Hi,
habe folgendes Problem. Wenn ich einen USB Stick an meinen Computer hänge, so darf ich ihn als normaler user mounten, davon lesen und ihn beschreiben, wenn ein entsprechender Eintrag in der /etc/fstab existiert:

/dev/sdc1 /mnt/usbdrive auto noauto,user 0 0

Also darf ich als normaler user grundsätzlich etwas mounten. Jetzt habe ich ein Cryptoloop, das via cryptsetup-luks verschlüsselt ist. Und das möchte ich auch gerne ohne root Rechte per Befehl mounten können, aber finde einfach nicht heraus wie es geht.

Ich möchte nicht, dass die Datei beim Login automatisch gemountet wird (Dazu gibt es massig pam_mount tutorials), sondern sie soll mir als kleiner Tresor dienen, der nur bei Bedarf gemountet wird und danach wieder verschlüsselt auf der Platte liegt.
Als root müsste ich:

losetup /dev/loop0 my_secrets_file
cryptsetup luksOpen /dev/loop0 my_secrets
mount /dev/mapper/my_secrets /home/bazooka/mountpoint

machen, aber keinen der Befehle darf ein normaler Benutzer in dieser Art und weise ausführen...
Kann mir jemand mit ner kurzen Anleitung, Link, Tutorial whatever weiterhelfen?

lg
bazooka

sudo - so eingerichtet, dass du fuer deine Befehle kein PW brauchst?

http://www.gentoo.org/doc/en/sudo-guide.xml

Nur zur Info: Auch wenn Du eine Verschlüsselung über ein Loop-Device benutzt, solltest Du es nicht cryptoloop nennen, der Name ist schon besetzt.

okay, dann nicht cryptoloop :)

@wrdaniel: Nein, das benutze ich nicht, ist imho auch nicht besonders toll, ich habe eigentlich keine Lust einem normalen Benutzer Admin Rechte zukommen zu lassen.

Ich glaube ich habe die Lösung gefunden. Das Programm nennt sich cryptmount und ist über das Portage Overlay von Sunrise erhältlich... Ich werde das demnächst mal konfigurieren, laut Beschreibung macht es genau das, was ich gerne hätte.

Nachtrag: Cryptmount scheint nicht für Luks zu funktionieren, nur für "normale" dmcrypt devices, aber alles in allem steige ich nicht wirklich durch. Bin dankbar für Tips...

Ich denke, die sudo-Lösung ist nicht verkehrt. Du läßt ja einem User nicht für alles Admin-Rechte zukommen, sondern nur für ganz spezielle Befehle. Du könntest die drei Befehle in ein Skript (z. B. /usr/bin/secretfilemount) ) packen und es per sudo verfügbar machen.

Dann visudo starten und einen Eintrag machen, z. B. so:

bazooka ALL=NOPASSWD: /usr/bin/secretfilemount

Jetzt kann Dein User nur diesen befehl aufrufen, mehr nicht. Das root-Passwort braucht dabei nicht abgefragt werden, da cryptsetup ja nach dem Schlüssel fragt. Wenn Du Dir jetzt noch ein Symbol z. B. auf dem Desktop erstellst, wird das ganze sehr komfortabel.

Mit sudo sollte man trotzdem vorsichtig sein, vor allem wenn man Parameter erlaubt. Außerdem sollte man immer den kompletten Pfad angeben.

Mhh... ist schon eine Lösung, da gebe ich dir recht. Ich dacht nur da gäbe es vielleicht einen Weg bei dem ich ohne su oder sudo arbeiten kann, so wie eben ein spezieller Eintrag in die /etc/fstab
Es gibt zum Beispiel die /etc/conf.d/dmcrypt, die sorgt dafür, dass man beim hochfahren nach einem Passwort für verschlüsselte devices gefragt wird.

Soweit ich weiß nicht. Den losetup- und den cryptsetup-befehl muß sowieso root ausführen. Selbst bei einer Lösung über die fstab oder sonstige Konfigurationsdateien wäre das so, auch wenn man's nicht direkt mitbekommt.

Mir ist da grad noch eine Lösung eingefallen. Mit pmount kann man Partitionen als User mounten. Allerdings macht es den losetup-Teil nicht. Diesen könntest Du aber beim Hochfahren automatisch ausführen lassen, so daß das loop-device immer zur Verfügung steht. Solange es nicht mit dm-crypt entschlüsselt wird, ist das ja kein Sicherheitsrisiko.

und pmount kann ich dazu bewegen cryptsetup luksOpen aufzurufen? mounten alleine langt ja nicht, es muss ja vorher noch entschlüsselt werden...

Ja. Wenn pmount auf eine luks-Partition trifft, fragt es automatisch nach dem Passwort. Es ist eigentlich für USB-Sticks usw. gedacht, funktioniert aber auch für feste Partitionen. Letzteres muß man aber noch einstellen, sonst weigert sich pmount.