Truecrypt im Netzwerk

[F!5H]

Moin,
ich habe mir gerade neue Festplatten zugelegt und somit bietet es sich an, die Platten endlich mal zu verschlüsseln.
Ich habe momentan 3 500GB Festplatten im Server, von denen ich 2 verschlüsseln will.

Nun stellt sich die Frage, wie?
Zugriff auf den Inhalt erfolgt eigentlich nur per Netzwerk.
Somit könnte man auf jede einen großen Container machen, und diesen dann auf dem Laptop mounten.
Dazu folgende Fragen: wie sieht es mit der Dateisystemsicherheit aus? Sprich wenn ich im gemounteten zustand mal die WLAN Verbindung verliere etc.?

Alternativ könnte man ja auch auf dem Server mounten.
Hätte den Vorteil, dass problemlos mehrere Clients zugreifen können und auch die CPU Last nicht auf dem Laptop liegt.
Gibt es dafür irgendwelche Scripts oder so?
Jedes Mal per Remotedesktop verbinden widerstrebt mir.

gruß
F!5H

 

[Mutato]

Bei der ersten Variante ist die Konsistenz des Dateisystems gewährleistet, weil afaik man Container per Netzwerk nur im read-only mode mounten kann. Dürfte sicherlichdamit für dich nicht interessant sein.
Damit bleibt nur Variante 2. Aber da habe ich gute Nachrichten. Es gibt sogenannte Systemfavoriten, die beim Systemstart automatisch ohne Script gemountet werden können. Hier der englischsprachige Link dazu.

 

[mrlinux]

warum sollte man nur als ro mounten können?
samba aufsetzen container freigeben und mounten funktioniert prima

 

[F!5H]

Danke erstmal, aber verstehe ich das richtig, dass die Systemfavoriten dann die ganze Zeit gemountet sind?
Mir wäre etwas in der Art Laptop an, Script startet -> sendet Befehl an der Server und erst wird gemountet und freigegeben lieber.

@mrlinux
ich hatte das auf der Seite so verstanden, dass man den Container mit einem PC im rw Modus mounten kann, alle anderen PCs können das dann nur in ro Modus. Trotzdem bleibt da die Frage, was passiert, wenn ich die Verbindung einfach so trenne.

gruß
fish

 

[F!5H]

niemand, der es selber so nutzt und dazu was sagen kann?

 

[FLiNTx]

Was spricht denn dagegen, dass immer gemountet zu haben?

Es geht doch in 98% der Fälle sowieso nur darum, dass die Daten unlesbar sind, wenn jemand drittes die Platte - z.B. beim Verkauf - in die Finger bekommt.

 

[orpheus88]

Ich hab mal für nen Kollegen ein Mountscript (in AutoIt) geschrieben womit du Remote eine Platte/Partition mit TC mounten kannst.
Setzt vorraus das du nen Account mit Rechten für Remote Desktop hast.

Was du dafür brauchst wäre ein Skripting Programm, die Truecrypt-Kommandozeilenanleitung und psexec um Programme remote auszuführen.

 

[heuchler]

@FLiNTx: In 80% der Computerforen in denen es um Allgemeines (Also keine wirklichen Fachforen) geht, wünscht man sich eine Verschlüsselung weil man Angst davor hat, dass das BKA mal anklopft oder Schäuble vorrollt und nicht um Betriebsspionage ;-)

Der Netzwerkzugriff auf einen Container ist i.d.R. kein Problem.
Du müsstest halt den freigegebenen Ordner mappen, auf dem der Container liegt.
Diesen öffnest Du dann mit TC.
Ist die Verbindung weg, hast Du ein Problem mit dem Schreibzugriff (obwohl man den Inhalt u.U. noch sieht) und Du musst den Container neu mounten.
Testen kannst Du das auch selber.

Irgendwo eine Freigabe erstellen, Container erstellen, mounten WLAN unterbrechen.. versuchen zuzugreifen.

