2005-08-31 11:37:21 +02:00
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
< html xmlns = "http://www.w3.org/1999/xhtml" >
< head >
< title > CryptoBox< / title >
< meta http-equiv = "Content-Type" content = "text/html; charset=utf-8" / >
< link rel = "stylesheet" media = "screen" href = "/cryptobox.css" type = "text/css" / >
< / head >
< body >
< div id = "main" >
< div id = "head" >
< h1 > Die CryptoBox< / h1 >
< h2 > und zwar umsonst!< / h2 >
< / div >
< div id = "content" >
< div id = "menu" >
< a href = "/cryptobox?action=init_ask" title = "Ersteinrichtung" > Initialisierung< / a >
< a href = "/cryptobox?action=show_log" title = "Ereignis-Protokoll" > Protokoll< / a >
< a href = "/cryptobox?action=doc" title = "Nutzer-Handbuch" > Hilfe< / a >
< a href = "/cryptobox?action=shutdown_ask" title = "Herunterfahren" > Herunterfahren< / a >
< div id = "words" >
2005-08-12 18:14:42 +02:00
< a id = "top" > < / a >
< ol >
< li >
< a href = "#head-5ed902c46ecec30abecc26fdcd3571661e1e2a45" > Allgemeines< / a >
< ol >
< li >
< a href = "#head-2ee2a633402e09cd9bb956d6c73ad9b088206eab" > Zieleigenschaften< / a >
< / li >
< li >
< a href = "#head-a7956f960cfe72128ad4cf88f2a0605cb499fa40" > Zielgruppe< / a >
< / li >
< li >
< a href = "#head-4fefceadc6642bb8cd44d7308040f968b855e79c" > Auslieferungsformen< / a >
< / li >
< / ol >
< li >
< a href = "#head-40253d66b9a6db89547453b5453e795a3361afc0" > Dienste< / a >
< ol >
< li >
< a href = "#head-9dc7b4d5d46187d6420a41a42193dc91d464c24d" > webinterface< / a >
< / li >
< li >
< a href = "#head-b618d1664742249c31eb99c067de8ae8bc6bbde1" > Samba< / a >
< / li >
< li >
< a href = "#head-ebabfe595d80837be2d98d956b2ef22c259bc2f2" > cups [optional]< / a >
< / li >
< / ol >
< li >
< a href = "#head-7f6469d2c5fb67ffd47693c7ab76b3e98bdf28ff" > Kommunikationssicherheit< / a >
< ol >
< li >
< a href = "#head-bc34afcd3fbcd91e984610f0006ac181b327d114" > Varinate A - Dienste verlangen Zertifikate einer CA< / a >
< / li >
< li >
< a href = "#head-b4ffedcc87fc9030c6577a496492a2a85ee9786b" > Variante B - ipsec< / a >
< / li >
< li >
< a href = "#head-199b22790e295d0d08684accc025578ce7a9bc0d" > Variante C - ssl+iptables< / a >
< / li >
< / ol >
< li >
< a href = "#head-89fe76b7643132073e3d24bf3811dfae9d5aed12" > Sicherheit< / a >
< ol >
< li >
< a href = "#head-904d67346f079ee3d0e9346041948da842cafeba" > physisch< / a >
< / li >
< li >
< a href = "#head-606edd4fcd331cf4a2bc2cce8b58c6bf7fbb9c97" > DAU-Abschirmung< / a >
< / li >
< li >
< a href = "#head-9eed32e533f43900f9ba900afffe739f924af336" > system< / a >
< / li >
< li >
< a href = "#head-df9e59f7b1b0b5b81c9d3e6d7a239a26e0a2d057" > pw aendern< / a >
< / li >
< / ol >
< li >
< a href = "#head-340d5b44acfff8e0df2ce3778e2b351b562ac438" > Doku< / a >
< / li >
< li >
< a href = "#head-ebb84d9adc7e81c694ed7dc4cf30a8affb4d972a" > Nerd-Pride< / a >
< / li >
< / ol >
< p > < / p >
< hr class = "hr1" >
< p > < / p >
< h2 id = "head-5ed902c46ecec30abecc26fdcd3571661e1e2a45" > Allgemeines< / h2 >
< h3 id = "head-2ee2a633402e09cd9bb956d6c73ad9b088206eab" > Zieleigenschaften< / h3 >
< ul >
< li > < p > Daten sind in ausgeschaltetem Zustand geschützt < / p >
< / li >
< li > < p > Netz gilt als relativ begrenzt und sicher < / p >
< ul >
