Crypto-NFS

Wie richte ich ein Cryptoloop per NFS ein (Kernel 2.6.*)?

Folgendes Szenario führte zu diesem Vorgehen:
In einem Netzwerk mit mehreren Client-Rechnern wird diesen über einen NFS-Server zentral Dateien zur Verfügung gestellt. Da NFS an sich unsicher ist und alles im Klartext übertragen wird, ist das Sharen sensibler Daten mit Risiko verbunden. Ausser man shared über NFS ein Crypto-Filesystem (CFS), das dann lokal erst eingebunden wird. Dabei werden alle Informationen verschlüsselt übertragen und sind auch mit Sniffern nicht einsehbar.

Um den Crypto-Problemen mit dem 2.4er Kernel aus dem Weg zu gehen, empfiehlt es sich von vorneherein einen 2.6er Kernel zu benutzen. Dabei sollte der Serverkernel natürlich NFS-tauglich sein (wovon auszugehen ist, wenn er bereits NFS-Server ist), also folgende Module beinhalten:

• nfsd
• exportfs
• lockd
• sunrpc

Server (wie auch Clients mit 2.6er Kernel) brauchen noch folgende Module:

• loop
• cryptoloop
• twofish

Am besten diese Module für automatisches Laden in die /etc/modules eintragen (zumindest für die Clients; der Server braucht sie nach der Erstellung nur noch im Notfall).

Die Vorgehensweise ist dann folgende:
Auf dem Server wird in den NFS-Shares (hier /srv) ein Cryptofile angelegt, das per Cryptoloop eingebunden wird, und in ihm ein ext3-Filesystem erstellt. Danach wird in den /etc/fstab der Clients nach (!) dem Mountbefehl der NFS-Shares ein Eintrag für das Cryptofile erstellt. Nun kann der User in sein Home-Verzeichnis das NFS-Crypto-Share mounten.

Und nun das Vorgehen im Detail:
Zuerst auf dem Server:

• Kernelmodule laden (als Root):
  

  modprobe cryptoloop
  modprobe twofish
      	
  100MB-Datei mit verschlüsseltem ext3 erzeugen (als Root):
  
  		(Achtung: Passwort wird nur einmal abgefragt!)
  dd if=/dev/urandom of=/srv/crypt bs=1M count=100
  losetup -e twofish /dev/loop0 /srv/crypt
  mkfs -t ext3 -m 0 /dev/loop0
  losetup -d /dev/loop0
  chown USER:GROUP /srv/crypt
  	

Dann auf den Clients:

• Kernelmodule laden (als Root):
  

  modprobe cryptoloop
  modprobe twofish
      	
  Eintrag in die /etc/fstab (als Root, nach dem NFS-/srv-Mount):
  
  ...
  (IP NFS-Server):/srv	/mnt/nfs	nfs	rw,hard,intr,rsize=8192,wsize=8192,timeo=14	0       0
  /mnt/nfs/crypt	/home/USER/crypt	ext3	defaults,noauto,loop,encryption=twofish,user	0       0
  ...
  	
  leeres Verzeichnis erstellen und Crypto-Fs mounten (als USER)
  
  cd /home/USER
  mkdir crypt
  mount crypt
  

Beim Mounten wird USER nun nach dem Passwort gefragt und findet dann sein CFS vor. In /home/USER/crypt findet sich ein Verzeichnis lost+found, das von mkfs angelegt wurde. Finger weg davon. Es empfiehlt sich, ein weiteres Verzeichnis anzulegen in dem Dateien und Verzeichnisse abgelegt werden. Aushängen lässt sich das Crypto-NFS-Share mittels einem einfachen

umount crypt

Wer den Beweis angehen will, der soll mittels ethereal (o.ä. Sniffern) einmal das Mounten und Verzeichnis anzeigen eines normalen NFS-Mounts beobachten. Zu achten ist vorallem auf z.B. Verzeichnisnamen etc., die im Klartext übermittelt werden. Und dann versuche er sein Glück mit dem frischen Crypto-NFS-Share...

Christian Sahm