PGP контейнер в сети. Совместный доступ.
Хотел поделиться опытом как можно расшарить контейнер для нескольких пользователей в сети. Хотелось бы сразу согласиться с уважаемым SATtva, в том, что PGP априори является продуктом для персонального использования и заниматься этим есть смысл если есть полное доверие к пользователям сети и сама сеть является достаточно защищенным (а лучше изолированным) объектом. Не приветствуется в этом плане наличие в сети шлюза интернета, особенно с постоянной привязкой внешнего IP. Наличие файрволов не гарантирует закрытость сети :wink: .
Прежде всего, абсолютно все равно где в сети будет находиться контейнер. Но необходимо наличие на машине полноценной сетевой операционной системы, например Win2000/XP (9x не подойдет ввиду крайне слабой защиты сетевух рессурсов). Доступ к контейнеру расшаривается только для одной машины – машины администратора по серетной части. Хотя лучше всего ему (контейнеру) быть на машине админа (это намного увеличит скорость доступа) и на съемном носителе (береженого Бог бережет, всегда будет возможность подорвать когти). Машина админа также должна предоставлять полноценный сетевой доступ пользователей к своим рессурсам, тобишь работать под подобной же сетевой операционной системой. Задача админа:
1) вскрыть контейнер
2) создать пользователей которым разрешен доступ к данным контейнера, с паролем, индивидуальным для каждого пользователя, а еще лучше если позволяет операционка с привязкой к MAC адресу сетевой карты
3) расшарить доступ к виртуальному диску для указанных пользователей. Важным моментом является назначение прав пользователей на доступ к диску (чтение/запись/полный и т.д.). Подобная схема не запрещает нескольким пользователям работать с диском на запись, т.к. для них (пользователей) это будет обычный сетевой диск (кроме конечно работы нескольких пользователей с одним документом).
4) как уже говорилось ранее в случае какой опасности сорвать диск носитель контейнера и сделать ноги 8) .
Вот собственно и все.
P. S. При такой схеме иметь установленный пакет PGP и уметь с ним работать может только админ, что немаловажно. Пользователь в принципе даже не догадываются, что их данные шифруются.
жд жалко, попробовал на дискете, вроде нормально (бесткрипт)
это из-за того что программы просто не приспособленны для работы с тиками объамами?
имеет смысл разбить на более малые 1-2 гига? Или тоже считается крупными контейнерами?
комментариев: 11558 документов: 1036 редакций: 4118
Скорее из-за структуры файловой системы, в которой находится контейнер. По-моему, Lahesis поставил эксперимент с большими контейнерами на сильно фрагментированном жёстком диске. Файловая система таких контейнеров в определённых обстоятельствах просто разваливалась.
В разделе "Других программ" Kent привёл ссылки на новый софт — TrueCrypt. Программа бесплатна, весьма надёжна, распространяется в исходных текстах, разрабатывается группой независимых программистов. При этом позволяет как создавать контейнеры, так и целиком шифровать логические разделы дисков, поддерживает работу из командной строки. Стоит попробовать, по-моему.
комментариев: 437 документов: 30 редакций: 15
Если я правильно понимаю фразу "Network volumes are not supported".
комментариев: 11558 документов: 1036 редакций: 4118
ш. контейнеры расшариваются на полный доступ, а клиенты просто монтирует его у себя?
Я всё же считаю, что лучшее решение на сегодняшний день – Drivecrypt от Securstar.
2 trollya:
это делать можно, причем лучше расшаривать доступ к папке с кучей музыки и фильмов, среди которых – несколько ш. контейнеров в формате .wav. В таком виде всё прекрасно работает. Одна проблеммка – при траблах в сетке или брутальном отключении ш.диска дата и время последнего доступа к файлу-контейнеру не сбрасываются, поэтому нужны еще доп. меры.
Вот что написано в Руководстве пользователя PGP на стр 6
Подключение контейнера на удалённом сервере
Контейнер, размещённый на серверной системе, может использоваться пользователем и удалённо. Это может быть достигнуто двумя способами:
Как удалённый общий ресурс (share). В этом случае задача администратора сводится к подключению контейнера на серверной системе, созданию в системе профилей пользователей с индивидуальными паролями доступа и правами на чтение-запись (средствами ОС, а не PGPdisk!), открытию общего доступа (share) для данных пользователей к логическому разделу. В дальнейшем пользователи могут работать с содержимым контейнера, как с обычным сетевым диском; наличие PGP на их компьютерах не требуется.
(ну это как у автора темы, как я понял)
Как удалённый частный ресурс. Пользователи подключают контейнер удалённо со своих Windows-систем. Если контейнер с файловой системой FAT(32) подключен пользователем локально, он получит к нему полный доступ на чтение-запись, тогда как другие пользователи не будут иметь доступ к содержимому. Чтобы использовать контейнер в удалённом режиме совместно, пользователи должны подключать его с правами "только на чтение". Данное ограничение не касается контейнеров с файловой системой NTFS. Этот способ работы требует наличия PGP на компьютере каждого пользователя.
(насчет NTFS, у меня всё равно не получается совместной работы с полным доступом, мож я чего не так делаю)
имхо, достаточно написать программку\скрипт\плагин (к ПГП, например), которая бы защищенную область памяти время от времени переносила в иное место. Каждый час, к примеру, или чаще\позже – по необходимости.
комментариев: 2 документов: 0 редакций: 0
Сервер: Windows Server 2003 + PGP 8,9 (НАстроить диск на маунт в папку NTFS)
Админ: Windows XP/Server + RDC.
Клиенты: Win 9x/NT/XP
Сервер загружается до выбора юзера
Админ монтирует USB Flash карточку с ключом, на который криптован диск в свою машину (флэш драйв шаред), через RDC открывает сессию, настроенный на автоподъем PGPдиск, открывает ключики с путей типа \\admin\usb-drive\privkeys\, если ключик найден, показывает риглашение ввести пароль и смонтировать контейнер. Далее запускается скрипт стартующий необходимые сервисы и шасшаривающий папки в контейнере.
Нюансы PGP 8::
1. Если через RDC зайти на тот же сервер с другой машины – PGP диск размонтируется.
2. Не забудте убрать бекап секретного ключа в локальную папку (\Doc&Set\User\App. Date\PGP\)
3. Через RDC можно смонтировать только в пустую папку NTFS.
4. В RDC сессии на сервере папки и файлы в открытом контейнере не удаляются, а через сеть расшаренные папки и файлы из контейнера удаляются стабильно.
P. S. не пинайте те, для кого эта схема тривиальна, может кому пригодится.
Если кто проверял подобную схему на PGP 9 – поделитесь опытом! Как PGP 9 Whole Disk Ens. монтируется через RDC ?
комментариев: 11558 документов: 1036 редакций: 4118
Не совсем понятен вопрос. Аутентификация пользователя (и размещение шифроключа в ОЗУ) производится до запуска ОС, так что ни о каком удалённом подключении не может быть и речи. Что касается удалённого доступа к уже запущенной и расшифрованной машине, здесь нет никаких отличий от обычного незашифрованного варианта.
комментариев: 2 документов: 0 редакций: 0
комментариев: 11558 документов: 1036 редакций: 4118