< li > < p > kaum Schutz vor Hackern im lokalen Netz < / p >
< / li >
< / ul >
< / li >
< li > < p > Schutz vor Einbrechern/Hausdurchsuchung < / p >
< / li >
< li > < p > einfache Hardware genuegt (ab 586) < / p >
< / li >
< li > < p > eine grosse Festplatte < / p >
< / li >
< li > < p > (un)mounten ueber einfaches web-interface (mit ssl) < / p >
< / li >
< li > < p > anwenderfreundlich < / p >
< / li >
< / ul >
< h3 id = "head-a7956f960cfe72128ad4cf88f2a0605cb499fa40" > Zielgruppe< / h3 >
< ul >
< li > < p > untechnische Gruppen mit gesunder Paranoia < / p >
< / li >
< li > < p > keine Vorkenntnisse über Server und Kryptografie notwendig < / p >
< / li >
< li > < p > für Einzelpersonen wegen Energiebedarf wohl eher ungeeignet < / p >
< / li >
< li > < p > alle dürfen es nutzen - Support nur für die Guten < / p >
< / li >
< / ul >
< h3 id = "head-4fefceadc6642bb8cd44d7308040f968b855e79c" > Auslieferungsformen< / h3 >
< ul >
< li > < p > Live-CD + einfache Benutzeranleitung (för ölle) < / p >
< / li >
< li > < p > komplette Entwicklungsdokumentation (för säminörds) < / p >
< / li >
< li > < p > Verweis auf die man-page von < em > dmsetup< / em > (för nörds) < / p >
< / li >
< / ul >
< hr >
< p > < / p >
< h2 id = "head-40253d66b9a6db89547453b5453e795a3361afc0" > Dienste< / h2 >
< h3 id = "head-9dc7b4d5d46187d6420a41a42193dc91d464c24d" > webinterface< / h3 >
< ul >
< li > < p > Aufgaben: < / p >
< ul >
< li > < p > (un)mounten < / p >
< / li >
< li > < p > MAC-Liste setzen < / p >
< / li >
< li > < p > Ausschalt-Knopf < / p >
< / li >
< li > < p > Neu-Initialisierung einer Datenfestplatte < / p >
< / li >
< li > < p > Durchführung eines Backups < / p >
< ul >
< li > < p > tar durch ccrypt schicken mit einem per webinterface eingetippten Passwort < / p >
< / li >
< li > < p > eventuell Datei splitten falls größer als [hier beliebige Schwelle einsetzen, z.B.: 650MB] < / p >
< / li >
< li > < p > Ergebnisse sind über samba erreichbar < / p >
< / li >
< / ul >
< / li >
< / ul >
< / li >
< / ul >
< h3 id = "head-b618d1664742249c31eb99c067de8ae8bc6bbde1" > Samba< / h3 >
< ul >
< li > < p > gast-Freigabe ohne Passwort < / p >
< / li >
< / ul >
< h3 id = "head-ebabfe595d80837be2d98d956b2ef22c259bc2f2" > cups [optional]< / h3 >
< ul >
< li > < p > Druckerdienst (zumindest braucht lobbi das) < / p >
< ul >
< li > < p > das is aber nich originol < / p >
< / li >
< / ul >
< / li >
< / ul >
< h2 id = "head-7f6469d2c5fb67ffd47693c7ab76b3e98bdf28ff" > Kommunikationssicherheit< / h2 >
< h3 id = "head-bc34afcd3fbcd91e984610f0006ac181b327d114" > Varinate A - Dienste verlangen Zertifikate einer CA< / h3 >
< ul >
< li > < p > alle Clients bekommen Zertifikate < / p >
< / li >
< li > < p > die CA liegt auf der crypto-partition < / p >
< / li >
< li > < p > per webinterface koennen neue Zertifikate erzeugt werden < / p >
< ul >
< li > < p > fuehlt sich komisch an, muss aber wohl sein - Alternativen? [l] < / p >
< / li >
< / ul >
< / li >
< li > < p > http und samba gibt es nur mit einem korrekten Zertifikat der CA < / p >
< / li >
< / ul >
< h3 id = "head-b4ffedcc87fc9030c6577a496492a2a85ee9786b" > Variante B - ipsec< / h3 >
< ul >
< li > < p > racoon als Schluesselserver < / p >
< / li >
< li > < p > Vorteile: < / p >
< ul >
