Linux NAS 的加密设置?

Linux NAS 的加密设置?

硬盘加密指南有无数种,但我就是找不到一个真正能满足我要求的。那就是:

我有一个运行 Ubuntu 的家用 NAS,可以通过 Linux 和 Win XP 客户端访问。(希望 MacOS X 很快推出...)我想为 NAS 上的主目录设置加密,以便:

  • 它不会干扰启动过程(因为 NAS 藏在柜子里),
  • 主目录应该可以作为客户端上的常规文件系统访问(例如通过 SMB),
  • 它很容易被“普通”人使用,(因此它不需要通过 SSH 连接到 NAS,在命令行上挂载加密分区,然后通过 SMB 连接,最后在完成后卸载分区。我无法向我妈妈解释这一点,事实上也无法向任何人解释。)
  • NAS 本身不存储加密密钥,
  • 加密文件元数据和内容(即抵御“RIAA”攻击,入侵者无法识别您的 MP3 收藏中有哪些歌曲)。

我希望使用 Samba + PAM。我的想法是,在连接到 SMB 服务器时,我必须在客户端上输入密码,客户端会将密码发送到服务器进行身份验证,服务器将使用密码挂载加密分区,并在会话关闭时再次卸载它。事实证明,这实际上行不通,因为 SMB 不会以明文形式传输密码,因此我无法配置 PAM 以使用传入密码挂载加密分区。

那么...我忽略了什么吗?有什么方法可以使用在客户端(例如在 SMB 连接上)输入的密码来启动在服务器上安装加密目录?

答案1

似乎可能有一个更简单的解决方案。

我还有一个 NAS(就我而言是 DNS-323)。

建议的解决方案是安装TrueCrypt并设置(根据本教程)当存在密钥文件(位于 USB 密钥上)时,它可以打开加密卷。

这样,仅当存在密钥文件时,才会在启动时安装加密卷。

显然,您在 SMB 连接上安装卷的解决方案似乎是最佳选择,但我个人并不经常将卷连接到 SMB。我更喜欢通过 SCP、SSH、UPnP 进行连接。使用上述解决方案,数据仍然受 USB 密钥保护,并且可以使用任何协议访问它。

答案2

在我看来,让 Samba 与 LDAP、PAM 和用户身份验证协同工作的最好(也是最简单的方法)是使用名为 Zentyal (www.zentyal.org) 的 Ubuntu 衍生产品。我不记得它是否有加密主文件夹的选项,但 truecrypt 选项听起来不错。

因此,请尝试使用上面的 TrueCrypt 教程,并使用 Zentyal 完成其余操作。

另外,您可以将其用作访问互联网的网关,并且通过它设置 VPN 非常容易。

法律免责声明:我与 Zentyal 没有任何关联,只是一位非常满意的用户。

相关内容