linux-l: Welches LINUX?
Florian Cramer
cantsin at zedat.fu-berlin.de
Sa Okt 6 19:19:50 CEST 2001
Am Fri, 05.Oct.2001 um 15:30:33 +0200 schrieb Sebastian Rother:
> CFS wird auf der Firewall und auf dem PC eingesetzt, der alle Dienste
> bereitstellt.
> Dies würde beide Rechner vor "Offline Manipulationen" schützen. (oder?)
Nicht unbedingt. CVS mountet verschlüsselte Verzeichnisse auf
/crypt/[mountpoint], die dann für den Benutzer zugänglich sind, der den
Mount per "cattach" ausgeführt hat. Hackt sich jemand auf Deinen Rechner
und loggt sich auf die User-ID desjenigen ein, der CFS gemountet hat,
kommt er trotzdem an alle Daten heran.
Noch ein paar Probleme:
- Die CFS-Daten stehen wirklich nur _einem_ Benutzer zur Verfügung,
unabhängig davon, welche Benutzerrechte du setzt.
- Der cattach-Befehl muß manuell eingegeben und mit Passwort bestätigt
werden. D.h. nach jedem Reboot ist Handarbeit angesagt, damit Dein
System läuft.
- Da alles unter /crypt liegt, mußt Du entsprechende Symlinks im
Dateisystem setzen.
- Und: CFS funktioniert nur in Verbindung mit einem NFS-Server (Kernel
oder Userspace). Du eliminierst eine Sicherheitslücke und schaffst
eine neue.
- Und schließlich: CFS funktioniert nicht mit Dateien, die 8-bit-Zeichen
enthalten. Solche Dateien liegen als Leichen im CFS-Verzeichnis und
können nicht gelöscht werden. Hierüber wären eventuelle
Angriffsszenarien denkbar, wenn CFS z.B. Logdateien bzw.
Temporär-Dateien verwaltet.
Florian
--
http://userpage.fu-berlin.de/~cantsin/homepage/
http://www.complit.fu-berlin.de/institut/lehrpersonal/cramer.html
GnuPG/PGP public key ID 3200C7BA
"c u in he][l][avan" (mez, _Viro.Logic Condition][ing][ 1.1_)
Mehr Informationen über die Mailingliste linux-l