Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: Nico - 27.09.08 - klo:15.39
-
Olisi tarvetta kansiolle johon pääsisi vain salasanalla. Sellainen johon on muuten kaikki oikeudet mutta kun sitä napasuttaa avatakseen niin täytyisi salasanalla varmentaa ja jos esim. tekstinkäsittelyohjelmalla avaa tai sinne tallentaa niin olisi salasanatarkistus, voiko sellaista tehdä? Ei mitään piilotettua kansiota vaan ihan näkyvä mutta salasanalla suojattu.
Tuollainen ohjelma kuin Crypt Keeper löytyi mutta se oli ihan lelu. Sama asia jos itse tekee kansion ja laittaa nimen eteen pisteen. Open offisella tuon "salatun" kansion tiedostot sai avattua ilman mitään suojauksia eli ihan lelu ohjelma.
-
Tuollainen ohjelma kuin Crypt Keeper löytyi mutta se oli ihan lelu.
Mitään tietoa asiasta, mutta Google löysi tällaisen.
"Add some secret ninja power to your Ubuntu system today with Easy Crypt. With only a right click you can open or close a ‘top secret’ file, protected by military grade encryption (AES 512-bit Whirlpool)."
http://ubuntuguru.wordpress.com/2007/12/01/how-to-keep-secret-with-easy-crypt/
Ystävällisin terveisin Asmo Koskinen.
-
Mitään tietoa asiasta, mutta Google löysi tällaisen.
Lisää googletusta.
"Creates a virtual encrypted disk within a file and mounts it as a real disk."
http://www.truecrypt.org/
http://wiki.ubuntu-fi.org/Salaus
Ystävällisin terveisin Asmo Koskinen.
-
Tuo ei oikein ole sitä mitä haen. Tiedostoja ei tarvitse kryptata mitenkään. Kotikansioon vain pari kansiota jotka olisivat salasanan takana (tai muulla helpolla tavalla pääsemättömissä). Kansiot saavat olla näkyvissä eikä sisältöä tarvitse kryptata, mutta pääsy niiden sisältöön olisi estettävä ilman salasanaa. Työskentelyn ajaksi kansion lukituksen voisi avata ja sulkea kun lopettaa työskentelyn, jotain tuollaista simppeliä?
-
jotain tuollaista simppeliä?
Niin no - ehkä hakemiston oikeuksien järjestely ryhmien suhteen riittäisi. Vain ryhmään kuuluvat voivat käsitellä hakemiston tiedostoja.
man chown, man chgrp
Ystävällisin terveisin Asmo Koskinen.
-
Merkillistä ettei ole niinkään yksinkertaista toimintoa tai pikkuohjelmaa jolla voisi luoda salasanalla suojatun kansion. Kryptausta ja muuta sellaista kyllä löytyy. Simppeli salasanalla auki kansio ja tiedostot käytettävissä ja kansion sulkeminen palauttaisi lukituksen. Minun puhelimellakin voi luoda tuollaisen salasanasuojatun kansion, mutta ei Ubuntulla?
-
Merkillistä ettei ole niinkään yksinkertaista toimintoa tai pikkuohjelmaa jolla voisi luoda salasanalla suojatun kansion.
Eikö käyttäjätunnukset ole salasanan takana? Minun ymmärtääkseni vuosikymmenten takaa tuleva idea käyttäjistä ja ryhmistä, joilla on on oikeuksia (tai ei ole) tiedostoihin ja hakemistoihin, on ihan toimiva konsepti edelleen?
Ystävällisin terveisin Asmo Koskinen.
-
Merkillistä ettei ole niinkään yksinkertaista toimintoa tai pikkuohjelmaa jolla voisi luoda salasanalla suojatun kansion. Kryptausta ja muuta sellaista kyllä löytyy. Simppeli salasanalla auki kansio ja tiedostot käytettävissä ja kansion sulkeminen palauttaisi lukituksen. Minun puhelimellakin voi luoda tuollaisen salasanasuojatun kansion, mutta ei Ubuntulla?
