root ausperren

[thyrver]

Zitat:

Original geschrieben von citizen428
Wenn ich mich richtig erinnere ist das was du willst mittels SELinux möglich. Zumindest kann man damit auch root einiges verbieten.

http://www.unix-open.de/O/151/Y/85317/default.aspx

Ansonsten: zum Thema verschlüsseln bist du nur auf Cryptoloop eingegangen, aber was ist mit GPG? Deine Passphrase wird root ja hoffentlich nicht kennen...

Danke für den Link zum Thema SELinux, das ist mir zwar auch eingefallen, allerdings nie, wenn ich am PC gesessen bin

GPG ist doch Public/Private Key Verschlüsselung. D.h. ich muss den Private Key irgendwo aufbewahren, und darauf hat root ja Zugriff, zumindest wenn der Schlüssel lokal am Rechner liegt. Aber du hast Recht, ich bin zuwenig auf Cryptografie eingangen:
Cryptografie muss in meinen Augen, neben einigermassen sicher, auch zukünftig noch implementiert sein. Und ich tendiere dazu, dass ich glaube, dass das allgemein eher für betriebsystemnahe Implementierungen zutrifft. (GPG ist dafür ein gutes Beispiel, den dafür wirds noch lange Software geben. Betriebsystemnahe is es nicht.)

Apropos GPG: Weil mir das gerade so einfällt. Wie geht ihr den eigentlich mit euren privaten Schlüsseln um? Am Arbeitsplatz auf der Platte ist der ja nicht in den besten Händen, und nochweniger auf irgendwelchen Netzwerklaufwerken. USB-Sticks halten nicht ewig, wenn die mal hin sind, ist der Schlüssel futsch (was schlecht ist, falls der public Key auf einem Keyserver liegt)

[citizen428]

Zitat:

Original geschrieben von fabsi
D.h. ich muss den Private Key irgendwo aufbewahren, und darauf hat root ja Zugriff, zumindest wenn der Schlüssel lokal am Rechner liegt.

Trotzdem hat der PK (hoffentlich) eine Passphrase, und solange man die nicht kennt, hilft einem der Key alleine auch nicht wirklich.

Zitat:

Apropos GPG: Weil mir das gerade so einfällt. Wie geht ihr den eigentlich mit euren privaten Schlüsseln um?

Hab ihn auf der Platte und regelmässige Backups auf CD-R. Ausserdem (nach leidvoller Erfahrung) noch ein extra Backup vom Revocation Key, damit man einen Key wenigstens vom Keyserver kriegt, wenn er einem schon verloren geht...

[Flink]

Zitat:

Original geschrieben von fabsi
GPG ist doch Public/Private Key Verschlüsselung. D.h. ich muss den Private Key irgendwo aufbewahren, und darauf hat root ja Zugriff, zumindest wenn der Schlüssel lokal am Rechner liegt.

Der GPG-key wird meines Wissens nach ebenso verschlüsselt abgelegt. Erst mit der Eingabe eines Paßworts wird es möglich, diesen GPG-key auch zu verwenden. Und wenn Root dieses Paßwort nicht kennt, kann er mit diesem Key nichts anfangen.

[citizen428]

Zitat:

Original geschrieben von Flink
Der GPG-key wird meines Wissens nach ebenso verschlüsselt abgelegt. Erst mit der Eingabe eines Paßworts wird es möglich, diesen GPG-key auch zu verwenden.

Genaus aus diesem Grund hab ich auch schon zwei mal die Passphrase erwähnt die Root hoffentlich nicht kennt.

[Deftones]

ich weis ja nicht welche daten du schützen willst oder musst denke mal das muss ja wirklich streng geheime daten sein.. naja egal... warum speicherst du die daten nicht auf nen usb-stick ? oder dvd-rw ?
diskette wird denke mal zu klein sein ... oder so ?? da kann dir dann keiner deine daten anschauen oder sonst was ..

mfg
deftones

[thyrver]

Das Problem ist, das ich einen usb-stick wie ein cryptoloop Laufwerk mounten muss, und damit hat neben dem user wieder root drauf zugriff. Das gilt übrigends auch ähnlich für mit gpg verschlüsselte Daten: Um sie zu benutzen muss man sie entschlüsseln, und dann liegen sie wieder im Klartext auf dem Dateisystem und root könnte sie einlesen.

Es stimmt natürlich, dass man, um einen mit dem Public-Key verschlüsselten Inhalt zu entschlüsseln, den Privat-Key UND ein Passwort braucht, und nicht bloß den Privat Key. Hatte ich vergessen.