< li > < p > Verschluesselung fuer alle Dienste ohne basteln < / p >
< / li >
< li > < p > wird von Windows unterstuetzt < / p >
< / li >
< / ul >
< / li >
< li > < p > Nachteile: < / p >
< ul >
< li > < p > für die Labor-wlan-Verbindung war es nicht brauchbar - mystische Ausfaelle < / p >
< / li >
< / ul >
< / li >
< / ul >
< h3 id = "head-199b22790e295d0d08684accc025578ce7a9bc0d" > Variante C - ssl+iptables< / h3 >
< ul >
< li > < p > stunnel macht den Webserver ssl-faehig < / p >
< / li >
< li > < p > samba gibt es auch mit ssl - muss aber vielleicht auch nicht < / p >
< / li >
< li > < p > die MACs der clients müssen freigechaltet werden - iptables < / p >
< / li >
< / ul >
< h2 id = "head-89fe76b7643132073e3d24bf3811dfae9d5aed12" > Sicherheit< / h2 >
< h3 id = "head-904d67346f079ee3d0e9346041948da842cafeba" > physisch< / h3 >
< ul >
< li > < p > Kernel ohne Konsole konfigurieren < / p >
< / li >
< li > < p > Grafikkarte ausbauen < / p >
< ul >
< li > < p > langfrist < / p >
< / li >
< / ul >
< / li >
2005-08-31 11:37:21 +02:00
< li > < p > Tastatur-Port kurzschließen < img src = "smile.png" alt = ":)" height = "15" width = "15" > < / p >
2005-08-12 18:14:42 +02:00
< / li >
< / ul >
< h3 id = "head-606edd4fcd331cf4a2bc2cce8b58c6bf7fbb9c97" > DAU-Abschirmung< / h3 >
< ul >
< li > < p > timeout von 60 Minuten - danach samba beenden, crypto unmounten und abschalten < / p >
< ul >
< li > < p > Problem: smb-broadcasting-muell wird staendig hin- und herfliegen ... [l] < / p >
< / li >
< li > < p > Lösung: herausfinden, welche Ports echten Datenverkehr darstellen < / p >
< / li >
< / ul >
< / li >
< / ul >
< h3 id = "head-9eed32e533f43900f9ba900afffe739f924af336" > system< / h3 >
< ul >
< li > < p > kein ssh < / p >
< / li >
< li > < p > root ohne gueltigen Passworteintrag < / p >
< / li >
< li > < p > eine systempartition (ro) < / p >
< / li >
< li > < p > eine fette daten partition < / p >
< / li >
< / ul >
< h3 id = "head-df9e59f7b1b0b5b81c9d3e6d7a239a26e0a2d057" > pw aendern< / h3 >
< ul >
< li > < p > was machen wenn jemand das kennwort geschnappt hat? < / p >
< ol type = "1" >
< li > < p > ein Backup der Daten erstellen lassen < / p >
< / li >
< li > < p > die crypto-Platte neu initialisieren < / p >
< / li >
2005-08-31 11:37:21 +02:00
< li > < p > das Backup wieder einspielen - im Idealfall natuerlich mit unserem crypto-Backup-Skript < img src = "smile.png" alt = ":)" height = "15" width = "15" > < / p >
2005-08-12 18:14:42 +02:00
< / li >
< / ol >
< / li >
< / ul >
< h2 id = "head-340d5b44acfff8e0df2ce3778e2b351b562ac438" > Doku< / h2 >
< ul >
< li > < p > jeder Schritt der Erstellung wird per Shell-Skript reproduzierbar gemacht < / p >
< / li >
2005-08-31 11:37:21 +02:00
< li > < p > Ziel: System ohne Unsicherheit, notfalls jedesmal neu bauen lassen < img src = "smile.png" alt = ":)" height = "15" width = "15" > < / p >
2005-08-12 18:14:42 +02:00
< / li >
< li > < p > Nutzerdoku in ein Wiki < / p >
< / li >
< li > < p > beides in ein svn-repos < / p >
< / li >
< / ul >
< h2 id = "head-ebb84d9adc7e81c694ed7dc4cf30a8affb4d972a" > Nerd-Pride< / h2 >
< ul >
< li > < p > Erkennung der Netzwerk-Hardware < / p >
< ul >
< li > < p > damit wir keine vorkonfigurierten Komplettrechner ausliefern müssen < / p >
