Mit encfs und autofs ein verschlüsseltes Laufwerk vom Backupserver des Hosters mounten. (Update)

Webhoster wie Hetzner bieten oft gratis einige Gigabyte Platz auf ihren zentralen Backupservern an, um die eigenen Daten zu sichern. Meist sind diese per ftp/sftp oft aber auch über nfs, cifs (Samba / Netzlaufwerk) ansprechbar. Ungünstig ist dies, da so ggf. sensible Daten, ungeschützt auf einem externen zentralen Server liegen. Außerdem ist das Mounten und Un-mounten mit Backup-Skripten gerne mal fehleranfällig.
Es gibt hier aber eine elegante Lösung für dieses Problem mit dem Dienst autofs von Linux und das auch noch über encfs verschlüsselt.

Ziel ist es einen Ordner zu bekommen der, greift man auf diesen z.B. mit „ls -al“ zu, per cifs einen Ordner vom Backupserver mountet und die dort vorhandenen encfs Daten entschlüsselt anzeigt. Am besten völlig transparent ohne vorherige mount Befehle und ohne das Passwort eingeben zu müssen.
Grundlage hierfür war ein Blog-Eintrag von Jinn Koriech (Jinn Koriech’s Blog) aus 2010. Hier wurde schon fast alles komplett erklärt nur das automatische Mounten des verschlüsselten encFS Images hatte Jinn nicht hinbekommen.

Vorbemerkungen

autofs
Mit autofs kann man virtuelle Ordner anlegen. Wird auf diese Ordner zugegriffen führt das System im Hintergrund ein entsprechender mount Befehl aus. Nach einer bestimmten Zeitspanne lassen sich diese Ressourcen auch wieder automatisch trennen. Ein Beispiel wäre das CD-ROM Laufwerk.

encfs
Encfs ermöglicht es, ohne weiteren Container, Dateien im userspace zu verschlüsseln. Unverschlüsselt sieht man die selbe Anzahl an Ordnern und Dateien nur sind die Namen kryptisch ebenso wie deren Inhalt.

Generell sind alle Beispiele auf Grund eines Ubuntu/Debian Systems entstanden. Genauer gesagt Ubuntu 12.02 LTS. Bei anderen Distributionen müssen also entsprechend Anpassungen vorgenommen werden.

Installation

Wir installieren über die Paketverwaltung, encfs, autofs und die cifs Utilities.

Konfiguration

autofs
Die Konfiguration von autofs geschieht über auto.xyz Dateien in /etc/. Die Hauptdatei ist dabei die auto.master welche wir nun editieren. Wir fügen dort eine Zeile ein für unsere eigene neue Konfiguration.

Die Zeile mit +auto.master am Ende kommentieren wir aus. Dies bedeutet nun dass für alle Ordner die mit /net beginnen zukünftig unsere neue Konfiguration /etc/auto.hetzner zuständig ist, die wir nun erstellen.

Es handelt sich hierbei um einen sog. Multimount. Das heißt für einen Ordner müssen mehrere Unterordner gemountet werden. Die erste Zeile bindet per cifs den Ordner /backup auf dem Backupserver als /net/ht-backup auf unserem Server ein. Die zweite Zeile bindet per encfs den Ordner /net/ht-backup als /net/ht-backup/decrypt ein.

Damit dies nun funktioniert müssen wir aber noch einiges anpassen.

cifs
Wie oben zu sehen wird auf eine Datei /etc/backup/samba.auth verwiesen. Diese Datei müssen wir erstellen. Der Pfad kann natürlich gerne auch anders lauten. Wichtig ist das hier Benutzername und Passwort für den Backupserver aufgeführt sind und die Datei nur für Root lesbar ist.

Wir müssen auch noch einige Ordner auf unserem Backup Server anlegen am besten per ftp/sftp. Die Ordnerstruktur sollte so aussehen:

Wenn wir uns den Inhalt von /net/ht-backup anschauen sollten wir nun schon den decrypt Ordner sehen.

Falls nicht hilft ein Blick ins system log.

encfs
Da es für encfs kein so flexibles Mount-Skript gibt erstellen wir uns selbst eines. Ich kann hier keine Gewähr geben das darüber nicht irgendwie Unsinn angestellt werden kann.

Die Datei nennen wir /sbin/mount.encfsextpw wie man sieht, findet sich das encfsextpw auch weiter oben in der Datei /etc/auto.hetzner.

Update 27.01.2017: Erkennung für angehängten „-n“ Parameter durch automount.

encfs möchte eine Bash-Datei die das Passwort ausgibt, also erstellen wir diese ebenfalls unter /etc/backup.

Und setzten die Rechte auf ausführbar und lesbar und das nur für Root.

Für einen ersten Test mounten wir nun unseren Ordner nach /mnt.

Beim ersten Mal wird ggf. gefragt, welches neue Passwort wir haben möchten. Hier geben wir unser zukünftiges Passwort für die Verschlüsselung ein. Dieses muß identisch sein mit dem aus der Datei /etc/backup/encfs.sh.

Hat dies geklappt können wir wieder umount /mnt ausführen.

Testen

Zum testen können wir nun den Inhalt des decrypt Ordners anzeigen lassen und einmal eine Testdatei erstellen.

Damit legen wir eine Datei und einen Ordner an. Diese sollten auch angezeigt werden. Beim letzten ls Befehl dürfen wir nur cryptische Bezeichnungen für die beiden Dateien sehen.

Hinweise

So lange die Passwörter nur für root lesbar sind ist alles einigermaßen sicher. Nicht root hat auch keinen Zugriff auf den decrypt Ordner. Zu prüfen wäre noch ob andere Benutzer nicht in den /net/ht-backup Ordner selbst schreiben dürfen. Hier müssten ggf. noch Rechte geändert werden.

Backupsoftware

Aktuell verwende ich so ein Setup zusammen mit backup2l. Einer einfachen Lösung für schnelle inkrementelle Server Backups.

Fehler nach OS Upgrade

Sollte nach einem OS Upgrade von Ubuntu 12.04 LTS auf Ubuntu 14.04 LTS (trusty) der decrypt mount point nicht mehr funktionieren lohnt es sich ein Blick in die Debug Meldungen. Hierzu autofs stoppen und automount manuell starten

Dann erscheinen in der Konsole direkt alle Debugging Meldungen. Nun in einer zweiten Shell den Inhalt vom /net/ht-backup/decrypt anzeigen lassen.

Steht in den Debugging Meldungen etwas wie:

Dann handelt es sich um eine neuere Version von autofs für die unser /sbin/mount.encfsextpw noch nicht vorbereitet war. Die neue Version oben ist inzwischen korrigiert.

Kommentar verfassen