os4_software

                                      cfs


 BACK ..

 Ein verschlüsseltes Verzeichnis das nicht einmal root betreten darf.
 ====================================================================



 siehe auch: "http://www.net-tex.de/unix/crypto.html"



 cfs unter FreeBSD
 -----------------

 Einrichtung:
 Zuerst installiert man cfs als Package oder mit cd /usr/ports/security/cfs && make install clean
 aus der Portscollection.

 Als nächstes muss der cfsd eingerichtet und gestartet werden.
 Dazu fügt man in /etc/exports die Zeile
 /var/tmp/crypt localhost
 ein um nur dem Localhost Zugriff auf dieses Verzeichniss zu geben.

 Nun benötigen wir NFS und starten es mit portmap und mountd in /etc/rc.conf folgendermassen:
 single_mountd_enable="YES"
 mountd_flags="-r"
 rpc_lockd_enable="YES"          # Run NFS rpc.lockd needed for client/server.
 rpc_statd_enable="YES"          # Run NFS rpc.statd needed for client/server.
 rpcbind_enable="YES"            # Run the portmapper service (YES/NO).

 mkdir -p /home/crypt
 mkdir -p /var/tmp/crypt

 Um das Dateisystem direkt im Bootprozess zu mounten, fügen wir eine Zeile in die Datei
 /usr/local/etc/rc.d/cfsd.sh
 ein, direkt vor der Zeile mit "exit 0".
 mount -o port=3049,intr,nfsv2 localhost:/var/tmp/crypt /home/crypt

 Wobei /home/crypt der Pfad ist unter dem das cfs die Daten verschlüsselt ablegt.

 Nun starten wir den Rechner neu oder führen die entsprechenden Start-/Stop-Scripte aus:
   /etc/rc.d/rpcbind stop
   /etc/rc.d/mountd stop
   /etc/rc.d/nfsd stop
   /etc/rc.d/nfsserver stop
 /etc/rc.d/rpcbind start
 /etc/rc.d/mountd start
 /etc/rc.d/nfsd start
 /etc/rc.d/nfsserver start
 /usr/local/etc/rc.d/cfsd.sh start

 und beginnen mit dem einrichten des eigentlichen cfs.

 Jetzt als User im Homeverzeichnis!

 Wir basteln jetzt ein Verzeichnis in das die verschlüsselten Daten kommen mit
 cmkdir crypted (für triple DES)
 cmkdir -b crypted (für Blowfish)
 (ab 1.4.0 heisst cmkdir cfs_mkdir)
 Ich erwähne noch einmal das die Passphrase ordentlich gewa:hlt sein sollte!

 Nun binden wir es ins verschlüsselte Dateisystem mit
 cattach crypted verschluesseltesArbeitsverzeichnis
 oder
 cattach crypted verschluesseltesArbeitsverzeichnis

 (statt cattach evtl. cfs_attach verwenden)
 Nun existiert das Verzeichnis
 /home/crypt/verschluesseltesArbeitsverzeichnis
 das nicht einmal root betreten darf.

 Man kann auf diese Art mehrere sichere Verzeichnisse anlegen, die alle unter
 /home/crypt/
 auftauchen. Um bequem darauf zugreifen zu können, kann man einen Link ins Homeverzeichnis
 legen:
 ln -s /home/crypt/verschluesseltesArbeitsverzeichnis sicheredaten

 Um das eingebundene und verschlüsselte Verzeichnis wieder auszubinden verwendet man den
 Befehl cdetach / cfs_detach
 cdetach verschluesseltesArbeitsverzeichnis


   [IMG]