Tämä puute johtuu siitä, että kyseisellä toiminnolla ei ole mitään virkaa, siitä ei ole mitään hyötyä. Jos haluaa estää tietokoneen muita käyttäjiä näkemästä tiedostoa, on Linuxissa sitä varten hyvin kattavat tiedostojen oikeudet. Jos haluaa, ettei kukaan oikeasti halua päästä käsiksi tiedostoihin, on sitä varten salausohjelmia.
-
Yhdyn edellisiin. Luot vain kansion, johon ainoastaan sinun ryhmälläsi on oikeus. Ja jos haluat jakaa kansiotasi muillekin (esim. tilapäisessä mielenhäiriössä), lisäät vain muita käyttäjiä ryhmääsi.
-
Luulenpa että kysymys on siitä että samalla tunnuksella on useampi ihminen konetta käyttämässä ja isäntä haluaa turvata juttujaan esim perheen pienimmiltä.
Minunkin mielestäni on rasittavaa aina varmuudeksi kirjautua ulos koneelta turvatakseen asioita.
Sitten pitäisi vielä säätää joka käyttäjälle omat tilit ja säätää ne toimimaan.
Jos olisi yksi kansio jonka voisi lukita niin pääsisi paljon helpommalla.
-
Jos olisi yksi kansio jonka voisi lukita niin pääsisi paljon helpommalla.
Ah. Kun Unix luotiin, niin ajatus oli yksinkertaistaa proesseja. Kaikki on tiedostoja (hakemistoissa), myös laitteet ovat Unixin näkökulmasta tiedostoja. Ja tiedostoilla on oikeuksia. Garbage In - Garbage Out. Yksinkertaista ja toimivaa.
Jos haluaa asian tehdä hakemistopohjalta, niin laittaa pystyyn ftp/ssh/smb-palvelimen ja sinne laittaa salasanoja käyttäjäkohtaisesti. Ja ne jaot saa automaagisesti ja läpinäkyvästi omalle työpöydälle - ja salasanan saa avainrenkaaseen talteen. Sitäkään ei tarvitse muutaman päivän jälkeen muistaa...
Ystävällisin terveisin Asmo Koskinen.
-
Miten olisi USB-muistitikku.
Varmatoiminen ja helppokäyttöinen, mutta älä unohda sitä siihen pöydälle.
-
Jos olisi yksi kansio jonka voisi lukita niin pääsisi paljon helpommalla.
Ah. Kun Unix luotiin, niin ajatus oli yksinkertaistaa proesseja. Kaikki on tiedostoja (hakemistoissa), myös laitteet ovat Unixin näkökulmasta tiedostoja. Ja tiedostoilla on oikeuksia. Garbage In - Garbage Out. Yksinkertaista ja toimivaa.
Jos haluaa asian tehdä hakemistopohjalta, niin laittaa pystyyn ftp/ssh/smb-palvelimen ja sinne laittaa salasanoja käyttäjäkohtaisesti. Ja ne jaot saa automaagisesti ja läpinäkyvästi omalle työpöydälle - ja salasanan saa avainrenkaaseen talteen. Sitäkään ei tarvitse muutaman päivän jälkeen muistaa...
Ystävällisin terveisin Asmo Koskinen.
Mitäs yksin kertaisuutta tuossa hässäkässä nyt sitten oikein on? Ja mitä ihmettä on järkeä tehdä tuo ja sitten tallentaa avainrenkaaseen samaan loppu tulokseen pääsee kun ei tee mitään.
Usb tikku on ihan hyvä ja cd mutta varsin rajoittuneita kooltaan.
Pieni yksin kertainen "lapsilukko" olisi se mukava ratkaisu.
-
Pieni yksin kertainen "lapsilukko" olisi se mukava ratkaisu.
Miksi "chmod 700" ei riitä lapsilukoksi?
koskias@ubuntu:~$ mkdir xxx
koskias@ubuntu:~$ chmod -R 700 xxx
koskias@ubuntu:~$ ls -al xxx
yhteensä 16
drwx------ 2 koskias koskias 4096 2008-09-30 12:36 .
drwx------ 83 koskias koskias 12288 2008-09-30 12:36 ..
koskias@ubuntu:~$ su ltsp
Salasana:
ltsp@ubuntu:/home/koskias$ cd xxx
bash: cd: xxx: Permission denied
Ystävällisin terveisin Asmo Koskinen.
