LINUX.ORG.RU

Офисно-джентельмеский набор....

 , ,


2

2

Приветствую всех.. Появилась необходимость сообразить на троих офисный «насик» с возможностью хранения кофиденциальных данных
И все бы ничего.. Казалось бы... Дебиан с самбой поверх лвм который поверх лукса..
Но не так для меня все просто оказалось.
Грубое тз: надо чтобы в самбовой шаре один из каталогов был шифрованым.. т.е. при определенных обстоятельствах, доступ к нему был открыт определенной группе юзеров, а при других обстоятельствах - соответственно закрыт.

Проблема номер 1 - это использование шифрованного раздела под виндами. Подскажите, какие есть вменяемые способы реализации (клиенты) использования шифрованного раздела через самбу под виндой? или это должно реализовываться со стороны наса?

Проблема номер 2: было бы не плохо чтобы он включался-выключался при помощи какой-то двухэтапной схемы (типа пришла смска/почта/паш - ввел гдето код - все расшифровалось) нажал где-то кнопку - все зашифровалось.. нет сетевой активности - опять все зашифровалось..

Проблема номер 3 - не могу придумать - как шифрованый раздел всунуть в какой-то из каталогов на самбе: начнутся же пляски с АЦЛами и т.п., т.к. юзеров и групп много - настраивается сложный доступ для разных групп (да и много этих групп.. штук 30 - только ключевых, и в каждой не менее 4-5 дополнительных)

Есть у кого-то мысли на тему?
Или может есть описание каких-то готовых реализаций подобного толка?

Тут смешались кони и люди: шифрование и контроль доступа.

Сначала надо определиться, что надо шифровать, а что контролировать.

нажал где-то кнопку - все зашифровалось..

Эта кнопка называется Power.


Вообще, узнаю симптомы вахтёрства руководящего звена.
Кулстори: много лет назад владелец одного предприятия купил крутой NAS, который вот это всё делал: и рейд1, и шифрование, и контроль доступа по самбе методом «поинт-энд-тык».
По-моему, это был какой-то QNAP.

После того как все сверхсекретные данные предприятия были перенесены на него, владелец успешно отформатировал его в чистый ext4 раздел.
В некотором роде безопасность решения в этот момент устремилась в бесконечность: опасность несанкционированного доступа больше никогда не грозила этим данным.

aidaho ★★★★★ ()
Ответ на: комментарий от aidaho

Эта кнопка называется Power.

с удовольствием посмеялся бы, но кагбе не смешно...

симптомы вахтёрства руководящего звена.

это типа намек на что-то? ну и про кулстори - я аналогичных историй из своей практики с пяток припомнить смогу, и нагуглить с сотню..


а по сабжу - пока нагуглил yubikey который лукс умеет... может это и будет один из ответов на один из моих вопросов...

zelenij ()
Ответ на: комментарий от zelenij

Мне как-то все же eCryptfs более симпатичен для таких задач. Ну с бекапами проблем меньше и ненадо ничего зашифровывать обратно.

Но токен аппаратный конечно нужен.

Вроде как етокен к нему прикрутить пытались, но, как я понял, не взлетело. https://bugs.launchpad.net/ecryptfs/ bug/918083

а yubikey это, конечно, очень благородно, тока где его взять то?

Evgeniy_L ()