Mail Account vor root verschlüsseln

[etron770]

Hallo zusammen,
ich benötige ein System, bei dem ich sicherstellen kann dass Mails nur vom Benutzer gelesen/entschlüsselt werden können nicht aber vom root.
Mir ist klar das das gegen die Philosophie, root darf alles, geht. Es wäre aber sehr wichtig.
Kann man so etwas unter Debian aktivieren?
Der Hintergrund:
Vor einigen Jahren wurde ein Bekannter in einer grösseren Firma bezichtigt als Server Administrator interne Mails gelesen zu haben und Firmengeheimnisse weitergegeben zu haben. Er hatte Glück das Novell Sicherheitssystem (Bordmittel) aktiviert zu haben, dass einem weiteren Benutzer (dem It Abteilungsleiter) ermöglichte passwortgeschützt die Aktivitäten des Systemadministrators zu kontrollieren. (ich weiss den Namen des Systems nicht mehr)

 

[Till]

Ich denke mal das kann es unter Linux nicht geben und auch unter Novell wird es eher eine "schein" Funktion gewesen sein oder er hatte nicht volle "root" Rechte. Der einzig sichere Weg ist meines Erachtens wenn der client die mails verschlüselt und sie bereits verschlüsselt auf dem server ablegt. Denn sobald der mailserver die mails verschlüsselt muss es einen schlüssel auf dem server geben und den könnte ein root user auslesen und damit die emails entschlüsseln.

 

[Croydon]

Sehe ich genauso. Funktioniert meiner Meinung nach nur, wenn ausschließlich via PGP oder SMIME kommuniziert wird von allen Parteien.

 

[etron770]

Nein das war keine Scheinfunktion die E-mails hätte der der Administrator lesen könne, aber es gab ein Tool um den Administrator zu überwachen. Ich habe das (Netware 3.x und 4.x) in den 90ern selber administriert. Das Tool wurde gestartet, dann hat jemand der Geschäftsleitung das Tool mit einem Passwort versehen und das war das einzige, zu dem der Administrator keinen Zugriff hatte. Das war so sicher dass damals der Gerichtsprozess (und da ging es um zehntausende Schadensersatz) zu Gunsten des Administrators ausgegangen ist.

Hat man das nicht so könnte es besser sein den Mailverkehr mit Geschäftsgeheimnissen besser extern bei einem grossen Provider zu lassen. Ob das dann sicherer ist, kann man anzweifeln, aber man kann selber nicht belangt werden, wenn man dafür kein Passwort hat..

Zurück zum Mailserver, kann ich als Admin 100% sicherstellen, das nur verschlüsselt kommuniziert wird?

 

[Till]

Nein das war keine Scheinfunktion die E-mails hätte der der Administrator lesen könne, aber es gab ein Tool um den Administrator zu überwachen. Ich habe das (Netware 3.x und 4.x) in den 90ern selber administriert. Das Tool wurde gestartet, dann hat jemand der Geschäftsleitung das Tool mit einem Passwort versehen und das war das einzige, zu dem der Administrator keinen Zugriff hatte. Das war so sicher dass damals der Gerichtsprozess (und da ging es um zehntausende Schadensersatz) zu Gunsten des Administrators ausgegangen ist.

Also, wenn ein admin wirklich root ist und Herr über das Netzwerk, dann kann er auch so eine Funktion eben mal aushebeln wenn er das will. Klar, Du kannst natürlich eine Überwachungssoftware schreiben die sich in den kernel einlinkt und alles was passiert auf einen externen server looged und einen alarm auslöst sobald irgendwo ein netzwerkpaket verschwindet, jemand versucht den server zu rebooten oder ähnliches. Mag sein dass es sowas als gepathten Kernel oder so gibt, müsstest Du halt mal googeln. Wie von mir oben beschrieben kann es ja durchaus sein dass netware die Rechte des admins beschränkt hat und nur der Abteilungsleiter super admin rechte hatte. Unter Linux darf ein root User aber nunmal alles und kann somit auch Dienste starten, beenden und eben auch Einfluss auf das Logging nehmen oder den Server restarten und den kernel austauschen.

