리눅스 디렉토리의 데이터 / 암호화에 관한 질문 디렉토리가 있고

중요한 데이터로 가득 찬 디렉토리가 있고 외부 공격자로부터 보호하기 위해이 디렉토리를 암호화하려고합니다. 나는 여전히 디렉토리에서 읽고이 데이터를 원래 형식으로 웹 페이지에 표시 할 수 있기를 원합니다. eCryptF와 같은 데이터 암호화 도구가이를 허용합니까? 그렇다면 데이터가 마운트 / 마운트 해제 된 경우 어떻게 작동합니까? 자동 마운트가 작동합니까?



답변

일반적으로, 암호화 된 파일 시스템 / 파일이 마운트되면 폴더 및 루트에 액세스 할 수있는 모든 사용자가 컨텐츠에 액세스 할 수 있습니다. 귀하의 문제에 가장 적합한 해결책은 다음과 같습니다.

  • LUKS를 사용하여 암호화 된 파일 시스템 작성
  • 부팅시 (또는 HTTP 데몬을 시작할 때) 마운트
  • 상자에 용기에 열쇠를 넣지 마십시오 (매번 암호를 입력하는 것이 번거롭지 만 일반적으로 실수입니다)
  • 디렉토리 권한을 700으로 변경
  • 웹 서버 사용자에 대한 소유권 변경 (일반적으로 www-data)

이렇게하면 시스템의 모든 사람 (www-data 및 root 제외)이 파일에 액세스 할 수 없습니다.


최대한의 보안을 원한다면 다음과 같은 스크립트를 작성하십시오.

  • 웹 페이지에 액세스 할 때 암호화 된 컨테이너 비밀번호를 요청하십시오.
  • 암호화 된 컨테이너 마운트
  • 필요한 파일을 검색
  • 컨테이너 마운트 해제

마운트 / 언 마운트가 알아 두셔야합니다 아주 웹 페이지가 정말 느린 얻을 것이다, 그래서 비용이 많이 드는 작업.


답변

하드웨어 토큰 (스마트 카드)을 구입하고 카드에 저장된 키를 사용할 수 있습니다. 카드를 꽂을 때마다 암호를 저장하지 않고도 (카드 사용자 핀 확인을 비활성화 할 때) 배치 모드에서 파일을 암호화하고 해독 할 수 있습니다 … 열쇠.