RootForum Community

Script - Truecryptdatencontainer mounten bei FTP zugriff


System:
Linux
Debian

Infos:
Es läuft ein ProFTPd-Server,
Verbindung wird über SSL verschlüsselt,
verschlüsselten Datencontainier mit Truecrypt auf Festplatte erstellt

Frage:
Habe vor das, der Datencontainer immer dann gemountet wird,
wenn man sich auf den FTP einloggt, er ansonsten aber unmountet ist,
beim abmelden vom FTP sollte er auch wieder automatisch unmountet werden.
Der FTP greift natürlich auf den Datenkontainer zu.


Ist halt kacken wenn ich immer wenn ich oder wer anderes auf den FTP zugreifen will, man erst den container von hand mounten - unmounten muss.
So wäre es praktischer aber dennoch sicher.

Jemand ne idee zu einem Script oder ähnliches, wie ich das verwirklichen könnte?

Rein Theoretisch ginge sowas mittels pam_mount, allerdings waren das lokale Useranmeldungen, keine FTP anmeldungen.

Was bitte sind "FTP anmeldungen"? So lange man den FTP-Daemon via PAM authentifizieren lässt, ist pam_mount allererste Wahl.

ProFTPD arbeitet ganz vorzüglich mit PAM zusammen... also sollte pam_mount auch kein Thema sein. Die Frage ist, ob ich TrueCrypt-Volumes überhaupt per mount einbinden kann... AFAIK geht das aber nur über Truecrypt selbst; es müsste also beim Login ein entsprechendes Skript ausgeführt werden.

Wie auch immer, in jedem Fall müssten dafür aber die Credentials für den Container auf dem Server hinterlegt werden - das widerspricht doch eigentlich dem Sinn einer solchen Konstruktion...

Gut erkannt. ;)

Siehe auch http://www.rootforum.org/forum/viewtopic.php?t=44326

Irgendwas störte mich da noch am Gesamtbild - ach ja, wozu Daten mit hohem Aufwand verschlüsselt ablegen und dann ein unverschlüsseltes Übertragungsprotokoll verwenden :?:

jfreund wrote:und dann ein unverschlüsseltes Übertragungsprotokoll verwenden :?:

Hast Du so wenig Vertrauen in SSL, daß Du es schon als "unverschlüsselt" ansehen würdest? ;-)

Ouch, überlesen. :oops:

Na ja, der Paranoiker in mir sagt: Bisher konnte nicht mathematisch nachgewiesen werden, dass es für RSA kein Verfahren gibt, mit dem entweder auf die Klartext-Nachricht oder auf den private Schlüssel gefolgert werden kann, ohne dabei auf Ausprobieren angewiesen zu sein - man nimmt es derzeit nur an (wobei ich diese Annahme für hinreichend gut halten würde)