-
Ei riitä, kansioon voi kirjoittaa ja sitä voi lukea.
En taida oikein ymmärtää.
-
Ei riitä, kansioon voi kirjoittaa ja sitä voi lukea.
En taida oikein ymmärtää.
Kansion omistaja voi lukea ja kirjoittaa, ei muut.
Hyödyllinen monen käyttäjän ympäristössä.
-
Salasanalla suojattu zippi olisi varmaankin sellainen, joka voisi tulla kyseeseen. file-roller auki uusi zip tyyppinen arkisto Muokkaa --> Salasana
Sen jälkeen raahaa salasanan taakse laitettavat tiedostot file-rollerin ikkunaan. Kansioiden tapauksessa niiden sisältämät tiedostot kuitenkin näkyy, joten ne voi olla tarvetta pistää tariksi tms.
-
Ei riitä, kansioon voi kirjoittaa ja sitä voi lukea.
En taida oikein ymmärtää.
Kansion omistaja voi lukea ja kirjoittaa, ei muut.
Hyödyllinen monen käyttäjän ympäristössä.
Eli silloin kun kansion oikeudet ovat "700" vain se joka tietää sinun salasanasi, ts. toivottavasti vain sinä itse, pääsee käsiksi tiedostoihin. Vaikka käyttäjätilisi olisi avoinna ja lapset koneen äärellä, kansion ja siinä olevat tiedostot saa auki ainoastaan syöttämällä sinun henk. koht. salasanasi. Ellet halua että kansio ja tiedostot lainkaan näkyvät muille käyttäjille, voit kryptata ne (TrueCrypt, tms. ohjelma). Correct me if I'm wrong (eli ojentakaa minua jos olen väärin).
Jos päätteen käyttäminen tuntuu (toistaiseksi) hankalalta, kansion ja alikansioiden oikeudet voi muuttaa myös graafisesti avaamalla Nautiluksen root-oikeuksin (Alt+F2 > gksudo nautilus > klikkaa kansion kuvaketta tai nimeä hiiren oikealla näppäimellä > Ominaisuudet... en ole nyt omalla Ubuntu-koneellani joten en ole varma muistanko nämä oikein, mutta sinne päin).
-
Pieni yksin kertainen "lapsilukko" olisi se mukava ratkaisu.
Miksi "chmod 700" ei riitä lapsilukoksi?
Tämä on varsin yksinkertainen, ja yleensä riittävä lapsilukko. (Tosin ko.:n voi kiertää recovery-moodilla tai liverompulla. Tosin silloin pitää sitten vähän osata käyttää Linuxia.)
Mutta jos toi ei riitä, niin vaihtoehdoksi jää hakemiston kryptaus.
Edit - ja lapsillehan ei anneta sudo-oikeuksia. ;)
Edit 2 - ja lapsillahan on oma käyttäjätili. (Järjestelmä->Ylläpito->Käyttäjät ja ryhmät).
-
Jos kyse on htpc koneesta joka käynnistyy ilman salasanoja, koneen kovalevyllä on elokuvia joista jotkin ovat sellaisia joita ei lapsien tulisi katsella, olisi hyvä saada jollain yksinkertaisella tavalla lukittua niin kuin tavan digiboxilla saa jotkin kanavat salasanan taakse.
Voin tietysti luoda toisen käyttäjän koneelle ja laittaa kansion sinne noilla 700 oikeuksilla, kyse olikin siitä onko olemassa jotain softaa jolla saa kansioon lukon, ilmeisesti ei ole.
-
Voin tietysti luoda toisen käyttäjän koneelle ja laittaa kansion sinne noilla 700 oikeuksilla, kyse olikin siitä onko olemassa jotain softaa jolla saa kansioon lukon, ilmeisesti ei ole.
Mielestäni tuo toisen käyttäjän luominen on hyvä idea. En tiedä onko tuollaista softaa, mutta ajatus olisi varmasti kehittelemisen arvoinen. Ei ehkä pidä ajatella että Linuxissa on jo kaikki mitä tarvitaan, kun aina voi kehittää uuttakin.
