воскресенье, 20 ноября 2011 г.

Проще, и в то же время надежнее эту же задачу можно решить с помощью пакета libpam-encfs. Создаем папку .private, она будет криптована и private (без точки) -- ее расшифрованное отображение. При создании encfs не забываем применить expert mode и выбрать для имен файлов null-шифрование. Иначе дропбокс будет непрерывно пересинхронизировать файлы. Некоторое снижение секретности здесь неизбежно, с другой стороны папка на гигабайт с именами файлов типа aldkjasldkjasldkj тоже вызывает нездоровый интерес.
Конфигурирование pam-encfs производится в /etc/security/pam_encfs.conf. Комментируем строку с заданием времени idle=1, или подбираем время автодемонтирования по вкусу. Раскомментируем строку вида
* .private private -v allow_other, это позволит при каждом логине через pam автомонтировать папку .private в private, пароль encfs при этом должен совпадать с паролем логина.  Также следует добавить опцию user_allow_other в fuse.conf.

Делаем симлинк на .private в папку Dropbox, и позволяем ему все в себя всосать. Аналогичные процедуры проводим на всех машинах, тянущих файлы с этого дропбокса. В результате через криптованную папку .private и ее некриптованное отображание в локальной системе имеем безопасный обмен. 

Преимущество такой системы состоит в том, что на локальных машинах данные в некриптованном виде просто отсутствуют, при разлогинивании их уже никто не восстановит. Это удобно, если данные живут на ноутбуке, который можно утерять. При этом желательно настроить перелогин и размонтирование криптошары при входе-выходе в сон. Также невредно перенести на криптопапку все конфиги, в которых живут пароли к сервисам, а также кэш паролей браузера.

1 комментарий: