	
YDwCupXO1NdYm-DqAHEwRxGS 603 Bytes File 	2013/07/10 05:32      -rw-r--r--

Dann habe ich einen Snapshot davon mittles send|recieve auf NAS02 geschickt:

Code: Select all

8iWuVbWg4nXLgqxGoavw             1017.91 MiB   	Datei 	19.11.2010 02:06 	-rw-r--r-- 	
DvLMQZ,b1rWJe7AfxxiKvk8t 				119.18 KiB   	Datei 	25.10.2013 17:46 	-rw-r--r-- 	
YDwCupXO1NdYm-DqAHEwRxGS		 		 603 Bytes   	Datei 	10.07.2013 05:32 	-rw-r--r--

Und richtig: Der User und die Gruppe von NAS01 exisitieren nicht auf NAS02. Beim User wird die ID angezeigt, bei der Gruppe allerdings der richtige Gruppenname (von NAS01). Beides im Reiter Sicherheit in Windows 7 64.

Ich habe den Ordner auf NAS02 unter windows mit encfs gemountet und habe die entschlüsselten Dateien angezeigt bekommen. Allerdings konnte ich sie nicht öffnen (Systemressource exisiert nicht).

Nach langem unerfahrenen herumdoktern habe ich folgendes gemacht:

Code: Select all

YDwCupXO1NdYm-DqAHEwRxGS 	603 Bytes   	Datei 	10.07.2013 05:32 	-rw-rw-r--

Ich habe bei der Gruppe die Schreibrechte gesetzt und konnte die Datei problemlos öffnen. Mit Schreibrechten bei "other" funktioniert das nicht.

Warum ist das so?



NAS01: Billigboard als Testsystem
NAS02: VM-Testsystem
Client: Windows 7 pro 64 bit

[Princo]

Warum ist das so?

Das von dir beschriebene Verhalten ist völlig korrekt.
Wenn man zwei vertrauenswürdige Systeme rechtemäßig miteinander "verheiraten" möchte, ist darauf zu achten, daß auf beiden Systemen die jeweiligen User-IDs und die jeweiligen Group-IDs identisch sind.

Weshalb das bei dir mit den Schreibrechten für "other" nicht funktioniert, weiß ich nicht genau (weil ich es nicht selbst ausprobiert habe), aber das könnte durchaus mit der Funktionsweise von EncFS zu tun haben.

Laut Wikipedia arbeitet EncFS immer mit zwei Verzeichnissen: einem, in dem die verschlüsselten Dateien liegen, und einem anderen, wo die unverschlüsselten Dateien angezeigt werden.

Ich weiß jetzt nicht genau, wie das experimentelle EncFS for Windows im Einzelnen funktioniert, aber so, wie es für mich aussieht, geht es nicht nur darum, daß "other" Schreibzugriff auf die Datei braucht, sondern daß "other" das Verzeichnis für die unverschlüsselten Dateien anlegen darf, und das hat wiederum nichts mit den Rechten auf die verschlüsselte Datei/Verzeichnis zu tun.

Ähh, ich hoffe, daß ich das einigermaßen verständlich ausgedrückt habe.

Wenn ich http://members.ferrara.linux.it/freddy77/encfs.html richtig verstanden habe, dann kannst du auch bei EncFS selber angeben, wo "crypt_dir" und "plain_dir" liegen sollen. "plain-dir" sollte dann dort liegen, wo "other" auch einen Schreibzugriff hat.

Ich habe das jetzt selbst nicht ausprobiert, glaube aber, daß dir dieser Hinweis weiterhelfen wird.

Zu EncFS solltest du übrigens http://wiki.ubuntuusers.de/EncFS zur Kenntnis nehmen. Ich meine dort speziell den Text in der "Achtung!"-Sektion.

Grüße
Princo

[rowlar]

Hi Princo,

zunächst mal danke für die Antwort.

zu 1:
das habe ich geahnt, mir ging es zuerst umd die Realisierung eines send|recieve was nicht einfach war

zu 2:
siehe zu 4

zu 3:
unter Windows ist das ein Laufwerksbuchstabe. Ich werde mal nachforschen wo da noch ein Verzeichnis ist.

zu 4:
Das erklärt einiges. Möglicherweise "erinnert" sich encfs for Windows an die Gruppe (die wird ja mit vollem Namen unter windows angezeigt) und lässt other per se nicht zu.

