PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : pam_mount + dm_crypt



soilent
06.09.04, 23:53
Hi,

Hab mein ganzes Homeverzeichnis mittels dm_crypt verschlüsselt. Ver- und entschlüsseln klappt auch alles. Nur jetzt möchte ich ein bißchen Automatismus hineinbringen. Das könnte man pam_mount einsetzen (oder gibt's da noch was anders ?).Aber das haut einfach nicht hin. Ich habe laut Anleitung den volume key mit meinem Accountpasswort verschlüsselt. und alles in /etc/security angepasst.

Hab in der pam_mount.conf folgendes eingetragen, sonst alles belassen:
volume <user> crypt - /dev/<hd_home> /home/<user> user,exec,encryption=aes-256-ecb aes-256-ecb /home/.key


Hat sich mit dem Thema zufallig schonmal jemand befasst ?
:confused:

soilent
10.09.04, 21:57
Hi,

das mit pam_mount hab ich leider nicht hinbekommen. Als Alternative hab ich das ganze nun über ein Startup - Skript geregelt. Das klappt auch so ganz gut da ich ja eh der einzige User auf dem System bin. Was an dem Skript noch fehlt ist beispielsweise eine "Falsches Passwort" -Ausnahmebehandlung. Aber für den Anfang müsste es langen ;). Es soll auch lediglich als Anregung dienen.

Ich habe zuerst folgendes gemacht:
Einen volume key erzeugt:

dd if=/dev/urandom of=volume_key.txt bs=1c count=32

Anschließend diesen mit dem Passwort meines Users verschlüsselt
(kann auch ein anders Passwort sein, aber egal) :

cat volume_key.txt | openssl enc -e -aes-256-ecb -out /home/.key

Den Volumekey sollte man evtl. weiter verschlüsseln mit evtl. gnupg und dann sicher aufbewahren.

Das Skript lasse ich dann mit rc-update add mount_home default beim booten starten.
Man wird nun beim booten nach einem Passwort gefragt. So wie ich mir das immer gewünscht habe :D .


Hier das Skript:


#!/sbin/runscript

hash=ripemd160
user=soilent
cipher=aes-ecb-256
keysize=256
partition=/dev/hda4
keyfile=/home/.key
tempfile=/home/.temp


depend() {
after xdm
}

start() {
ebegin "mount crypted home"
openssl enc -d -aes-256-ecb -in $keyfile > $tempfile
cryptsetup -h $hash -y create $user -c $cipher -s $keysize $partition -d $tempfile
shred -uvzx $tempfile 2> /dev/null
mount -t ext3 /dev/mapper/$user /home/$user
}

stop() {
ebegin "unmounting crypted home"
}
# vim:ts=4


Ich hoffe ihr könnt damit was anfangen.

greets,

soilent