vserver, kernel module & encrypted container

[needlz]

hi,

ich habe einen vserver (server4you) mit debian 3.1 & kernel 2.4.20-021stab028.18.777-enterprise (yep is etwas komisch *g*).

nun möchte ich einen encrypted container erstellen, welcher aber unter anderem gewisse kernel module (dm-mod, dm-crypt etc.) benötigt, die mein vserver nicht bestitz.

was würded ihr vorschlagen, wie ich am besten an diese komme?
kann man bei einem vserver einfach eine neue kernel-src downloaden und die dann compilen (somit haette ich auch die dazu passenden module)?

oder gibts ne andere (kostenlose) methode, um verschlüsslete container zu erstellen?

thanks im voraus..

gruss,
needlz

[lord_pinhead]

*hust*
In dem Vserver hast du keine Rechte über den Kernel, das steht in der FAQ. Also keine Chance auf die losetup Version ;)
*hust*

[oxygen]

Das ist so nicht korrekt.
Er kann sich die passenden Kernel Sourcen runterladen und die Module bauen und installieren... das funktioniert dann auch. Den Kernel muss er ja gar nicht austauschen.

[captaincrunch]

Im Falle dieser vServer-Technologie ("auszuprobieren" mit Hilfe von OpenVZ) muss das Hostsystem aber noch die passenden Devices "durchreichen". Daher passt die Aussage schon ganz gut.

[Roger Wilco]

oder gibts ne andere (kostenlose) methode, um verschlüsslete container zu erstellen?

Da reine Kernellösungen (loop-aes, cryptoloop, dm-crypt) aus den genannten Gründen ausscheiden, gäbe es z. B. noch EncFS (basiert auf FUSE) und TrueCrypt.

[needlz]

danke viel mal fuer die antworten!
ich werd mich mal EncFS und TrueCrypt befassen :)

schoenen abend noch.

gruss
needlz

[needlz]

so, leider komme ich mit diesen alternativen auch nicht weiter, da

a) TrueCrypt benoetigt mind. kernel version 2.6.5 oder hoeher (ich habe 2.4.20-021stab028.18.777-enterprise)

b) encfs (bzw. FUSE) benötigt die kernel src's

auf http://www.infoanarchy.org/wiki/index.p ... edirect=no
habe ich einige alternativen gefunden, doch ich glaube die brauchen alle auch irgendwelche kernel srcs/module oder aehnliches..ausser vielleicht bestcrypt, was aber nicht opensource ist :/

ich versuchs sonst mal mit einer aelteren truecrypt version..vielleicht hab ich so glück :)

edit: truecrypt für linux gibt es erst seit version 4.0..und auch diese version benötigte kernel 2.6.5

[fubbel]

Hi,

ich kenne derzeit eigentlich keine alternative.
Möchte jedoch etwas konstruktive Kritik an deinem Vorhaben üben....

Ich kann den Sinn eines Containers verstehen um Daten zu schützen.
Auf einem VServer stelle ich mir jedoch die Frage ob das sinnvoll ist.

Solange der Container nicht gemountet ist, sollte auch keiner darauf zugreifen können. Sobald der Container jedoch gemountet ist, würde ich sagen, das der Container auch über das Hostsystem zugänglich ist. Ein Keylogger für den VServer aus dem Host heraus sollte nicht weiter schwer sein... (Vllt üblich? keine ahnung?)

Da aus dem Host der Container eigentlich nicht schwer "einzusehen" ist, stelle ich mir die Frage vor wem ich den Container noch schützen will?

[lord_pinhead]

Da die SSH Verbindung ja in der VServer umgebung erst wieder klartext wird, nicht um Hostsystem selbst, müsste der Admin in der VServer umgebung ein Keylogger installieren, das wäre schon recht auffällig oder was meinst du.

[captaincrunch]

Ein richtig eingebauter Keylogger ist alles andere als auffällig...wer "Privatsphäre" braucht, ist halt besonders mit einem vServer auf der ganz falschen Seite.

[encbladexp]

oder gibts ne andere (kostenlose) methode, um verschlüsslete container zu erstellen?

Was meinst du mit "verschlüsselter Container"?

Meinst du das dein Linux Kernel ein verschlüsseltes Dateisystem verwenden soll? Dann könnte vielleicht (wenn auch net sexy, aber könnte gehen) UML (User Mode Linux) eine möglichkeit sein, damit könntest du unter deinem vServer noch ein Linux installieren, welches im Usermode läuft, dein vServer muss dann halt nur noch die Pakete zwischen inet->uml hin und her routen...

Keine ahnung ob das so klapt wie ich mir das vorstelle..

mfg Betz Stefan

[Roger Wilco]

Mir erschließt sich der Zusammenhang zwischen UML (oder einer Virtualisierungslösung) und einem verschlüsselten Container nicht so ganz...

Davon abgesehen kann der OP die Idee mit dem UML auf einem VServer nicht umsetzen.

[encbladexp]

Mir erschließt sich der Zusammenhang zwischen UML (oder einer Virtualisierungslösung) und einem verschlüsselten Container nicht so ganz...

Es wurde aber noch nicht erklärt was ein "verschlüsselter Container" sein soll... Soll das ein verschlüsseltes Dateisystem sein, oder wie soll ich mir das vorstellen?...

Davon abgesehen kann der OP die Idee mit dem UML auf einem VServer nicht umsetzen.

Also auf einem vServer kann man sehr wohl auch ein UML starten? Ist ja auch nur ein userspace programm...

mfg Betz Stefan

[Roger Wilco]

Es wurde aber noch nicht erklärt was ein "verschlüsselter Container" sein soll

Eine verschlüsselte Partition (etwa mit loop-aes, dm-crypt) oder eine Containerdatei, in der die Daten veschlüsselt gespeichert werden (EncFS, TrueCrypt, GnuPG).

Also auf einem vServer kann man sehr wohl auch ein UML starten? Ist ja auch nur ein userspace programm...

Zeig mir bitte eine UML-Instanz ohne entsprechende Unterstützung im Host-Kernel.

[encbladexp]

Eine verschlüsselte Partition (etwa mit loop-aes, dm-crypt) oder eine Containerdatei, in der die Daten veschlüsselt gespeichert werden (EncFS, TrueCrypt, GnuPG).

Ok, sowas nativ zu verwenden geht nur mit Kernel Support... Aber vielleicht kann der Kollege ja die Kernel Headers usw. installieren, die bei seinem vserver dabei sind/dazu gehören...

Es gibt bestimmt net möglichkeit sowas zu machen, wenn es nur ein modul ist...

Zeig mir bitte eine UML-Instanz ohne entsprechende Unterstützung im Host-Kernel.

Guckst du hier:
http://user-mode-linux.sourceforge.net
http://user-mode-linux.sourceforge.net/networking.html

Es gibt dabei auch noch verschiedene Network Transports, da sollte auch für seinen fall was dabei sein... (ggf. tuntap oder so)...

mfg Betz Stefan
PS: User Mode Linux läuft auch ohne modifizierten Kernel

[needlz]

:)
danke fuer die vielen antworten.
ich moechte eine containerdatei, die meine daten verschlüsslet aufbewahrt und bei bedarf gemountet/unmounted werden kann.

die kernel headers kann ich nicht installieren...
1. finde ich die kernel headers, die genau zu meinem passen nicht
2. muesste ich die ja irgendwie compilen..und dazu fehlen mir irgendwelche devices..

:(