Verschlüsselte Containerfiles ohne Loopbackdevice

[cmprmsd]

Hallo zusammen,

Ich habe eben kurz versucht einen Truecryptcontainer unter CentOS auf einem vServer von Hosteurope zu erstellen.
Leider stellte ich schnell fest, dass das benötigte Kernelmodul Loop nicht aktivierbar ist.

Dies ist wohl eine Einschränkung seitens Hosteurope oder zumindest ist's dem gesharten Kernel zu verdanken.

Kennt jemand eine Alternative zu Truecrypt, die Container erstellen kann? Cryptsetup braucht leider auch /dev/loop..

Danke im Voraus

 

[SmaLitro]

Geht nicht, ohne dass du neue hooks in den Truecrypt queltext schreibst, der eine föllig neue methode findet wie man dinge in das root dateisystem am kernel vorbei einbindet. Alos ohne Kernel Access und Dateisystem zugriff auf das Root dateisystem wird das nichts - aber nicht ohne Grund - damit könntest du auch z.B. /bin überladen und so malware einschleusen

Ist in etwa so wie wenn du beim Auto fragen würdest:
Ich sitze auf der Rückbank im Kindersitz mit nem Spielzeiglenkrad - Wie kann ich machen, dass das auto schneller fährt?

 

[cmprmsd]

Netter Vergleich, aber doch eigentlich überhaupt nicht in die Richtung, die ich fragte.

Es sollte doch möglich sein ein Verzeichnis zu verschlüsseln ohne gleich hundertschaften an Modulen nachzuladen oder nicht?
encfs habe ich eben noch gefunden, aber das nutzt leider FUSE was auch nicht nachladbar ist.

 

[westef]

Hey,

also ein Verzeichnis verschlüsseln ist kein Problem, das kann man schließlich auch mit gpg machen.
Das Problem ist der transparente Zugriff aufs Verzeichnis, ohne dass man die Verschlüsselung merkt. Und das ist ohne loop oder FUSE eben nicht möglich.

Du kannst ja mal deinen Hoster anschreiben und den fragen, ob es eine Lösung gibt.

 

[SmaLitro]

stwe hat recht wenn nur ein Programm zugreifen will geht vieleicht auch noch eine Command-Pipeline auf eine entsprechend verschlüsselte datei.

Über sinn und unsinn einer solchen aktion braucht man aber gar nicht zu diskutieren! Wenn kein Kernel zugang besteht kann jeder drittklassige admin so etwas dazwischen abfangen und auf die unverschlüsselten Daten zu greifen.
Selbst aplication-level Verschlüsselung ist da nicht gerade extrem sicher der schlüssel muss ja irgendwo im RAM stehen.

Wenn man so etwas machen will sollte es eigentlich mindestens ein Root-Server besser ein Selbst-Gehosteter sein.
Nur da hast du auch den Kernel unter Kontrolle, der den Schlüssel im Ram ja verwaltet (und noch besser beim self hostet den Ram selbst ;-)

 

[cmprmsd]

Danke euch beiden

Ich habe eben nach Feierabend noch ein bisschen herum probiert und festgestellt, dass Fuse dann doch klappt.
Es lag an den mangelnden Rechten, dass ich encfs nicht nutzen konnte. Der Fehler, dass das Modul nicht existiert war auch den Berechtigungen geschuldet.