"Turvakansio"?

[Piraja]

Voin tietysti luoda toisen käyttäjän koneelle ja laittaa kansion sinne noilla 700 oikeuksilla, kyse olikin siitä onko olemassa jotain softaa jolla saa kansioon lukon, ilmeisesti ei ole.

Mielestäni tuo toisen käyttäjän luominen on hyvä idea. En tiedä onko tuollaista softaa, mutta ajatus olisi varmasti kehittelemisen arvoinen. Ei ehkä pidä ajatella että Linuxissa on jo kaikki mitä tarvitaan, kun aina voi kehittää uuttakin.

En muuten ole juuri nyt ihan varma siitä mitä aiemmin kirjoitin, kun en ole oman koneeni äärellä enkä pääse kokeilemaan: jos kansion oikeudet ovat tyyppiä 700 ja kansion omistajan käyttäjätili on auki (eli Linux olettaa että makkinan ääressä istuu vaikkapa käyttäjä piraja) niin kysyyköhän järjestelmä sittenkään erikseen salasanaa kansiota avattaessa...? Eipä se tainnutkaan ihan noin mennä?

[Asmo Koskinen]

Mielestäni tuo toisen käyttäjän luominen on hyvä idea.

Jatkan vähän vielä.

1. Mennään /home-hakemiston juureen ja luodaan sinne pääkäyttäjänä uusi hakemisto xxx.

asmok@ubuntu:/home$ mkdir xxx
mkdir: hakemiston ”xxx” luominen ei onnistu: Permission denied
asmok@ubuntu:/home$ sudo mkdir xxx
[sudo] password for asmok:
asmok@ubuntu:/home$

2. Annetaan pääkäyttäjänä hakemistolle oikeudet "770".

asmok@ubuntu:/home$ sudo chmod -R 770 xxx
asmok@ubuntu:/home$ ls -al
[--]
drwxrwx---   2 root    root     4096 2008-09-30 15:23 xxx
asmok@ubuntu:/home$

3. Annetaan hakemiston ryhmäoikeudet tunnukselle "asmok". Vain pääkäyttäjä (sudo/root) tai asmok-ryhmään kuuluvat voivat päästä sisälle uuteen hakemistoon, hänellä on myös kaikki oikeudet.

asmok@ubuntu:/home$ sudo chgrp -R asmok xxx
asmok@ubuntu:/home$ ls -al
[--]
drwxrwx---   2 root    asmok    4096 2008-09-30 15:23 xxx
asmok@ubuntu:/home$

asmok@ubuntu:/home$ cd xxx
asmok@ubuntu:/home/xxx$

4. Pääkäyttäjä voi koska tahansa ottaa omaan ryhmäänsä kyseisen hakemiston. Kukaan muu ei silloin pääse sinne.

asmok@ubuntu:/home$ sudo chgrp -R root xxx
asmok@ubuntu:/home$ ls -al
[--]
drwxrwx---   2 root    root     4096 2008-09-30 15:23 xxx
asmok@ubuntu:/home$

asmok@ubuntu:/home$ cd xxx
bash: cd: xxx: Permission denied
asmok@ubuntu:/home$

5. Tämä toimii niin komentoriviltä kuin Nautiluksesta.

6. Ainoa mitä tarvitaan, on tunnuksen oikeaan ryhmään kuuluminen. Tunnuksen salasanan lisäksi ei tarvita muita salasanoja.

7. Wiki-ohje: http://linux.fi/wiki/Tiedoston_oikeudet

Ystävällisin terveisin Asmo Koskinen.

[Asmo Koskinen]

Jatkan vähän vielä.

Oppaissa muistutetaan, että moodit 666 ja 777 on syytä aina tarkistaa. Miksi jokin hakemisto tai tiedosto pitää olla auki koko maailmalle (käyttäjä, ryhmä, maailma)? Nuo on helppo memoroida "raamatullisina"...

Ystävällisin terveisin Asmo Koskinen.

[mgronber]

[...] jos kansion oikeudet ovat tyyppiä 700 ja kansion omistajan käyttäjätili on auki (eli Linux olettaa että makkinan ääressä istuu vaikkapa käyttäjä piraja) niin kysyyköhän järjestelmä sittenkään erikseen salasanaa kansiota avattaessa...?