Hat man das nicht so könnte es besser sein den Mailverkehr mit Geschäftsgeheimnissen besser extern bei einem grossen Provider zu lassen.

Wenn Du es bevorzugst dass viele admins die beim beim großen Provider Deine Geschäftsemails einsehen können und nicht nur Dein Firmenandmin, dann kannst Du das ja gern machen. Wenn Du Angst vor der Verantwortung des Berufs hast, dann ist es vielleicht der falsche Beruf. Oder Du besorgst Dir eine Rechtsschutzversicherung und Vermögensschadenshaftpflicht.

Zurück zum Mailserver, kann ich als Admin 100% sicherstellen, das nur verschlüsselt kommuniziert wird?

Nein. Es obliegt demjenigen der nicht möchte das seine mails eingesehen werden diese zu verschlüsseln und nur mit Gesprächspartnern zu kommunizieren, die auch alle mails verschlüsseln.

 

[etron770]

Nun es ist nicht meine Firma, ich muss mir nur Überlegen ob ich den Mailverkehr über meine Server laufen lasse. Wenn die Firma keinen eigenen Admin und Server hat, dann ist die Überlegung das man das Risiko nicht trägt. Es gibt nicht viele Nachteile von Linux aber das ist einer.

Das schweift jetzt etwas ab, ist aber finde ich ein interessantes Thema an das wenige denken.
Im Prinzip trifft das jeden Provider oder Admin bei einer Firma. Und wenn man das einmal mitgemacht hat, dann hat man eben Bedenken. Ich war damals externer Betreuer in der Firma aber zu der fraglichen Zeit nicht am System. Nur der hauseigene Admin, den ich nach dem Aufsetzten des Servers eingewiesen hatte, war in dieser Zeit am System angemeldet. Trotzdem wurde mir etwas mulmig. Der Konzern hat derzeit 500 Mio Umsatz und 1500 Mitarbeiter und war damals nicht viel kleiner. Nun stellt euch mal vor der hat euch am Haken - oder meint es. Und wenn Du nicht nachweisen kannst dass Du es nicht warst, der der Konkurrenz die Unterlagen verschafft hat, dann nützt dir keine Rechtschutzversicherung, dann sitzt Du bei diesen Beträgen und Industriespionage ein.

Und bei bei Netware war das Überwachungssystem so ungefähr als ob Du ein Schließfach mit zwei Schlüsseln hattest. Der Admin ist nicht an die Daten der Überwachungssoftware gekommen und derjenige der das Passwort dazu hatte konnte alleine nur lesen. Das diente eben zur Absicherung des Sysadmins und das war übertragen auf Novell der root. Da gab es keinen Suoperadmin. Aber eventuell hätte man es hacken können, davon war aber Anfang der 90er viel weniger die Rede.

 

[florian030]

Wenn das für Dich ein Nachteil von Linux ist, dann solltest Du aber rein zur Sicherheit vorher noch potentielle andere Anbieter nach dem eingesetzten OS fragen und Dir ggf. bestätigen lassen, dass sie Linux nicht einsetzen und nicht einsetzen werden. Glaubst Du wirkich, dass man bei Exchange nicht alle Mails lesen kann?

Du kannst natürlich /var/vmail verschlüsseln, bringt im Ergebnis aber nicht wirklich was. Ich geb da Marius völlig recht.

Im übrigen muss im Zweifel nicht ich nachweisen, etwas nicht getan zu haben, sondern der andere, dass ich etwas getan habe. Bei so einer Klage wäre ich extrem entspannt.

 

[nowayback]

naja dank selbstverwaltender systemkonten ist es jedoch in der windows welt deutlich einfacher nachzuweisen dass man keinen zugriff hatte. das ist etwas was mir auch unter linux fehlt.

generell spielt es aber keine rolle welches os. wenn ich als admin an irgendwas rankommen will, dann kann ich das. deshalb sind gute firmen bei der auswahl ihrer admins besonders penibel.

Allgemein gilt: "Administration ist Vertrauenssache". Und das gilt für alle beteiligten Parteien. Das spiegelt auch meine Berufserfahrung wieder.