1.5.56 is the recommended production-ready release of OpenAFS for
Microsoft Windows users. It supports all Microsoft Windows operating
systems from Windows 2000 through Windows Vista SP1 and Windows Server
2008 including both 32-bit and 64-bit architectures. The 1.5.56
release continues the recent efforts at optimizing the performance of
the Windows client and improving its scalability.
[Quelle: Jeff via openafs-annouce]
Das waere zwar eigentlich eher ein Beitrag fuer einen privaten Weblog, doch da die Zielgruppe eher Technik-Menschen als Familienmitglieder und Freunde sind, veroeffentliche ich es hier. Alles fing mit einer einfachen Fragestellung an:
Wie bringe ich mein Notebook samt aller Daten sinnvoll und sicher ans andere Ende der Welt?
Ich bin kein grosser Freund von Festplattenverschluesselung, zumindest nicht mit den Wegen die ich bisher auf unixoiden Systemen (vornehmlich Debian mit dmcrypt) gesehen habe. Eine echte Alternative ist bitlocker in Verbindung mit Vista auch nicht, denn ich sehe nach wie vor keinen wirklichen Vorteil in einer komplett-Verschluesselung meines Betriebssystems. Ausserdem sehe ich in bitlocker nur dann einen Sinn, wenn ein Anmeldepasswort gewaehlt wird, was in unter 10min nicht einzugeben ist. Nein, das ist keine Alternative fuer mich. Die encryption in ZFS ist noch nicht offiziell als stable erklaert worden, also auch nicht wirklich eine Alternative, denn – zumindest ich – bin bei Verschluesselungssystemen lieber etwas uebervorsichtig mit non-release Software. Was bringt mir die Verschluesselung, wenn sie so gut ist, dass ich eines Tages selbst nicht mehr an meine Daten komme?
Kritische Daten liegen lokal nur in Kopien vor; sie sind dauerhaft im AFS gespeichert und somit auf mindestens zwei Volume-Servern gesichert. Ich vertraue OpenAFS und Kerberos weit genug, als dass ich sagen kann “das ist hinreichend sicher” – sowohl gegen Angriffe als auch gegen Zerstoerung oder Verlust. Eben diese kritischen Daten – selbst wenn die lokale Kopie potentiell outdated ist – gilt es allerdings zu schuetzen, denn diese Daten gehen niemanden etwas an. Nicht den netten Agent von der Homeland-Security, nicht den Spitzbuben der mir mein Notebook klaut und vor allem nicht den neugierigen Menschen der mein Notebook anguggt, falls ich mal nicht im Raum bin und vergessen habe das Ding zu sperren – gut, bisher alles noch nicht vorgekommen. Wie schuetze ich solche Daten? Eben durch Verschluesselung, oder aber in dem ich sie gar nicht auf der lokalen Festplatte durch die Botanik trage.
Weniger kritische Daten, z.B. meine iTunes Library sind normalerweise lokal direkt verfuegbar, als Backup allerdings auf externen Medien vorhanden. (Meine komplette CD-Sammlung neu einlesen is laestig aber machbar) – hier sehe ich absolut keinen Sinn in einer Verschluesselung. Ebenso wenig bei Working-Copies irgendwelcher OpenSource Repositories. Diese Daten sind 100%ig legal, nicht geheim – sogar nichtmal vertraulich.
Wenn ich mir den aktuellen Inhalt meiner Festplatte genauer ansehe, zaehle ich drei verschiedene Typen von Daten:
Insgesamt komme ich damit auf etwa 200GB.
Ein moeglicher Loesungsansatz ist – wie oben schon erwaehnt – Vista und bitlocker. Generell eine schoene Loesung, doch ich sehe einen Haken: sobald das Windows mal nicht mehr starten mag, kann ich nicht einfach ein grml per USB-Stick booten und meine Daten sichern. Das verschluesselte NTFS ist nicht lesbar, selbst wenn ich den Key kenne. Bei einer Rekonstruktion bin ich auf die Vista Installations-DVD angewiesen, doch mein Thinkpad X60s hat kein optisches Laufwerk.