< / li >
< li > < p > bei Knoppiix abgucken < / p >
< / li >
< / ul >
< / li >
< li > < p > Led, die den crypto-Status anzeigt < / p >
< / li >
< li > < p > externer Abschalter (sanft!) für nicht-atx < / p >
< / li >
< / ul >
< a id = "bottom" > < / a >
< / div >
< p id = "pageinfo" class = "info" lang = "en" dir = "ltr" > last edited 2005-07-07 17:18:29 by < span title = "" > < / span > < / p >
< / div > <!-- end page -->
2005-08-31 11:37:21 +02:00
< div id = "footer" >
< ul class = "editbar" >
< li > < a href = "CryptoBoxKonzept?action=edit.html" > Edit< / a > < / li >
< li > < a href = "CryptoBoxKonzept?action=diff.html" > Show Changes< / a > < / li >
< li > < a href = "CryptoBoxKonzept?action=info.html" > Get Info< / a > < / li >
< li >
< form class = "actionsmenu" method = "get" action = "" >
< div >
< label > More Actions:< / label >
< select name = "action"
onchange="if ((this.selectedIndex != 0) & &
(this.options[this.selectedIndex].disabled == false)) {
this.form.submit();
}
this.selectedIndex = 0;">
< option value = "raw" > Show Raw Text< / option >
< option value = "print" > Show Print View< / option >
< option value = "refresh" > Delete Cache< / option >
< option value = "show" disabled class = "disabled" > --------< / option >
< option value = "AttachFile" > Attachments< / option >
< option value = "SpellCheck" > Check Spelling< / option >
< option value = "LikePages" > Show Like Pages< / option >
< option value = "LocalSiteMap" > Show Local Site Map< / option >
< option value = "show" disabled class = "disabled" > --------< / option >
< option value = "RenamePage" disabled class = "disabled" > Rename Page< / option >
< option value = "DeletePage" disabled class = "disabled" > Delete Page< / option >
< option value = "show" disabled class = "disabled" > --------< / option >
< option value = "VisualSiteMap" > Visual Site Map< / option >
< / select >
< input type = "submit" value = "Do" >
< / div >
< script type = "text/javascript" >
<!-- // Init menu
actionsMenuInit('More Actions:');
//-->
< / script >
< / form >
< / li >
< / ul >
< ul id = "credits" >
< li >
Ein
< a href = "https://systemausfall.org" title = "systemausfall.org" > systemausfall.org< / a >
Wiki - angetrieben durch < a href = "http://moinmoin.wikiwikiweb.de" title = "MoinMoin Wiki" > MoinMoin< / a >
< / li >
< / ul >
< / div >
<!-- Creative Commons License -->
< br / >
< div style = "text-align:center; font-size:10px" >
< a rel = "license" href = "http://creativecommons.org/licenses/by-sa/2.5/" > < img alt = "Creative Commons License" border = "0" src = "somerights20.gif" / > < / a > < br / >
< font size = "1" > This page is licensed under a < a rel = "license" href = "http://creativecommons.org/licenses/by-sa/2.5/" > Creative Commons Attribution-ShareAlike 2.5 License< / a > .< / font >
< / div >
<!-- /Creative Commons License -->
< / body >
< / html >
< / div > <!-- end of 'words' -->
< div id = "footer" >
< a href = "https://systemausfall.org/prj/cryptobox" title = "Projekt-Seite" > CryptoBox-Home< / a > Die CryptoBox ist ein Projekt von < a href = "https://systemausfall.org/senselab" title = "systemausfall.org" > sense.lab< / a >
< / div >
< / div >
< / div >
< / body >
< / html >
2005-08-12 18:14:42 +02:00