Date: Fri, 29 Mar 2024 10:49:17 +0100 (CET) Message-ID: <1590053148.1774.1711705757065@wiki.intern.hhu.de> Subject: Exported From Confluence MIME-Version: 1.0 Content-Type: multipart/related; boundary="----=_Part_1773_1961865687.1711705757064" ------=_Part_1773_1961865687.1711705757064 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: quoted-printable Content-Location: file:///C:/exported.html
Um Daten auf dem HPC-System verschl=C3=BCsselt zu speichern, emp= fiehlt sich die Nutzung der Software gocryptfs
Die Software erm=C3=B6glicht eine transparente Verschl=C3=BCsselung von = Daten und l=C3=A4sst sich mit jedem Programm verwenden. Die Daten liegen da= bei in einem verschl=C3=BCsselten Container und lassen sich nur mit dem daz= ugeh=C3=B6rigen Passwort lesen und =C3=A4ndern.
Diese Passw=C3=B6rter sollten selbstverst=C3=A4ndlich nicht im HPC-Syste= m gespeichert werden, da sonst ein Angreifer diese direkt mit klauen kann. = Dies ist vergleichbar mit der EC-Karten-Pin, welche niemals mit im Portemon= naie sein sollte.
Die Software ist auf dem HPC-System als Modul verf=C3=BCgbar und muss vo= r der Verwendung geladen werden.
module = load gocryptfs/1.7.1
Container d=C3=BCrfen nicht gleichzeitig an mehreren Stellen gemountet s= ein. Dies kann zur Zerst=C3=B6rung der Daten f=C3=BChren.
Um einen Container zu erzeugen, ben=C3=B6tigt man ein leeres Verzeichnis= welche man als Container einrichtet.
mkdir /= gpfs/project/$USER/container_1 gocryptfs -init /gpfs/project/$USER/container_1
Bei diesem Vorgang wird man nach einem Passwort gefragt, welches genutzt= wird um die Daten zu verschl=C3=BCsseln. Dieses Passwort muss sicher abgel= egt werden. Zudem wird ein Master-Key ausgegeben, der am besten in einen Tr= esor gelegt wird. Mit diese Key k=C3=B6nnen die Daten gerettet werden, fall= s die Konfigurationsdatei verloren geht.
Um den Container zu =C3=B6ffnen, ben=C3=B6tigt man ein leeres Verzeichni= s, wo die Daten eingebunden werden sollen und das Passwort des Containers.<= /p>
mkdir -= p /tmp/$USER/container_1_unencrypted gocryptfs /gpfs/project/$USER/container_1 /tmp/$USER/container_1_unencrypte= d
Mit diesem Befehl wird der verschl=C3=BCsse= lte Inhalt von container_1 als unverschl=C3=BCsselte Daten in container_1_u= nencrypted angezeigt.
Der Entschl=C3=BCsselte Pfade sollte dabei = auf einer lokalen Festplatte liegen und nicht auf einem gemounteten Filesys= tem.
Nach dem =C3=B6ffnen des Containers k=C3=B6= nnen die Daten mit einem beliebigen Programm in container_1_unencrypted ver= wendet werden.
ls /tmp= /$USER/container_1_unencrypted echo "test" > /tmp/$USER/container_1_unencrypted/test_datei cat /tmp/$USER/container_1_unencrypted/test_datei
Um Daten im Container zu l=C3=B6schen, muss er zun=C3=A4chst ge=C3=B6ffn= et sein. Danach k=C3=B6nnen Dateien wie =C3=BCblich gel=C3=B6scht werden.= p>
rm /tmp= /$USER/container_1_unencrypted/Datei
Um einen Container zu l=C3=B6schen, muss lediglich der verschl=C3=BCssel= t Ordner gel=C3=B6scht werden.
rm -rf = /gpfs/project/$USER/container_1
Wenn man mit den Arbeiten fertig ist, muss der Container geschlossen wer= den.
fusermo= unt -u /tmp/$USER/container_1_unencrypted
F=C3=BCr Windows gibt es einen kompatiblen Client unter dem Namen cppcryptfs . F=C3=BCr macOS l=C3=A4sst sich die Software =C3= =BCber Brew installieren.
Um die Container auf dem eigenen Ger=C3=A4t zu verwenden, muss das Files= ystem per Samba gemountet sein. Dies ist im Wiki Artikel Dateisysteme einh=C3=A4ngen erkl=C3= =A4rt.