Ei (tietenkään) kysy jos hakemisto avataan sen omistavan käyttäjän kautta. Käyttäjähän on jo autentikoinut itsensä sisäänkirjautumisen yhteydessä.

[mgronber]

Jos kyse on htpc koneesta joka käynnistyy ilman salasanoja, koneen kovalevyllä on elokuvia joista jotkin ovat sellaisia joita ei lapsien tulisi katsella, olisi hyvä saada jollain yksinkertaisella tavalla lukittua niin kuin tavan digiboxilla saa jotkin kanavat salasanan taakse.

Jos kyseessä on nimenomaan htpc-kone niin silloin siinä on todennäköisesti jokin frontend jonka kautta sitä käytetään ja tuollaisen näennäisen suojan antavan "pin-koodin" toteuttaminen olisi minun mielestäni sen frontendin vastuulla.

Voin tietysti luoda toisen käyttäjän koneelle ja laittaa kansion sinne noilla 700 oikeuksilla, kyse olikin siitä onko olemassa jotain softaa jolla saa kansioon lukon, ilmeisesti ei ole.

Jos sellaista ei ole valmiina niin sellainen on suhteellisen triviaalia tehdä.

Tehdään root:n omistama perl-skripti hakemiston /usr/local/bin alle ja asetetaan sen suid-bitti päälle jolloin skripti suoritetaan root:n oikeuksin (ja tämän takia pitää tehdä nimenomaan perl-skripti).

Skripti voisi suorittaa hakemiston lukitsemisen tallentamalla hakemiston alle oman maagisen tiedostonsa johon talletetaan käyttäjän antaman salasanan HMAC-SHA-1-tiiviste, tiivisteessä käytetty suola (HMAC-avain joka luetaan /dev/urandom:sta) ja hakemiston omistaja, ryhmä sekä oikeudet. Ennen kuin tiedosto kirjoitetaan levylle niin hakemisto lukitaan vaihtamalla omistajaksi root ja asettamalla hakemiston oikeuksiksi 300. Tiedoston kirjoittamisen jälkeen hakemiston oikeuksiksi voidaan muuttaa 100 tai 000.

Avattaessa luetaan maaginen tiedosto ja tarkistetaan että käyttäjän antama salasana vastaa tiivistettä. Sen jälkeen tuhotaan tiedosto ja palautetaan sieltä luetut tiedot eli omistaja, ryhmä ja oikeudet. Tiedoston lukemista varten hakemiston oikeuksien pitää olla vähintään 100.

Yhden skriptin sijasta voi tietysti tehdä erilliset skriptit avaamiseen ja sulkemiseen. KDE:n puolella voi tehdä myös servicemenu määritykset (ja Gnomen puolella jotkin vastaavat) jotta käyttö sujuu ilman komentoriviä.

Kuten ketjun otsikkokin osuvasti vihjaa niin tämä tarjoaa nimenomaan "turvaa" eikä oikeaa turvaa.

[Piraja]

Ei (tietenkään) kysy jos hakemisto avataan sen omistavan käyttäjän kautta. Käyttäjähän on jo autentikoinut itsensä sisäänkirjautumisen yhteydessä.

Joo, sen siitä saa kun turvautuu muistikuviin ja mutu-tuntumaan...

Tuossa kun mainittiin että "lapsillehan ei sudo-oikeuksia suoda" niin täytyy sanoa että itsepä soin 13-vuotiaalle tyttärelleni sudoilijan oikeudet ja velvollisuudet, ettei pulmatilanteessa tarvitse kaikkea neuvoa puhelimitse ja tavata salasanaa. Jos en luottaisi siihen että hän sudottaa vastuullisesti ja jos minulla olisi arkaluonteista aineistoa kovalevy(i)llä, niin kryptaisin sen esim. TrueCryptilla -- jota on aiemmin kyllä tullut Windowsissa käytettyä (silloin kun vielä jaksoin harrastaa pornoa syventyneemmin... heh heh, ei vaineskaan!). Mutta kun ei näitä ole tarvinnut kovin vakavasti miettiä, niin hölmöilinpä sitten tuon 700-vastaukseni kanssa. Sori.