En muuten ole juuri nyt ihan varma siitä mitä aiemmin kirjoitin, kun en ole oman koneeni äärellä enkä pääse kokeilemaan: jos kansion oikeudet ovat tyyppiä 700 ja kansion omistajan käyttäjätili on auki (eli Linux olettaa että makkinan ääressä istuu vaikkapa käyttäjä piraja) niin kysyyköhän järjestelmä sittenkään erikseen salasanaa kansiota avattaessa...? Eipä se tainnutkaan ihan noin mennä?
-
Mielestäni tuo toisen käyttäjän luominen on hyvä idea.
Jatkan vähän vielä.
1. Mennään /home-hakemiston juureen ja luodaan sinne pääkäyttäjänä uusi hakemisto xxx.
asmok@ubuntu:/home$ mkdir xxx
mkdir: hakemiston ”xxx” luominen ei onnistu: Permission denied
asmok@ubuntu:/home$ sudo mkdir xxx
[sudo] password for asmok:
asmok@ubuntu:/home$
2. Annetaan pääkäyttäjänä hakemistolle oikeudet "770".
asmok@ubuntu:/home$ sudo chmod -R 770 xxx
asmok@ubuntu:/home$ ls -al
[--]
drwxrwx--- 2 root root 4096 2008-09-30 15:23 xxx
asmok@ubuntu:/home$
3. Annetaan hakemiston ryhmäoikeudet tunnukselle "asmok". Vain pääkäyttäjä (sudo/root) tai asmok-ryhmään kuuluvat voivat päästä sisälle uuteen hakemistoon, hänellä on myös kaikki oikeudet.
asmok@ubuntu:/home$ sudo chgrp -R asmok xxx
asmok@ubuntu:/home$ ls -al
[--]
drwxrwx--- 2 root asmok 4096 2008-09-30 15:23 xxx
asmok@ubuntu:/home$
asmok@ubuntu:/home$ cd xxx
asmok@ubuntu:/home/xxx$
4. Pääkäyttäjä voi koska tahansa ottaa omaan ryhmäänsä kyseisen hakemiston. Kukaan muu ei silloin pääse sinne.
asmok@ubuntu:/home$ sudo chgrp -R root xxx
asmok@ubuntu:/home$ ls -al
[--]
drwxrwx--- 2 root root 4096 2008-09-30 15:23 xxx
asmok@ubuntu:/home$
asmok@ubuntu:/home$ cd xxx
bash: cd: xxx: Permission denied
asmok@ubuntu:/home$
5. Tämä toimii niin komentoriviltä kuin Nautiluksesta.
6. Ainoa mitä tarvitaan, on tunnuksen oikeaan ryhmään kuuluminen. Tunnuksen salasanan lisäksi ei tarvita muita salasanoja.
7. Wiki-ohje: http://linux.fi/wiki/Tiedoston_oikeudet
Ystävällisin terveisin Asmo Koskinen.
-
Jatkan vähän vielä.
Oppaissa muistutetaan, että moodit 666 ja 777 on syytä aina tarkistaa. Miksi jokin hakemisto tai tiedosto pitää olla auki koko maailmalle (käyttäjä, ryhmä, maailma)? Nuo on helppo memoroida "raamatullisina"...
Ystävällisin terveisin Asmo Koskinen.
-
[...] jos kansion oikeudet ovat tyyppiä 700 ja kansion omistajan käyttäjätili on auki (eli Linux olettaa että makkinan ääressä istuu vaikkapa käyttäjä piraja) niin kysyyköhän järjestelmä sittenkään erikseen salasanaa kansiota avattaessa...?
Ei (tietenkään) kysy jos hakemisto avataan sen omistavan käyttäjän kautta. Käyttäjähän on jo autentikoinut itsensä sisäänkirjautumisen yhteydessä.
-
Jos kyse on htpc koneesta joka käynnistyy ilman salasanoja, koneen kovalevyllä on elokuvia joista jotkin ovat sellaisia joita ei lapsien tulisi katsella, olisi hyvä saada jollain yksinkertaisella tavalla lukittua niin kuin tavan digiboxilla saa jotkin kanavat salasanan taakse.
Jos kyseessä on nimenomaan htpc-kone niin silloin siinä on todennäköisesti jokin frontend jonka kautta sitä käytetään ja tuollaisen näennäisen suojan antavan "pin-koodin" toteuttaminen olisi minun mielestäni sen frontendin vastuulla.
