Praktische Hinweise zum Einsatz des CFS

Die Verwaltungsdaten werden auf einem dedizierten Dateiserver vorgehalten, der unter der SuSE³²² 6.4-Linux-Distribution mit Kernel 2.2.14 läuft. Per Samba³²³, Version 2.0.6, wird dem Netz ein NT-Server vorgegaukelt. Die sensitiven Daten liegen innerhalb eines Dateisystems, das zusätzlich zu den Zugriffsrechten speziell durch Verschlüsselungstechniken geschützt ist. Dadurch entsteht zusätzlicher Schutz, da beispielsweise bei Diebstahl des Gerätes die Daten noch nicht offen liegen, vielmehr muss zur Kenntnisnahme der Entschlüsselungsvorgang gestartet werden.

Leider wird ein solches CFS von den Standard-Kerneln nicht unterstützt, die Kernelquellen müssen gepatcht und neu kompiliert werden. Die internationalen Kernelpatches, die den crypto-Code enthalten, sind z.B. unter http://ftp.kerneli.org erhältlich. Für den hier eingesetzten SuSE-2.2.14-Kernel ist beispielsweise der Patch patch-int-2.2.14.1.gz passend. Neben der Unterstützung durch den Kernel wird für das CFS auch eine angepaßte Version des mount-Befehls sowie des losetup-Kommandos benötigt. Ein entsprechendes mount- und losetup-Programm ist u.a. in der Sammlung util-linux-2.10f bzw. util-linux-2.9w enthalten, die etwa unter ftp://ftp.kernel.org/pub/linux/utils/util-linux/ zu finden ist.

Teilweise werden fertig kompilierte Kernel mit CFS-Unterstützung angeboten; da aber i.A. unklar ist, ob es dabei sich um vertrauliche Quellen handelt, ist ein selbst kompilierter Kernel gerade bei sicherheitssensitiven Bestandteilen wie kryptografischen Systemen vorzuziehen.