Configuration du chiffrement pour Linux NAS?

4

Il y a un bazillion de HOWTOs de chiffrement de disque dur, mais je n'arrive pas à en trouver un qui fasse ce que je veux. Lequel est:

J'ai un NAS domestique sous Ubuntu, accessible par un client Linux et Win XP. (Si tout va bien bientôt sous MacOS X ...), je souhaite configurer le chiffrement des répertoires personnels sur le NAS pour que:

  • Il n'interfère pas avec le processus de démarrage (puisque le NAS est rangé dans une armoire),
  • les répertoires de base doivent être accessibles en tant que système de fichiers standard sur le ou les clients (par exemple, via SMB),
  • il est facile à utiliser par des personnes «normales» (il n'est donc pas nécessaire que SSH soit connecté au NAS, montez la partition chiffrée sur la ligne de commande, puis connectez-vous via SMB, et enfin démontez la partition une fois que vous avez terminé. expliquer cela à ma mère, ou à qui que ce soit.)
  • ne stocke pas la clé de cryptage du NAS lui-même,
  • chiffre les métadonnées et le contenu du fichier (c.-à-d. qu'il est protégé contre l'attaque «RIAA», où un intrus ne devrait pas être en mesure d'identifier les chansons de votre collection MP3).

Ce que j'espérais faire était d'utiliser Samba + PAM. L'idée était que lors de la connexion au serveur SMB, je devrais entrer le mot de passe sur le client, qui l'enverrait au serveur pour l'authentification. la session était fermée. Il s'avère que cela ne fonctionne pas vraiment, parce que SMB ne transmet pas le mot de passe en clair et par conséquent, je ne peux pas configurer PAM pour qu'il utilise le mot de passe entrant pour monter la version cryptée.

Alors ... tout ce que je néglige? Est-il possible d'utiliser le mot de passe saisi sur le client (par exemple, lors d'une connexion SMB) pour lancer le montage du répertoire chiffré sur le serveur?

linux ubuntu encryption nas
la source

Réponses:

1

On dirait qu'il pourrait y avoir une solution plus simple.

Je possède également un NAS (DNS-323 dans mon cas).

La solution suggérée est d'installer TrueCrypt et mettre en place (selon ce tutoriel ) pour ouvrir le volume chiffré lorsqu'un fichier de clé (situé sur une clé USB) est présent.

De cette façon, le volume chiffré est monté au démarrage, uniquement si le fichier est présent.

De toute évidence, votre solution consistant à monter le volume au niveau de la connexion SMB semble optimale, mais personnellement, je ne le fais pas souvent à mon volume. Je préfère me connecter via SCP, SSH, UPnP. En utilisant la solution susmentionnée, les données sont toujours sécurisées par la clé USB et chaque protocole peut être utilisé pour y accéder.

Riduidel
la source
2
Je ne pense pas que cette recommandation soit correcte, l’intérêt de chiffrer un lecteur est d’empêcher l’accès physique aux données. Si la clé est présente sur l'ordinateur et qu'aucun mot de passe n'est utilisé pour le démarrage, à quoi sert-il de chiffrer la boîte? Tirer la clé si la police frappe à la porte? Et s'ils entrent quand personne n'est à la maison?
t.mikael.d
0

Regardez, à mon humble avis, le meilleur (et le plus simple) moyen de faire fonctionner Samba avec LDAP, PAM et l’authentification des utilisateurs consiste à utiliser un dérivé d’Ubuntu appelé Zentyal (www.zentyal.org). Je ne me souviens pas si il a l'option de chiffrer les dossiers de départ, mais l'option truecrypt sonne plutôt bien.

Donc, essayez d'utiliser le tutoriel ci-dessus sur l'utilisation de TrueCrypt et utilisez Zentyal pour le reste.

De plus, vous pouvez l'utiliser comme passerelle pour accéder à Internet. L'installation d'un VPN est très simple.

Désistement juridique: Je ne suis aucunement affilié à Zentyal, je suis juste un utilisateur très satisfait.

Tiago Fassoni
la source