Voin tietysti luoda toisen käyttäjän koneelle ja laittaa kansion sinne noilla 700 oikeuksilla, kyse olikin siitä onko olemassa jotain softaa jolla saa kansioon lukon, ilmeisesti ei ole.
Jos sellaista ei ole valmiina niin sellainen on suhteellisen triviaalia tehdä.
Tehdään root:n omistama perl-skripti hakemiston /usr/local/bin alle ja asetetaan sen suid-bitti päälle jolloin skripti suoritetaan root:n oikeuksin (ja tämän takia pitää tehdä nimenomaan perl-skripti).
Skripti voisi suorittaa hakemiston lukitsemisen tallentamalla hakemiston alle oman maagisen tiedostonsa johon talletetaan käyttäjän antaman salasanan HMAC-SHA-1-tiiviste, tiivisteessä käytetty suola (HMAC-avain joka luetaan /dev/urandom:sta) ja hakemiston omistaja, ryhmä sekä oikeudet. Ennen kuin tiedosto kirjoitetaan levylle niin hakemisto lukitaan vaihtamalla omistajaksi root ja asettamalla hakemiston oikeuksiksi 300. Tiedoston kirjoittamisen jälkeen hakemiston oikeuksiksi voidaan muuttaa 100 tai 000.
Avattaessa luetaan maaginen tiedosto ja tarkistetaan että käyttäjän antama salasana vastaa tiivistettä. Sen jälkeen tuhotaan tiedosto ja palautetaan sieltä luetut tiedot eli omistaja, ryhmä ja oikeudet. Tiedoston lukemista varten hakemiston oikeuksien pitää olla vähintään 100.
Yhden skriptin sijasta voi tietysti tehdä erilliset skriptit avaamiseen ja sulkemiseen. KDE:n puolella voi tehdä myös servicemenu määritykset (ja Gnomen puolella jotkin vastaavat) jotta käyttö sujuu ilman komentoriviä.
Kuten ketjun otsikkokin osuvasti vihjaa niin tämä tarjoaa nimenomaan "turvaa" eikä oikeaa turvaa.
-
Ei (tietenkään) kysy jos hakemisto avataan sen omistavan käyttäjän kautta. Käyttäjähän on jo autentikoinut itsensä sisäänkirjautumisen yhteydessä.
Joo, sen siitä saa kun turvautuu muistikuviin ja mutu-tuntumaan...
Tuossa kun mainittiin että "lapsillehan ei sudo-oikeuksia suoda" niin täytyy sanoa että itsepä soin 13-vuotiaalle tyttärelleni sudoilijan oikeudet ja velvollisuudet, ettei pulmatilanteessa tarvitse kaikkea neuvoa puhelimitse ja tavata salasanaa. Jos en luottaisi siihen että hän sudottaa vastuullisesti ja jos minulla olisi arkaluonteista aineistoa kovalevy(i)llä, niin kryptaisin sen esim. TrueCryptilla -- jota on aiemmin kyllä tullut Windowsissa käytettyä (silloin kun vielä jaksoin harrastaa pornoa syventyneemmin... heh heh, ei vaineskaan!). Mutta kun ei näitä ole tarvinnut kovin vakavasti miettiä, niin hölmöilinpä sitten tuon 700-vastaukseni kanssa. Sori.
-
Jos en luottaisi siihen että hän sudottaa vastuullisesti ja jos minulla olisi arkaluonteista aineistoa kovalevy(i)llä, niin kryptaisin sen esim. TrueCryptilla [...]
Linuxin puolella suosittelisin ennemmin käyttämään LUKS (http://luks.endorphin.org/):ia joka on vakiinnuttanut asemansa cryptsetup:n osana.
-
Jooh vaikeaksi tämä menee, pakko pitää jossain fyysisesti erillään nuo "omat" jutut.
Harmittaa vaan kovasti.
-
Huomenta!
Älkää nyt suuttuko... ;)
Paras turva on edelleen se fyysinen eristys, kuten Harrim jo sanoikin.
Semmonen USB-levy. Piuha irti. piuha matkaan.
