Como criptografar / var / www?

Você pode usar eCryptfs para fazer isso.

Você precisa fazer isso como usuário root, no entanto. Veja algumas instruções que funcionam:

root@server-59314:~# ecryptfs-setup-private
Enter your login passphrase:
Enter your mount passphrase [leave blank to generate one]:
************************************************************************
YOU SHOULD RECORD YOUR MOUNT PASSPHRASE AND STORE IT IN A SAFE LOCATION.
  ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase
THIS WILL BE REQUIRED IF YOU NEED TO RECOVER YOUR DATA AT A LATER TIME.
************************************************************************
Done configuring.
Testing mount/write/umount/read...
Inserted auth tok with sig [37d1d7fcf453d9d0] into the user session keyring
Inserted auth tok with sig [974bb07127cbe922] into the user session keyring
Inserted auth tok with sig [37d1d7fcf453d9d0] into the user session keyring
Inserted auth tok with sig [974bb07127cbe922] into the user session keyring
Testing succeeded.
Logout, and log back in to begin using your encrypted directory.

E então você precisa fazer o login como root e executar ecryptfs-mount-private . Observe que você provavelmente desejará garantir que / var / www não seja desmontado quando a raiz efetuar logout. Para fazer isso, apenas rm -f /root/.ecryptfs/auto-umount .

Divulgação completa: Eu sou um dos mantenedores do projeto eCryptfs.

Veja o link

No entanto, como a chave é desbloqueada na inicialização, você ainda não ganhará nada, a não ser que ofc alguém entre na sua serverhall, remova seu disco e tente acessá-lo sem testar para colocar o disco em qualquer outro computador. (da mesma arquitetura) e tenta inicializá-lo.

Você PODERIA possivelmente fazer uma criptografia de disco completo (idéia ruim, já que não conseguirá descriptografar seu computador via SSH) ou então terá que desbloquear a criptografia, mas acabou com um servidor que não pode ser reinicializado sem ter que se preocupar com manutenção depois.

Sugiro que você criptografe apenas os arquivos na pasta www em vez de criptografar a pasta inteira. O mesmo irá descriptografar na memória quando o arquivo for chamado.

Se você já tiver criptografado sua pasta de início, poderá facilmente apontar o apache para ler um subdiretório dentro de ~ / por meio de um link simbólico.

É assim que eu configuro meu sistema. Eu criei um link simbólico em /var/www que aponta para uma pasta dentro da minha pasta pessoal (ou seja, ln -s /home/francesco/www/default /var/www/default )

Encontre abaixo meu /var/www content:

root@Terminus:/var/www# ls -lah
total 8K
drwxr-xr-x  4 francesco www-data 4.0K Mar 24 14:52 .
drwxr-xr-x 15 root      root     4.0K Feb  7 09:46 ..
lrwxrwxrwx  1 francesco www-data   28 Mar 24 14:52 default -> /home/francesco/www/default/

Agora você deve adicionar o apache (www-data) ao seu grupo e vice-versa:

usermod -a -G www-data francesco
usermod -a -G francesco www-data

Eu fiz isso porque eu preciso lançar scripts PHP na linha de comando do meu usuário e o apache ainda precisa ler e gravar os mesmos arquivos (mas eu acho que você pode usar setfacl ). / p>

Agora você deve alterar as permissões da sua pasta pessoal e as permissões da sua pasta raiz do documento (no meu caso, ~/www/default ). Por favor tenha cuidado e não inicie o comando chmod usando a opção recursiva em sua pasta pessoal, use-a apenas na pasta raiz do documento da seguinte forma:

sudo chmod 0755 /home/francesco
sudo chmod -R 0755 /home/francesco/www