[mgronber]

Jos en luottaisi siihen että hän sudottaa vastuullisesti ja jos minulla olisi arkaluonteista aineistoa kovalevy(i)llä, niin kryptaisin sen esim. TrueCryptilla [...]

Linuxin puolella suosittelisin ennemmin käyttämään LUKS:ia joka on vakiinnuttanut asemansa cryptsetup:n osana.

[HMi]

Jooh vaikeaksi tämä menee, pakko pitää jossain fyysisesti erillään nuo "omat" jutut.
Harmittaa vaan kovasti.

[AlbertRetro]

Huomenta!
Älkää nyt suuttuko... 
Paras turva on edelleen se fyysinen eristys, kuten Harrim jo sanoikin.
Semmonen USB-levy. Piuha irti. piuha matkaan.
Skidit kasvaa.
Kirjahyllyn päälle.
Skidit kasvaa lisää.
Levy matkaan.
Hankalaa joka päivä.
Lukon taakse.
Muna- tai Abloylukko. Jos pirun tärkeetä bisnestä pitää värkätä, niin pankista saa vielä lokeroita.

Laiska tapa:
Elektroniikkamies asentaa "hiiripianon" USB-levyn kylkeen/pohjaan,
avainkytkimen, jos mahtuu/en oo tutkinu),
tai reedreleen, shhhh! 

[mgronber]

Jooh vaikeaksi tämä menee, pakko pitää jossain fyysisesti erillään nuo "omat" jutut.
Harmittaa vaan kovasti.

Tuo minun ehdottamani tapa vastaa hyvin pitkälle Windowsin näennäissuojaa tarjoavia järjestelmiä jollaista tässä käsittääkseni haettiin. Jos sellainen on riittävä niin joku perliä osaava pystyy kirjoittamaan tuon hyvinkin nopeasti.

Todellinen suojaus sen sijaan edellyttää aina levyn kryptaamista käytettävästä käyttöjärjestelmästä riippumatta.

[Ripa]

Hieno ketju

Mietin sitä mistä ketju lähti liikkeelle?
Pieni turvakansio omille jutuille
Ehdotin tikkua mutta se kuulema aivan liian pieni. Jos 16Gb ei riitä niin minkäkokoinen sen pitäisi olla?
Kävisikö USB-porttiin liitettävä kovalevy on luottokortin kokoinen 40Gb? (tuossa on piuhakin mukana)

Miksi nuo halemisto oikeudet ei omalla koneella riitä suojaukseksi jo kyseessä on vain kevyen turvan etsiminen?
(salasanan murtaminen tai biosasetusten muuttaminen / buutti omalta CD-ltä murtoa varten on minusta jo aika rankkoja juttuja)

Ehdotan siis samaa mitä tässä ketjussa on aiemminkin ehdotettu
FTP- palvelin, eli siis oikeasti SFTP-palvelin.
erillinen kone ja se tietenkin lukittuun tilaan

Käyttö helppoa
Ylläpito helppoa
Turvallinen (ainakin minun mielestäni)
Halpa

Samalla oppi paljon juttuja

[gdm]

https://wiki.ubuntu.com/EncryptedPrivateDirectory

[ubuntu-linux]

Tässä olisi yksinkertainen. Muiden on hankala aukaista sitä mutta ei mahdotonta.
Valitset kansion -> hiiren oikealla ominaisuuksiin -> oikeudet -> Siitä kaikkiin listaa ainoastaan tiedostot tai ei mikään.
Sen saa auki, mutta kansio näyttää tyhjältä ellei muuta oikeuksia ominasuuksista.
Itse käytän tätä vaikkei tarvitsekaan, laitan vielä kirjoituksiini ylimääräisiä kirjaimia niin ei pysty muut lukemaan. 

[I Svärd]

Asentelin tuossa 8.10 läppäriin alternate cd'llä ja siihen oli tullut uutena ominaisuutena private kansion mahdollisuus, sen enempää en sitä tutkinut kun en kokenut tarpeelliseksi.

[juyli]

Tuossa kun mainittiin että "lapsillehan ei sudo-oikeuksia suoda" niin täytyy sanoa että itsepä soin 13-vuotiaalle tyttärelleni sudoilijan oikeudet ja velvollisuudet, ettei pulmatilanteessa tarvitse kaikkea neuvoa puhelimitse ja tavata salasanaa.