Grüße,
Daniel

 

[orpheus88]

#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_Add_Constants=n
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****
#include <GUIConstantsEx.au3>
GUICreate("My GUI edit", 300, 100)  ; will create a dialog box that when displayed is centered
$myedit = GUICtrlCreateInput ("",1,1,100, 30 )
GUISetState ()
; Run the GUI until the dialog is closed
While 1
    $msg = GUIGetMsg()
	    If $msg = $myedit Then ExitLoop
    If $msg = $GUI_EVENT_CLOSE Then ExitLoop
Wend
$pass = GUICtrlRead ($myedit)
run('"V:\Pfad zu psexec\psexec.exe" \\Computername -u Nutzeraccount -p Passwort_vom_Nutzer "J:\Pfad zum TrueCrypt\TrueCrypt.exe" /v \Device\Harddisk2\Partition1 /lu /a /p ' & $pass & ' /q')
;;;   PC wo Skript gestartet wird                                                           PC wo gemountet werden soll         /v \verschlüsselte Partition/Platte  /lLAUFWERKSBUCHSTABE

Irgendwie so wäre der Code für AutoIt (hab den Code nicht mehr im Original da wie ich ihn weitergegeben hab), das Script erstellt ein Fenster mit nem Passwortfeld und da gibst du dein Passwort ein, drückst Enter und das Script sendet den Befehl per Remote-Konsole zum Server wo du die Partition mounten willst.
Damit das ganze für dich funktioniert musst die einzelnen Punkte des run-Befehls an deine Gegebenheiten anpassen.grün der Rechner auf dem du das Script startet | der rot der Rechner auf dem du etwas mounten willst

V:\Pfad zu psexec\psexec.exe Der Pfad zur psexec.exe
\\Computername Name des Rechners im Netzwerk
-u Nutzeraccount Benutzername mit Remote-Desktop-Rechten
-p Passwort_vom_Nutzer Passwort zum Benutzername mit Remote-Desktop-Rechten
J:\Pfad zum TrueCrypt\TrueCrypt.exe Installationspfad zum Truecrypt-Programm
\Device\Harddisk2\Partition1 welche Festplatte/Partition gemountet werden soll
/lu unter welchen Laufwerksbuchstaben soll die Partition gemountet werden (lu heißt z.B. sie wird unter U:\ gemountet)

 

[F!5H]

Oha, vielen Dank erst Mal.
Ich guck mir das Ganze später genauer an.

gruß
fish

 

[F!5H]

Also,
ich habe inzwischen die Truecrypt-Container erstellt und auch soweit das Remote mounten und freigeben gelöst.
Dazu verwende ich Telnet und auf dem Server liegende Batch-Datein.

Bsp.:

@echo off
fsutil fsinfo drives
pause
set /p PW=Passwort eingeben: 
echo Sie haben "%PW%" eingegeben.
truecrypt /q /v "TC1\TC1.tc" /l t /p "%PW%"
echo Netzwerkfreigabe:
net share "Ganz geheim"=T: /g:Jeder,READ /g:F!5H,FULL /r:"Freigabe von TC1"

das einzige was bei Truecrypt momentan etwas nervt ist, dass nichts über die Kommandozeile zurückgegeben wird.
sprich man gibt "truecrypt /?" ein und es grafische anzeige auf dem Sever (bzw. bei Telnet-Sitzung nichts...)

des Weiteren: werden die Telnet-Sitzungen von Windows irgendwie geloggt? (sowohl Client- als auch Serverseitig?)

gruß
fish

 

[F!5H]

niemand was dazu?

hier noch Mal meine endgültigen Scripte:

Mount

Spoiler

@echo off
Set "-=-    -    -    -    -    -" 


:BIGSTART
echo %-%
for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do if exist %%i: (echo Laufwerk %%i: ist vorhanden && vol %%i: && echo %-%)


:START
fsutil fsinfo drives
echo.

echo Welches Volumen soll gemountet und freigegeben werden?
echo 1: Freigabe A (T:)
echo 2: Freigabe B (U:)
echo 3: Freigabe C (M:)
echo 4: Freigabe D (S:)
echo -    -    -
echo 5: ABBRECHEN
echo -    -    -
echo 6: Laufwerksnamen
echo 7: Freigabeuebersicht
echo.

sET /p "a=Zahl eingeben: "
echo.