Skidit kasvaa.
Kirjahyllyn päälle.
Skidit kasvaa lisää.
Levy matkaan.
Hankalaa joka päivä.
Lukon taakse.
Muna- tai Abloylukko. Jos pirun tärkeetä bisnestä pitää värkätä, niin pankista saa vielä lokeroita.
Laiska tapa:
Elektroniikkamies asentaa "hiiripianon" USB-levyn kylkeen/pohjaan,
avainkytkimen, jos mahtuu/en oo tutkinu),
tai reedreleen, shhhh! ;)
-
Jooh vaikeaksi tämä menee, pakko pitää jossain fyysisesti erillään nuo "omat" jutut.
Harmittaa vaan kovasti.
Tuo minun ehdottamani tapa vastaa hyvin pitkälle Windowsin näennäissuojaa tarjoavia järjestelmiä jollaista tässä käsittääkseni haettiin. Jos sellainen on riittävä niin joku perliä osaava pystyy kirjoittamaan tuon hyvinkin nopeasti.
Todellinen suojaus sen sijaan edellyttää aina levyn kryptaamista käytettävästä käyttöjärjestelmästä riippumatta.
-
Hieno ketju
Mietin sitä mistä ketju lähti liikkeelle?
Pieni turvakansio omille jutuille
Ehdotin tikkua mutta se kuulema aivan liian pieni. Jos 16Gb ei riitä niin minkäkokoinen sen pitäisi olla?
Kävisikö USB-porttiin liitettävä kovalevy on luottokortin kokoinen 40Gb? (tuossa on piuhakin mukana)
Miksi nuo halemisto oikeudet ei omalla koneella riitä suojaukseksi jo kyseessä on vain kevyen turvan etsiminen?
(salasanan murtaminen tai biosasetusten muuttaminen / buutti omalta CD-ltä murtoa varten on minusta jo aika rankkoja juttuja)
Ehdotan siis samaa mitä tässä ketjussa on aiemminkin ehdotettu
FTP- palvelin, eli siis oikeasti SFTP-palvelin.
erillinen kone ja se tietenkin lukittuun tilaan
Käyttö helppoa
Ylläpito helppoa
Turvallinen (ainakin minun mielestäni)
Halpa
Samalla oppi paljon juttuja
-
https://wiki.ubuntu.com/EncryptedPrivateDirectory
-
Tässä olisi yksinkertainen. Muiden on hankala aukaista sitä mutta ei mahdotonta.
Valitset kansion -> hiiren oikealla ominaisuuksiin -> oikeudet -> Siitä kaikkiin listaa ainoastaan tiedostot tai ei mikään.
Sen saa auki, mutta kansio näyttää tyhjältä ellei muuta oikeuksia ominasuuksista.
Itse käytän tätä vaikkei tarvitsekaan, laitan vielä kirjoituksiini ylimääräisiä kirjaimia niin ei pysty muut lukemaan. ;D
-
Asentelin tuossa 8.10 läppäriin alternate cd'llä ja siihen oli tullut uutena ominaisuutena private kansion mahdollisuus, sen enempää en sitä tutkinut kun en kokenut tarpeelliseksi.
-
Tuossa kun mainittiin että "lapsillehan ei sudo-oikeuksia suoda" niin täytyy sanoa että itsepä soin 13-vuotiaalle tyttärelleni sudoilijan oikeudet ja velvollisuudet, ettei pulmatilanteessa tarvitse kaikkea neuvoa puhelimitse ja tavata salasanaa.
Sudo on monipuolinen ohjelma. Sillä voi myös antaa eri käyttäjille (ja käyttäjäryhmille) _hyvinkin_ erilaisia oikeuksia ajaa eri ohjelmia. Sudo -komento ei siis välttämättä tarkoita sitä, että tavan käyttäjälle annetaan täydet järjestelmän käyttäjän oikeudet.
On hyödyllistä lukaista auttavasti sudon ominaisuuksista.
Peruskysymykseen hakemistojen piilottamisesta on triaali, sillä Unix on jo alusta lähtien hoitanut homman:
kullakin käyttäjällä on oma tunnuksensa, ryhmänsä ja oikeudet tiedostoihin. Jos nuo on määritelty sopivasti, eivät muut kuin halutut käyttäjät pääse kiinni tiedostoihin.