Sudo on monipuolinen ohjelma. Sillä voi myös antaa eri käyttäjille (ja käyttäjäryhmille) _hyvinkin_ erilaisia oikeuksia ajaa eri ohjelmia. Sudo -komento ei siis välttämättä tarkoita sitä, että tavan käyttäjälle annetaan täydet järjestelmän käyttäjän oikeudet.
On hyödyllistä lukaista auttavasti sudon ominaisuuksista.

Peruskysymykseen hakemistojen piilottamisesta on triaali, sillä Unix on jo alusta lähtien hoitanut homman:
kullakin käyttäjällä on oma tunnuksensa, ryhmänsä ja oikeudet tiedostoihin. Jos nuo on määritelty sopivasti, eivät muut kuin halutut käyttäjät pääse kiinni tiedostoihin.
Syyt salata hakemistoja/osioita tms. taas kuuluvat toisiin tilanteisiin.

[ubuntu-linux]

Asentelin tuossa 8.10 läppäriin alternate cd'llä ja siihen oli tullut uutena ominaisuutena private kansion mahdollisuus, sen enempää en sitä tutkinut kun en kokenut tarpeelliseksi.

8.10? Onko jossakin julkaistu uudempi versio? Mulla ei oo päivityksissä sellasta.

[Asmo Koskinen]

8.10?

Tarkoittaa kai tätä.

http://dustinkirkland.wordpress.com/2008/10/03/whats-in-my-encrypted-private-directory/

https://wiki.ubuntu.com/EncryptedPrivateDirectory

Ystävällisin terveisin Asmo Koskinen.

[_Pete_]

Oppaissa muistutetaan, että moodit 666 ja 777 on syytä aina tarkistaa. Miksi jokin hakemisto tai tiedosto pitää olla auki koko maailmalle (käyttäjä, ryhmä, maailma)?

Siksi että haluaa että kaikki käyttäjät voivat tehdä hakemistossa mitä tekevät esim. /tmp on tällainen.

Nuo on helppo memoroida "raamatullisina"...

Eli "ristiriitaisina"?

[odysseus]

Merkillistä ettei ole niinkään yksinkertaista toimintoa tai pikkuohjelmaa jolla voisi luoda salasanalla suojatun kansion. Kryptausta ja muuta sellaista kyllä löytyy. Simppeli salasanalla auki kansio ja tiedostot käytettävissä ja kansion sulkeminen palauttaisi lukituksen. Minun puhelimellakin voi luoda tuollaisen salasanasuojatun kansion, mutta ei Ubuntulla?

Tämä puute johtuu siitä, että kyseisellä toiminnolla ei ole mitään virkaa, siitä ei ole mitään hyötyä. Jos haluaa estää tietokoneen muita käyttäjiä näkemästä tiedostoa, on Linuxissa sitä varten hyvin kattavat tiedostojen oikeudet. Jos haluaa, ettei kukaan oikeasti halua päästä käsiksi tiedostoihin, on sitä varten salausohjelmia.

Mielestäni on _käsittämätöntä_ että kukaan ei tunnu käsittävän että ko. toiminnolla todellakin _on virkaa_.

Annan kolme esimerkkiä:

1) Koneella on "sattuneesta syystä" pakko olla vain yksi käyttäjätili -useampaa loginia ei ole "sattuneesta syystä" mahdollista järjestää tai loginia "ei ole lainkaan"!
2) Pääkäyttäjä pääsee jokatapauksessa kansioon käsiksi vaikka mitkä oikeudet laittaisit!
3) Salausohjelma on vaivalloinen, hidas ja raskas suuressa määrässä tiedostoja!

Todellakin, tarvitaan siis softa/ominaisuus, joka suojaa kansion siten, että sinne ei pääse _samaan_ tiliin kirjautuneena tai edes _pääkäyttäjä_ ilman annettua salasanaa. Simple, mutta ei tunnu onnistuvan.

[Asmo Koskinen]

Mielestäni on _käsittämätöntä_ että kukaan ei tunnu käsittävän että ko. toiminnolla todellakin _on virkaa_.

Nyt sinulla on oiva paikka jakaa murheesi Ubuntun kehittäjien kanssa.

http://brainstorm.ubuntu.com/

Ystävällisin terveisin Asmo Koskinen.