1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

sparseimage auf RedHat bearbeiten?

Dieses Thema im Forum "Unix & Terminal" wurde erstellt von mmaul, 04.03.06.

  1. mmaul

    mmaul Gast

    Hallo zusammen,

    gibt es eine Möglichkeit, OS-X-erzeugte AES-verschlüsselte sparseimages auf einem Linux-(RedHat-)System zu mounten? Bei freshmeat et al. habe ich bisher nichts gefunden...

    ((Ich möchte ich eine Sicherheitskopie meiner Arbeitsdaten auf meinem Server ablegen, ohne die Sicherheit der Inhalte zu gefährden. Idee hierfür: sparseimage per sftp hochladen, mounten, Inhalt in einer ssh via rsync abgleichen und sofort danach unmounten. Bessere Ideen sind natürlich ebenso willkommen.))


    Cheers,
    Mathias. :)
     
  2. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.903
    Das geht noch nicht mal mit unverschlüsselten.
     
  3. mmaul

    mmaul Gast

    Hm, schade. GPG ließ sich auf dem remote server gut compilieren, dann werde ich es damit versuchen. Danke für die schnelle Antwort!
     
  4. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.903
    GPG soll dir ein AES-verschlüsseltes Volume zugänglich machen???
    Na, da wirst du herb enttäuscht werden.
    Oder war das anders gemeint...?
     
  5. mmaul

    mmaul Gast

    Um Himmels willen, nein. ;) War anders gemeint: Ich mounte das Volume lokal und synchronisiere die Files via rsync mit dem Server. Dann mach ich auf dem Server ein tar, lösche die Files und verschlüssle das tar mit GPG. Im Prinzip also dasselbe in Grün, nur halt mit GPG statt hdiutil.

    (... wär natürlich praktisch, wenn gpg verschlüsselte Verzeichnisse direkt mounten könnte. Vielleicht kann es das ja auch, habe die Dokumentation noch nicht ganz durch.)
     
  6. mmaul

    mmaul Gast

    [langsam wirds OT]

    update für andere leser des threads: einige infos zum verschlüsselten mounten gibt es z.B. hier.
     
  7. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.903
    Ah ja, klar. So gibt das natürlich Sinn. :)

    Kleiner Vorschlag:
    Erzeuge das tarfile bereits auf dem Mac, dann klappts auch mit den Resourceforks und den anderen Metadaten, die ein Linux nicht kennt, zB die wichtigen Creator- oder Typcodes.
    (Dann fallen all diese lästigen ._* Dateien weg, die diese Features auf "fremden" Dateisystemen emulieren müssen.)
    rsync ist dagegen nicht unbedingt ein Freudenspender...

    Wieder entpacken solltest du das tar natürlich auch mit der OS X-Variante, sonst hast du nicht viel davon.
    Für ältere OS X-Versionen (Panther, Jaguar ?????) ist es dazu übrigens erst mal erforderlich, das entsprechend erweiterte "hfstar" bei Sourceforge zu besorgen.
    Ältere Versionen von tar killen auch dort die Mac-typischen "Extras" in erbarmungsloser Manier. (Apple benutzte damals selbst konsequent pax und/oder cpio statt tar.)

    "Verschlüsselte Verzeichnisse" gibt es nicht. Verschlüsseln kann man nur einzelne Dateien. Du kannst also immer nur mit irgendwelchen Imagedateien arbeiten, wenn du ganze Ordnerhierarchien verschlüsseln willst.
    Und auf denen braucht es immer irgendein Dateisystem, um die Daten darin zu organisieren.
    (Eine Archivdatei a la ZIP oder tar ginge natürlich zum verschlüsseln auch, klar...)

    Da du vermutlich keine Features des Mac vermissen möchtest und mit HFS-Dateisystemen bei "normal" ausgestatteten Linux-Distris auf ziemlich taube Ohren stösst, empfiehlt sich die Verwendung von UFS.
    Das kannst du unter der Bezeichnung "BSD FFS 4.4" auch unter Linux recht einfach mounten, den Support dafür kompilierst du dir am besten gleich in einen eigenen Kernel, soweit das noch nicht geschehen ist.
    (An manchen Stellen wird das auch lapidar "NeXT Support", "FFS" oder "Darwin FFS/UFS" genannt.)

    Allerdings funktioniert das nie und nimmer als *Sparse*image. Das ist und bleibt bis auf weiteres "Darwin only". Ob die anderen BSD-Derivate das mal übernehmen werden, bleibt völlig unklar. Da das Format mit Tiger eine brauchbar stabile Fassung erlangt hat, wäre es die angemessene Zeit dafür.

