[linux-l] Netzwerk-Dateisysteme (was: Re: VPN)

Steffen Schulz pepe_ml at gmx.net
So Jan 30 15:14:41 CET 2011


On 110127 at 17:15, Thomas Schmidt wrote:
> >> Bei WebDav sieht das so aus:
> >> # mount -t davfs http://www.netaction.de/ deinLokalerPfad/
> >
> > Ja, aber wenn du eine grosse Datei aenderst, wird dann auch nur der
> > relevante Block aktualisiert? Ich habe dazu spontan nichts gefunden.
> 
> Kann ja, praktisch: nein. Das macht keine Implementierung.
> 
> Ist auch kaum nötig in Zeiten, in denen eh jedes Programm seine Daten
> bei Änderungen komplett neu schreibt. OpenOffice z.B.
> 
> Oder wolltest du über WebDav eine Datenbank >1MB mit vielen zufälligen
> Zugriffen fahren?


Konkret suchen wir(bzw. unser Admin fuer uns) gerade nach einer Loesung
fuer Nutzerverzeichnisse, bei denen der Client FS-basiert oder (besser)
Volume-basiert Verschluesselung macht.

1-2 dieser Verzeichnisse sollen wiederrum von mehreren gleichzeitig
nutzbar sein, da ist dann auch keine Verschluesselung noetig.

Fuer alle Verzeichnisse soll es access control(ldap) geben aber die
Nutzer sollen kein VPN instalieren/starten muessen.(Chefs sind faul.)

Clients sind Windows, Linux und OSX.

Ich sehe bisher im wesentlichen zwei Szenarien:

1)
- iSCSI zum Client und der Client macht TrueCrypt/DMcrypt/...
- public dirs ueber webdav

2)
- Alles per webdav und der Client legt image-files an


Problem mit 1) ist, dass iSCSI nicht sicher ist. Zwar werden die Daten
wiederrum verschluesselt, aber ein Angreifer koennte das
iSCSI-Protokoll manipulieren um die Nutzerverzeichnisse logisch kaputt
zu machen. Ausserdem muss man zwei verschiedene Loesungen fahren.

Problem mit 2) ist der random access innerhalb einzelner Dateien.
Generell kann man bei 1) ausserdem ein natives FS benutzen und aergert
sich nicht mit Datei-Rechten und -Eigenschaften rum.


Vorschlaege?

/steffen
-- 
System Security Lab                            web:  www.trust.cased.de
CASED / TU Darmstadt                           phone: +49 6151 16-75565
PGP Key Fingerprint = B805 57BE E4AF 0104 CC51 77A1 CE6F 8D46 A04D 7875



Mehr Informationen über die Mailingliste linux-l