Syyt salata hakemistoja/osioita tms. taas kuuluvat toisiin tilanteisiin.
-
Asentelin tuossa 8.10 läppäriin alternate cd'llä ja siihen oli tullut uutena ominaisuutena private kansion mahdollisuus, sen enempää en sitä tutkinut kun en kokenut tarpeelliseksi.
8.10? Onko jossakin julkaistu uudempi versio? Mulla ei oo päivityksissä sellasta.
-
8.10?
Tarkoittaa kai tätä.
http://dustinkirkland.wordpress.com/2008/10/03/whats-in-my-encrypted-private-directory/
https://wiki.ubuntu.com/EncryptedPrivateDirectory
Ystävällisin terveisin Asmo Koskinen.
-
Oppaissa muistutetaan, että moodit 666 ja 777 on syytä aina tarkistaa. Miksi jokin hakemisto tai tiedosto pitää olla auki koko maailmalle (käyttäjä, ryhmä, maailma)?
Siksi että haluaa että kaikki käyttäjät voivat tehdä hakemistossa mitä tekevät esim. /tmp on tällainen.
Nuo on helppo memoroida "raamatullisina"...
Eli "ristiriitaisina"?
-
Merkillistä ettei ole niinkään yksinkertaista toimintoa tai pikkuohjelmaa jolla voisi luoda salasanalla suojatun kansion. Kryptausta ja muuta sellaista kyllä löytyy. Simppeli salasanalla auki kansio ja tiedostot käytettävissä ja kansion sulkeminen palauttaisi lukituksen. Minun puhelimellakin voi luoda tuollaisen salasanasuojatun kansion, mutta ei Ubuntulla?
Tämä puute johtuu siitä, että kyseisellä toiminnolla ei ole mitään virkaa, siitä ei ole mitään hyötyä. Jos haluaa estää tietokoneen muita käyttäjiä näkemästä tiedostoa, on Linuxissa sitä varten hyvin kattavat tiedostojen oikeudet. Jos haluaa, ettei kukaan oikeasti halua päästä käsiksi tiedostoihin, on sitä varten salausohjelmia.
Mielestäni on _käsittämätöntä_ että kukaan ei tunnu käsittävän että ko. toiminnolla todellakin _on virkaa_.
Annan kolme esimerkkiä:
1) Koneella on "sattuneesta syystä" pakko olla vain yksi käyttäjätili -useampaa loginia ei ole "sattuneesta syystä" mahdollista järjestää tai loginia "ei ole lainkaan"!
2) Pääkäyttäjä pääsee jokatapauksessa kansioon käsiksi vaikka mitkä oikeudet laittaisit!
3) Salausohjelma on vaivalloinen, hidas ja raskas suuressa määrässä tiedostoja!
Todellakin, tarvitaan siis softa/ominaisuus, joka suojaa kansion siten, että sinne ei pääse _samaan_ tiliin kirjautuneena tai edes _pääkäyttäjä_ ilman annettua salasanaa. Simple, mutta ei tunnu onnistuvan.
-
Mielestäni on _käsittämätöntä_ että kukaan ei tunnu käsittävän että ko. toiminnolla todellakin _on virkaa_.
Nyt sinulla on oiva paikka jakaa murheesi Ubuntun kehittäjien kanssa.
http://brainstorm.ubuntu.com/
Ystävällisin terveisin Asmo Koskinen.
-
Jos sitten joku tuonne braistormiin tuosta jutun tekee, niin laittakaas linkkiä niin päästään me muutkin helposti äänestämään.
-
Mielestäni on _käsittämätöntä_ että kukaan ei tunnu käsittävän että ko. toiminnolla todellakin _on virkaa_.
Tai sitten he käsittävät sekä toiveen että siihen liittyvät ristiriitaisuudet ja ongelmat...
1) Koneella on "sattuneesta syystä" pakko olla vain yksi käyttäjätili -useampaa loginia ei ole "sattuneesta syystä" mahdollista järjestää tai loginia "ei ole lainkaan"!
Ilman tarkempaa määrittelyä tuo perustelu ei ole mielestäni minkään arvoinen. "Sattunut syy" pitää kyetä perustelemaan.
