linux-l: Welches LINUX?

[Florian Cramer]

Am Fri, 05.Oct.2001 um 15:30:33 +0200 schrieb Sebastian Rother:
 
> CFS wird auf der Firewall und auf dem PC eingesetzt, der alle Dienste
> bereitstellt.
> Dies würde beide Rechner vor "Offline Manipulationen" schützen. (oder?)

Nicht unbedingt. CVS mountet verschlüsselte Verzeichnisse auf
/crypt/[mountpoint], die dann für den Benutzer zugänglich sind, der den
Mount per "cattach" ausgeführt hat. Hackt sich jemand auf Deinen Rechner
und loggt sich auf die User-ID desjenigen ein, der CFS gemountet hat,
kommt er trotzdem an alle Daten heran.

Noch ein paar Probleme:

- Die CFS-Daten stehen wirklich nur _einem_ Benutzer zur Verfügung,
  unabhängig davon, welche Benutzerrechte du setzt.

- Der cattach-Befehl muß manuell eingegeben und mit Passwort bestätigt
  werden. D.h. nach jedem Reboot ist Handarbeit angesagt, damit Dein
  System läuft.

- Da alles unter /crypt liegt, mußt Du entsprechende Symlinks im
  Dateisystem setzen.

- Und: CFS funktioniert nur in Verbindung mit einem NFS-Server (Kernel
  oder Userspace). Du eliminierst eine Sicherheitslücke und schaffst
  eine neue.

- Und schließlich: CFS funktioniert nicht mit Dateien, die 8-bit-Zeichen
  enthalten. Solche Dateien liegen als Leichen im CFS-Verzeichnis und
  können nicht gelöscht werden. Hierüber wären eventuelle
  Angriffsszenarien denkbar, wenn CFS z.B. Logdateien bzw.
  Temporär-Dateien verwaltet.

Florian

-- 
http://userpage.fu-berlin.de/~cantsin/homepage/
http://www.complit.fu-berlin.de/institut/lehrpersonal/cramer.html
GnuPG/PGP public key ID 3200C7BA 
"c u in he][l][avan" (mez, _Viro.Logic Condition][ing][ 1.1_)