"Turvakansio"?

[Tomin]

Jos sitten joku tuonne braistormiin tuosta jutun tekee, niin laittakaas linkkiä niin päästään me muutkin helposti äänestämään.

[mgronber]

Mielestäni on _käsittämätöntä_ että kukaan ei tunnu käsittävän että ko. toiminnolla todellakin _on virkaa_.

Tai sitten he käsittävät sekä toiveen että siihen liittyvät ristiriitaisuudet ja ongelmat...

1) Koneella on "sattuneesta syystä" pakko olla vain yksi käyttäjätili -useampaa loginia ei ole "sattuneesta syystä" mahdollista järjestää tai loginia "ei ole lainkaan"!

Ilman tarkempaa määrittelyä tuo perustelu ei ole mielestäni minkään arvoinen. "Sattunut syy" pitää kyetä perustelemaan.

2) Pääkäyttäjä pääsee jokatapauksessa kansioon käsiksi vaikka mitkä oikeudet laittaisit!

Totta. Tässä tapauksessa ainoa tapa suojautua pääkäyttäjää vastaan on käyttää kryptausta. Jos data on selväkielisenä levyllä niin pääkäyttäjän on aina mahdollista päästä siihen käsiksi.

3) Salausohjelma on vaivalloinen, hidas ja raskas suuressa määrässä tiedostoja!

Tämä kohta on ristiriidassa sen suhteen mitä kakkoskohdassa halutaan. Jos pääkäyttäjä ei saa päästä dataan kiinni niin silloin pitää käyttää kryptausta. Jos kryptausta ei haluta käyttää niin silloin pääkäyttäjä pääsee dataan kiinni. Piste.

Todellakin, tarvitaan siis softa/ominaisuus, joka suojaa kansion siten, että sinne ei pääse _samaan_ tiliin kirjautuneena tai edes _pääkäyttäjä_ ilman annettua salasanaa. Simple, mutta ei tunnu onnistuvan.

Jos se on yksinkertaista niin kerro toki kuinka se onnistuu.

Encfs täyttää teknisesti tämän viimeisen lainauksen vaatimukset jos sallitaan että saman käyttäjän rinnakkaisista istunnoista päästään suojattuun hakemistoon silloin kun se on avattuna. Encfs on kuitenkin ristiriidassa kolmoskohdan vaatimusten kanssa.

[Hexa_Desimaali]

Oletan, että odysseus haluaa pitää koneessa vain yhden käyttäjän, jolla ei ehkä ole salasanaa tai se on triviaali, ja että tuo ainokainen käyttäjä on aina kirjautuneena koneeseen. Tällöin siis kaikki tehdään pääkäyttäjänä. Tällöin ei myöskään mieleen tule mitään keinoa estää pääkäyttäjää lukemasta salaamatonta dataa.

Jos tuo "turvakansio" olisi esimerkiksi toteutettu jonkin modatun tiedostojärjestelmämoduulin avulla, niin eikös root silloin voi esimerkiksi vaihtaa moduulin takaisin tavalliseksi?

Turvakansio voidaan toteuttaa vain salauksella. Ei tosin liene kovin vaikeaa tehdä jotain Gnome-Nautilus-ohjelmaa, joka kysyy salasanaa aina yritettäessä avata turvakansiota ja sitten purkaa sen johonkin lukemista varten gpg:llä. Tällöin tietysti esimerkiksi ssh:lla kirjautuva käyttäjä pääsee lukemaan tietoja niin kauan kuin ne ovat purettuina.

[Asmo Koskinen]

Turvakansio voidaan toteuttaa vain salauksella.

Asiallinen haastattelu kotihakemiston kryptauksesta.

"One thing you have worked on for Intrepid is Encrypted Private directories. Could you tell us a little about what they are, and why they might be useful to someone?"

http://fridge.ubuntu.com/node/1701

Ystävällisin terveisin Asmo Koskinen.

[Nico]

Onpa ketju paisunut. No tulevassa Ubuntuversiossa uusissa ominaisuuksissa mainitaan mm:

Vierasistunto: Käyttäjävaihtimen kautta mahdollisuus käynnistää vierasistunto rajallisilla oikeuksilla. Vieraalla ei ole pääsyä kotikansioihin eikä mahdollisuutta tallentaa mitään pysyvästi.

Tuo vaikuttaa ihan sopivalta ja terpeeksi näppärältä silloin kun on populaa paikalla ja kone "kolhoosikäytössä" vaikkapa illanistujaisissa, haluavat kuitenkin musaa soitella ja nettiä käytellä... videoita pällistellä. Kiusallinen olo kun koneella on joku muu vaikka eivät varmaan mitään tongikkaan, mutta on se sen verran henkilökohtainen kuin käsilaukku naisille. Jees, ei mitään pornoa tarvi piilotella kuin joku epäili, se voi olla ihan vapaasti kavereille nähtävillä. Mutta muuta henkilökohtaista, kirjoituksia, omaan talouteen liittyvää yms. mitä taas ei halua muiden näkevän.