2) Pääkäyttäjä pääsee jokatapauksessa kansioon käsiksi vaikka mitkä oikeudet laittaisit!
Totta. Tässä tapauksessa ainoa tapa suojautua pääkäyttäjää vastaan on käyttää kryptausta. Jos data on selväkielisenä levyllä niin pääkäyttäjän on aina mahdollista päästä siihen käsiksi.
3) Salausohjelma on vaivalloinen, hidas ja raskas suuressa määrässä tiedostoja!
Tämä kohta on ristiriidassa sen suhteen mitä kakkoskohdassa halutaan. Jos pääkäyttäjä ei saa päästä dataan kiinni niin silloin pitää käyttää kryptausta. Jos kryptausta ei haluta käyttää niin silloin pääkäyttäjä pääsee dataan kiinni. Piste.
Todellakin, tarvitaan siis softa/ominaisuus, joka suojaa kansion siten, että sinne ei pääse _samaan_ tiliin kirjautuneena tai edes _pääkäyttäjä_ ilman annettua salasanaa. Simple, mutta ei tunnu onnistuvan.
Jos se on yksinkertaista niin kerro toki kuinka se onnistuu.
Encfs täyttää teknisesti tämän viimeisen lainauksen vaatimukset jos sallitaan että saman käyttäjän rinnakkaisista istunnoista päästään suojattuun hakemistoon silloin kun se on avattuna. Encfs on kuitenkin ristiriidassa kolmoskohdan vaatimusten kanssa.
-
Oletan, että odysseus haluaa pitää koneessa vain yhden käyttäjän, jolla ei ehkä ole salasanaa tai se on triviaali, ja että tuo ainokainen käyttäjä on aina kirjautuneena koneeseen. Tällöin siis kaikki tehdään pääkäyttäjänä. Tällöin ei myöskään mieleen tule mitään keinoa estää pääkäyttäjää lukemasta salaamatonta dataa.
Jos tuo "turvakansio" olisi esimerkiksi toteutettu jonkin modatun tiedostojärjestelmämoduulin avulla, niin eikös root silloin voi esimerkiksi vaihtaa moduulin takaisin tavalliseksi?
Turvakansio voidaan toteuttaa vain salauksella. Ei tosin liene kovin vaikeaa tehdä jotain Gnome-Nautilus-ohjelmaa, joka kysyy salasanaa aina yritettäessä avata turvakansiota ja sitten purkaa sen johonkin lukemista varten gpg:llä. Tällöin tietysti esimerkiksi ssh:lla kirjautuva käyttäjä pääsee lukemaan tietoja niin kauan kuin ne ovat purettuina.
-
Turvakansio voidaan toteuttaa vain salauksella.
Asiallinen haastattelu kotihakemiston kryptauksesta.
"One thing you have worked on for Intrepid is Encrypted Private directories. Could you tell us a little about what they are, and why they might be useful to someone?"
http://fridge.ubuntu.com/node/1701
Ystävällisin terveisin Asmo Koskinen.
-
Onpa ketju paisunut. No tulevassa Ubuntuversiossa uusissa ominaisuuksissa mainitaan mm:
Vierasistunto: Käyttäjävaihtimen kautta mahdollisuus käynnistää vierasistunto rajallisilla oikeuksilla. Vieraalla ei ole pääsyä kotikansioihin eikä mahdollisuutta tallentaa mitään pysyvästi.
Tuo vaikuttaa ihan sopivalta ja terpeeksi näppärältä silloin kun on populaa paikalla ja kone "kolhoosikäytössä" vaikkapa illanistujaisissa, haluavat kuitenkin musaa soitella ja nettiä käytellä... videoita pällistellä. Kiusallinen olo kun koneella on joku muu vaikka eivät varmaan mitään tongikkaan, mutta on se sen verran henkilökohtainen kuin käsilaukku naisille. Jees, ei mitään pornoa tarvi piilotella kuin joku epäili, se voi olla ihan vapaasti kavereille nähtävillä. Mutta muuta henkilökohtaista, kirjoituksia, omaan talouteen liittyvää yms. mitä taas ei halua muiden näkevän.