Danke für den Hinweis auf ubuntu. Das ist aber nicht so schlimm. Ich plane die Datensicherung innerhalb verschiedener Server der Familie, da ist niemand Cryptoexperte. Es geht nur darum, die Dateien als Backup verschlüsselt auf einem anderen (Familien-) Server abzulegen und bei Bedarf auch einen schnellen Zugriff darauf zu haben. Wie auch immer aber möglichst problemlos. PEFS auf nas4free ist noch etwas heavy für mich zur Zeit, auch müsste immer PEFS auf dem Backup-Server laufen (um eben sofort an die Daten zu kommen).

Hst du oder jemand anders noch eine Idee wie man dateiweise Verschlüsslung von Windows aus realisieren kann?

Gruß
rowlar

[Princo]

mir ging es zuerst umd die Realisierung eines send|recieve was nicht einfach war

Cool, send/receive ist, meiner Meinung nach, eine der besten Funktionen von ZFS. Damit kann man fantastische Dinge machen, welche bei anderen Dateisystemen gar nicht möglich sind. Hier hatte ich mal beschrieben, wie man ein komplettes NAS auf ein zweites NAS 1:1 synchronisiert.

Ich plane die Datensicherung innerhalb verschiedener Server der Familie, da ist niemand Cryptoexperte. Es geht nur darum, die Dateien als Backup verschlüsselt auf einem anderen (Familien-) Server abzulegen und bei Bedarf auch einen schnellen Zugriff darauf zu haben. Wie auch immer aber möglichst problemlos.

Das ja mal etwas wirklich Neues
"Verschiedene Server der Familie" ist mir bisher noch nicht so häufig untergekommen
Grundsätzlich ist ein verteiltes, mehrfaches Ablegen (verschüsselter) wichtiger Daten eine gute Idee, wenn man es dabei schafft, den Überblick zu behalten

In vielen Fällen setzt man ja ein NAS4Free-System jedoch ein, um zentral genügend (sicheren) Speicherplatz bereitzustellen,
damit man eben nicht diese vielen kleinen Systeme hat.

Hst du oder jemand anders noch eine Idee wie man dateiweise Verschlüsslung von Windows aus realisieren kann?

Auch wenn du nach dateiweiser Verschlüsselung unter Windows gefragt hast, ist ein Blick auf http://wiki.ubuntuusers.de/Daten_verschl%C3%BCsseln
nicht verkehrt.
Dort werden ungeknackte Verfahren vorgestellt, und viele davon sind für mehrere Platformen (also auch für Windows) verfügbar. EncFS taucht da übrigens auch auf.
Welches Verfahren für dich jetzt sinnvoll ist, kann man aus der Ferne schlecht beurteilen.
Ich persönlich würde fast immer ein Verfahren bevorzugen, welches für mehrere Systeme verfügbar ist, und auf OpenSource basiert.
Daß der Einsatz von Verschlüsselungssystemen zu unerwarteten Problemen führen kann, hast du ja bereits bei EncFS gemerkt (wobei das dort eher ein triviales Problem ist).
Im Übrigen würde ich den Einsatz von Verschüsselung eher vermeiden, wenn der gewünschte Zweck auch auf anderen Wegen erreicht werden kann (habe auch schonmal ein wichtiges Passwort vergessen, obwohl ich es jahrelang täglich verwendete. Es war einfach aus meinem Gedächtnis weg )
Grüße
Princo

[rowlar]

"Verschiedene Server der Familie" ist mir bisher noch nicht so häufig untergekommen
Grundsätzlich ist ein verteiltes, mehrfaches Ablegen (verschüsselter) wichtiger Daten eine gute Idee, wenn man es dabei schafft, den Überblick zu behalten

In vielen Fällen setzt man ja ein NAS4Free-System jedoch ein, um zentral genügend (sicheren) Speicherplatz bereitzustellen,
damit man eben nicht diese vielen kleinen Systeme hat.

