Еще раз об изменении дефолтного расположения .gnupg и местоположения ключей
Система debian 7 x64.
Задача:
вар1.: изменить местоположение директории .gnupg (чтобы хранить ключи и настрйоки в контейнере).
вар2.: рассмотреть возможноть оставить местоположение как есть, в папке /.gnupg. Но хранить отдельно сами ключи.
Вопросы:
1. Объясните пожалуйста максимально доступно, как изменить местоположение .gnupg в линукс. Сделать, например, /media/conteiner.
2. Можно ли осуществить вариант 2?
3. Могут ли быть негативные последствия у реализации первого варианта с точки зрения работы программ, использующих gpg (например, psi, mcabber и тд).
Могут ли возникнуть глюки? В любом случае готов проверить, если будет ответ на вопрос 1.
комментариев: 9796 документов: 488 редакций: 5664
Использовать ln -s /media/conteiner/.gnupg /home/user/.gnupg (симлинк) или mount --bind /media/conteiner/.gnupg /home/user/.gnupg (зеркальное монтирование).
комментариев: 11558 документов: 1036 редакций: 4118
Есть штатные возможности: опция --homedir и переменная GNUPGHOME. Перенесите содержимое .gnupg в любую директорию и укажите путь к этой директории в переменной окружения GNUPGHOME. То есть в Вашем примере добавьте такую строку в ~/.bashrc:
Нормально написанные программы должны искать директорию именно по GNUPGHOME, если таковая задана.
Не получается.
Делалось так:
Но gpg все равно создает все в директории /.gnupg, как и было раньше:
Что я делаю неправильно?
комментариев: 11558 документов: 1036 редакций: 4118
Перелогиниться или выполнить в терминале source ~/.bashrc не забыли?
Да, работает! Спасибо!
комментариев: 9796 документов: 488 редакций: 5664
Очень грязно, unknown. Противник видит, на что симлинк. Противник видит, зачем используется контейнер. А пользователь (дайте мне хрустальные шары) хотел бы, чтобы противник, получивший доступ к его домашней директории, не получил бы никакой дополнительной информации.
Показываю более чистый хак:
Как это работает:
Итак,
По схожей системе настраивается почта с выносом всех конфигов почты в свою директорию ~/mydir2 (все имена условны, можете называть иначе). Единственный минус — мне не удалось сделать чисто с procmailrc, слишком уж он тупой, пришлось создать в основной директории символическую ссылку в стиле unknown'а. Если всё делаете правильно, и дополнительные крипторазделы не подмонтированы на момент атаки, то противник не сможет понять даже предназначение дополнительных крипторазделов и директорий.
Форензики не одобрят этот пост.
комментариев: 9796 документов: 488 редакций: 5664