    Das Erzeugen der Imagedatei erledigt man dabei vorzugsweise nicht mit hdiutil, sondern "von Hand". Das meint als "raw" File, also als sektorgetreues 1:1 Abbild eines imaginären Datenträgers ohne hinzugefügte oder weggelassene Daten.
    Das "hdiutil" von Darwin fügt dagegen zusätzliche Metadaten auf xml-Basis hinzu, die unter Linux nicht bekannt sind und das Mounten per loop-Device zu einer Abenteuerexpedition ausarten lassen. Andererseits ist es für Darwin kein Problem, die Images von anderen Plattformen (zB mit 'dd' gezogen, also ohne diese zusätzlichen Metadaten) problemlos als *.dmg Datei zu verwenden.
    (Es muss halt nur ein Dateisystem darin sein, das vom OS unterstützt wird...UFS eben, weil es alles bietet, was ein Unix so braucht und für BSD ebenso vorhanden ist wie für GNU/Linux.)

    Ich vermute mal, dass ich dir nicht extra erklären muss, wie man eine leere Datei mit einer beliebigen, ganzzahlig vielfachen Grösse von 512 Byte erzeugt, als *.dmg benennt, mit "hdiutil attach -nomount" als Raw-Device aktiviert und dann wie jeden anderen Datenträger auch formatiert.
    (bzw partitioniert - mit fdisk, da PCs ja nur das eigene MBR-Format fressen. Ist halt dann am PC unnötig kniffelig zu mounten...)

    Das verschlüsseln der Imagedatei sollte dann ebenfalls mit einer Software erfolgen, die auf beiden Unixen vorhanden ist. GnuPG lässt grüssen, denn die AES-Variante von OS X fügt der Imagedatei einen zusätzlichen Header hinzu, den du ja mit Linux nicht brauchen kannst.
    Wenn du allerdings gedenkst, eine Imagedatei im verschlüsselten Zustand "live" zu mounten (so wie zB mit PGPdisk oder Apples hdiutil), davon rate ich dringend ab.
    Da muss GPG sich die Sporen erst noch verdienen. Ich vermute mal, dass dir deine Daten wichtiger sind als Bequemlichkeit und Geek-o-mania.
    Ver/Ent-schlüssele lieber nur "off-line". Besser das ist.

    Übrigens sind die GPG-Ciphers und das von hdiutil präferierte AES nicht die einzige "harte" Verschlüsselungstechnik, die unter OS X ebenso wie unter Linux greifbar ist.
    Blowfish, TripleDES, IDEA, CAST oder RC5 sollten keinem Paranoiker zu fade sein.
    (Brave GNU'ler lassen die Finger vom Patentschwein IDEA.)

    "Easy-to-use" Software wie "PuzzlePalace" macht auch unter OS X nur Gebrauch von dem, was unter der Haube längst da ist. OpenSSL ist schliesslich kein Geheimnis, nur ein wenig unbekannt und vernachlässigt. Und wo ssh ist, kann auch SSL nicht weit sein...
    http://personalpages.tds.net/~brian_hill/puzzlepalace.html
    (Einfach ansehen - eine fertige Imagedatei per Drag'n'Drop in Ciphertext verwandeln und zurück kann so einfach sein. Ob dieses kleine praktische Helferchen auch skriptfähig ist, weiss ich aber leider nicht.)
     
  8. mmaul

    mmaul Gast

    Ja, "Abenteuerexpedition" trifft's ganz gut, wie die ersten Experimente mit GPG und loopback-Device gezeigt haben. ;) Dabei hatte ich noch nichtmal an die Meta-Daten gedacht ... grummel.

    Weil es knifflig werden dürfte, bei einem gehosteten, non-dedicated Server einen Kernel mit UDF-Support zu compilieren, bleibt im Moment wohl nur, das Verschlüsseln wie bisher lokal zu handlen und dann das File nachts in hoffentlich weniger als 9 Stunden zum Server hochzuladen. (Die Idee mit live mounten und rsync kam ja erst, als ich merkte, wie lange es dauern würde, das verschlüsselte Image hochzuladen. Nun hoffe ich auf ADSL2 mit 1KBit/s upstream.)

    Danke für die Unterstützung, ich bin jetzt um einiges schlauer. (seufz) ;)
     

Diese Seite empfehlen