Familie im Sinne von mehreren Familien die verwandt sind
Jede Familie hat ihren zentralen Server und der dient den anderen als externer (übers Internet) Backup-Server.

Auch ich bin kein Freund von verschlüsselten "eigenen Dateien" wie es die c't mal als Hybrid-Backup vorgeschlagen hat. Open-Source ist eh Voraussetzung, ich verlasse mich bei so heiklen Themen nicht auf eine Firma.

Ich lese mich jetzt mal in deine Links ein.

[Princo]

Familie im Sinne von mehreren Familien die verwandt sind
Jede Familie hat ihren zentralen Server und der dient den anderen als externer (übers Internet) Backup-Server.

Das ist ein ausgesprochen interessantes Szenario.
Im Grunde ist das eine ideale Basis für eine verteilte Datensicherung der vernetzten Systeme untereinander.
Jetzt kapiere ich auch so langsam, worauf du mit einer Ausgangsfrage hinaus wolltest
Da du von mehreren Familien sprichst, gehe ich von mindestens drei aus.
Ich weiß jetzt nicht, ob die alle ein NAS4Free-System haben, und wie eure Netzwerkgeschwindigkeiten sind, aber jetzt verstehe ich das mit dem Einsatz von EncFS etwas besser, und das scheint mir ein durchaus praktikabler Ansatz zu sein.

Auch ich bin kein Freund von verschlüsselten "eigenen Dateien" wie es die c't mal als Hybrid-Backup vorgeschlagen hat.

Nun, dazu müßte man das bei dir noch mal etwas genauer aufdröseln.
Geht es dir darum, daß eure Daten bei den anderen Familien gegenseitig verschlüsselt abgelegt werden, oder sollen eure eigenen Daten auch bei euch verschlüsselt abgespeichert sein?
Grüße
Princo

[rowlar]

Jetzt kapiere ich auch so langsam, worauf du mit einer Ausgangsfrage hinaus wolltest

Eigentlich wollte ich das Faß noch nicht aufmachen so grün wie ich bin, hehe.

Geht es dir darum, daß eure Daten bei den anderen Familien gegenseitig verschlüsselt abgelegt werden, oder sollen eure eigenen Daten auch bei euch verschlüsselt abgespeichert sein?

In der Tat sind drei Standorte mit nas4free-Servern geplant. Nur die externen Backup-Daten sollten verschlüsselt sein.
die Idee ist sich im besten Fall bei einem GAU einfach auf dem fremden System einzuloggen und seine Daten aus dem Backup abzurufen. Daher das "... möglichst problemlos ..."

encfs bietet sich da an weil es sehr transparent plattformübergreifend arbeitet. Es funktioniert unter Windows bei mir sehr gut. Allerdings ist es langsam. Es lastet zwei Xeon-Kerne voll aus und die Transferrate auf das NAS bricht teilweise auf unter 30 MByte/s ein. Da habe ich jedoch noch keine Vergleichsdaten mit anderen Verfahren.
Es gibt einen Port fuse-encfs doch habe ich irgenwo gelesen (sorry kein link) fuse und FreeBSD harmonieren nicht gut miteinander. Ausserdem hat der Port keinen Maintainer und die angekündigte Version 2.0 ist nicht erschienen.

Bei PEFs bin ich erst mal an der Installation gescheitert weil im neuen nas4free Release (NAS4Free 9.3.0.2.1213) erst das package-System fehlte (das habe ich hinbekommen) und dann "kldload pefs" nichts bewirkte.

ecryptfs wäre es wohl gewesen, gibt es aber nicht für FreeBSD.

Was denkst du, ein send | recieve eines unverschlüsselten snapshots in einen (zfs)-verschlüsselten übertragen? Wäre das sinnvoll? Könnte ich mich da, entsprechende Rechte vorausgesetzt, auf dem fremden System einloggen und meine Daten abholen? Wäre dieses Backup vor dem fremden Admin "sicher"?
Dieses Szenario setzt allerdings einen fetten Prozessor voraus und es muß eben ein Serversystem vorgehalten werden. Aber erst mal egal.

Gruß
rowlar

edit: NAS4Free 9.3.0.2.1310 in NAS4Free 9.3.0.2.1213 geändert