Linux mit dmcrypt? Um ehrlich zu sein: der Aufwand ist mir zu hoch und die Kommandos zu kryptisch. Ausserdem habe ich keine Erfahrung damit, und debugging am Produktiv-System ohne Erfahrung moechte ich nicht erleben muessen. ZFS mit crypt … dito.
Was mir noch auszuprobieren bleibt ist dmcrypt via LUKS. Ich selbst habe keine Erfahrungen damit, doch das Folgende versetzt mich in “Probierlaune”:
Da das direkte Aufrufen von dm_crypt ein bisschen kompliziert ist, hat der Autor ein Programm namens „cryptsetup” geschrieben, welches den Zugriff vereinfacht.
Außerdem gibt es das Linux Unified Key Setup, kurz LUKS, welches zum einen die Möglichkeit bietet, bis zu 8 Passwörter für ein und die selbe Partiton/Container festzulegen, und zum anderen alle nötigen Informationen im Header der selbigen speichert und damit einen Transport der Daten auf ein anderes System möglich macht.
[Quelle: Michael Stapelberg]
Was bleibt? Truecrypt, z.B. – oder das “secure Drive” was IBM seinen Thinkpads schenkt. ThinkVantage habe ich bisher auf jedem Thinkpad gerne und problemlos genutzt. Nur ist leider die Groesse des “secure Drives” beschraenkt: 1GB pro Benutzer. Von den 200GB die ich oben gezaehlt habe, fallen in die dritte Kategorie allerdings nur wenige hundert Megabytes. Genug Platz waere also. Wie kann ich das Laufwerk schuetzen? In die ThinkVantage Client Security ist das wunderschoen integriert, d.h. ich kann sowohl Passwoerter als auch meinen Fingerabdruck nutzen – in beliebiger Kombination natuerlich. Ein Nachteil existiert natuerlich: das System funktioniert nur unter Windows. Aber grade in Bezug auf die Akku-Laufzeit und die selten gesehenen Steckdosen bzw. suendhaft teuren Adapter in Flugzeugen kann ich damit leben.
Was brauche ich also, wenn ich die Client Security nutzen?
Effektiv nur einen Zugang zum Internet um die heimische AFS-Zelle aufrufen zu koennen. Die notwendigen Keys fuer SSH, PGP und den VPN-Zugang sowie eine Auswahl der wichtigsten Firmen-Daten passen in die 1GB Grenze. Selbst wenn mir die Datei die hinter dem Laufwerk steht kaputt geht, sind immernoch alle Daten im AFS zu finden – stark gesichert und vor Verlust geschuetzt. Bis mir ein Netz-Zugang zur Verfuegung steht, bin ich etwas eingeschraenkt, aber wenn ich die Daten richtig auswaehle sollte das minimal sein.
Auf Dauer? Nicht wirklich – denn durch die boesen Unix-Strahlen™ die aus meinen Fingern kommen (zumindest nennt Dominik das so) lebt eine Windows-Installation bei mir nicht lange. Aber es geht in meinem Falle ja auch nur um die Ueberbrueckung von ein paar wenigen Wochen.
Ist das ein Loesungsansatz? Ich denke schon.
Hat ein Leser eine bessere Idee? Ich bitte um Feedback – in den Kommentaren oder gerne auch per Mail.
<shl> ich vermisse grade das struct-Element von Pascal
<blam> das nennt sich seit neustem “class”
Hier bitte ansehen.
(Der include-Code sieht etwas kaputt aus und macht nicht was er soll…)
Gefunden via Dominik bei globalnerdy.com
Danke für’s Update, Dominik.
|
521,063 |
|
815 |
|
470 |
|
54 |
