Zur verschluesselten Datenuebertragung unter Linux hat sich laengst OpenSSH laengst etabliert. Abundzu gibts mal paar kleine Sicherheitsprobleme, aber ansonsten ist die Verwendung ganz okay.
Die meistverwendeten Programme sind
ssh (secure shell) und scp (secure copy)
Auch Benutzer von rsync muessen mit einer Implementierung von OpenSSH nicht auf eine sichere Datenuebertragung verzichten:
/usr/bin/rsync -avzR --rsh=ssh \
--rsync-path='sudo /usr/bin/rsync' \
jambo.eumelnet.de:/var/named/ /usr2/server/jambobackup/
Den root-Zugriff brauchen wir nur, wenn wir Dateien oder Verzeichnisse als normaler Nutzer auf dem entfernten Rechner nicht lesen koennen.
Etwas mehr Komfort bietet da ein VPN mit verschluesselter Datenuebertragung. Auf openvpn.net ist ein Verfahren beschrieben, wie ich mit openssl (easy-rsa) eine eigene Zertifizierungsstelle aufbaue, Client-Zertifikate signiere und denen somit den Zugang zum VPN ermoegliche. Die Datenuebertragung innerhalb dieses Netzwerkes ist sicher, eine Verschluesselung von rsync mit ssh also nicht mehr notwendig. Wie sieht es jedoch mit sensiblen Dateien auf einem Host aus? Angenommen ich wollte die Mail-Logs von einem Linux-Server, die normalerweise nur als root lesbar sind, als normaler Benutzer auf einen anderen Rechner kopieren? Auch hier bietet openssl eine Moeglichkeit.
Quellrechner:
#!/bin/sh
SERVER=kopernikus cd /var/log tar cfz /tmp/mail_info_$SERVER.tgz mail.info* openssl enc -e -aes256 -a -pass pass:KoperNik18 -in /tmp/mail_info_$SERVER.tgz -out /srv/www/htdocs/mail_info_$SERVER.tgz.enc rm -f /tmp/mail_info_$SERVERtgz </code>
Zielrechner:
SERVER=kopernikus
DATE=`date +%Y`
cd /data/logs/$SERVER
wget -q -O mail_info_$SERVER.tgz.enc http://koperikus.eumel.de/mail_info_$SERVER.tgz.enc
openssl enc -d -aes256 -a -pass pass:KoperNik18 -in mail_info_$SERVER.tgz.enc -out mail_info_$SERVER.tgz
tar xfz mail_info_$SERVER.tgz
rm -f mail_info_$SERVER.tgz.enc
rm -f mail_info_$SERVER.tgz
Schwuppdiwupp, die Mail-Logs von kopernikus kann ich ueber Web unverschluesselt und doch sicher auf meinen Rechner uebertragen. Schwachstellen des Programms sind die temporaeren unverschluesselten Dateien, die hier zu Demonstrationszwecken dargestellt sind. Mit | wuerde man alle Programmteile verketten und so lediglich die Dateien im RAM-Speicher angreifbar machen. Zielpunkt war aber die Sicherheit der Dateien in einer unverschluesselten Uebertragung. |