if %a% == 1 (SET "PFAD=TC1\TC1.tc" && SET "VOL=T" && SET "TITLE=Freigabe A" && GOTO CHECKMOUNT) 
if %a% == 2 (SET "PFAD=TC2\TC2.tc" && SET "VOL=U" && SET "TITLE=Freigabe B" && GOTO CHECKMOUNT) 
if %a% == 3 (SET "PFAD=TC3\TC3.tc" && SET "VOL=M" && SET "TITLE=Freigabe C" && GOTO CHECKMOUNT) 
if %a% == 4 (SET "PFAD=TC1\special.tc" && SET "VOL=S" && SET "TITLE=Freigabe D" && GOTO CHECKMOUNT) 
if %a% == 5 (GOTO :EOF) 
if %a% == 6 (GOTO BIGSTART)
if %a% == 7 (GOTO FREIGABE) ELSE (GOTO ERR)


:CHECKMOUNT
if exist %vol%: (echo %TITLE% ist schon auf %VOL% gemountet && echo. && pause && GOTO START) ELSE (GOTO MOUNT)


:MOUNT
echo %TITLE% (%PFAD%) mounten:
sET /p "PW=Passwort eingeben: "
echo.
truecrypt /q /v "%PFAD%" /l %VOL% /p "%PW%"
echo Netzwerkfreigabe:
net share "%TITLE%"=%VOL%: /g:F!5H,FULL /r:"Freigabe von %TITLE% (%PFAD%)"
pause
GOTO START


:ERR
echo KEINE GUELTIGE ZAHL!
echo.
echo Bitte geben Sie ein Zahl zwischen 1 ^& 7 ein!
echo.
pause
GOTO START


:FREIGABE
net share
echo.
pause
GOTO START

Dismount:

Spoiler

@echo off


:BIGSTART
net share


:START
fsutil fsinfo drives
echo.

echo Welche Freigabe soll aufgehoben werden?
echo 1: Freigabe A (T:)
echo 2: Freigabe B (U:)
echo 3: Freigabe C (M:)
echo 4: Freigabe D (S:)
echo -    -    -
echo 5: ABBRECHEN
echo -    -    -
echo 7: Freigabeuebersicht
echo.

set /p "a=Zahl eingeben: "
echo.

if %a% == 1 (SET "PFAD=TC1\TC1.tc" && SET "VOL=T" && SET "TITLE=Freigabe A" && GOTO CHECKMOUNT) 
if %a% == 2 (SET "PFAD=TC2\TC2.tc" && SET "VOL=U" && SET "TITLE=Freigabe B" && GOTO CHECKMOUNT) 
if %a% == 3 (SET "PFAD=TC3\TC3.tc" && SET "VOL=M" && SET "TITLE=Freigabe C" && GOTO CHECKMOUNT) 
if %a% == 4 (SET "PFAD=TC1\Freigabe D.tc" && SET "VOL=S" && SET "TITLE=Freigabe D" && GOTO CHECKMOUNT) 
if %a% == 5 (GOTO :EOF) 
if %a% == 7 (GOTO BIGSTART) ELSE (GOTO ERR)


:CHECKMOUNT
if exist %vol%: (GOTO DISMOUNT) ELSE (echo %TITLE% ist nicht gemountet && echo. && pause && GOTO START) 


:DISMOUNT
echo %TITLE% (%PFAD%) freigeben:
net share "%TITLE%" /d
echo %TITLE% aufgehoben
truecrypt /q /d %VOL% /f
echo Dismount: %TITLE% (%VOL%: (%PFAD%))
echo.
pause
GOTO START


:ERR
echo KEINE GUELTIGE ZAHL!
echo.
echo Bitte geben sie ein Zahl zwischen 1 ^& 7 ein!
echo.
pause
GOTO START

gruß
fish

 

[infinity_dev]

TrueCrypt schreibt normalerweise nicht auf der Standardausgabe. Allerdings wird immer ein Exit Code beim Beenden des TrueCrypt Aufrufs zurückgeliefert, der anzeigt ob die Operation erfolgreich war. Ich benutze diesen unter Linux um eine externe Festplatte per Webbrowser anzuschalten und zu mounten. In Windows Batch-Dateien bekommt man diesen Exit Code über die Variable ERRORLEVEL. Wenn die 0 ist, ist alles ok, ansonsten gabs einen Fehler. Wie man damit Spielchen treiben kann, kannst du z.B. dort nachlesen:

http://www.administrator.de/index.php?content=97143