Geralmente, se um sistema de arquivos / arquivo criptografado é montado, seu conteúdo se torna acessível a todos os usuários que têm acesso à pasta (e raiz). Eu acho que a solução mais viável para o seu problema é:
- Use o LUKS para criar um sistema de arquivos criptografado
- Monte no momento da inicialização (ou quando você inicia o daemon HTTP)
- Não coloque a chave no recipiente na caixa (é um incômodo inserir a senha toda vez, mas um erro comum)
- Altere as permissões do diretório para 700
- Alterar a propriedade para o usuário do servidor da Web (geralmente
www-data
)
Isso não permitirá que ninguém no sistema (exceto www-data e root) acesse os arquivos.
Se você realmente deseja obter segurança máxima, é possível criar scripts como:
- Ao acessar a página da Web, solicite a senha criptografada do contêiner
- Monte o contêiner criptografado
- Recupere os arquivos necessários
- Desmontar o contêiner
Lembre-se de que a montagem / desmontagem é uma operação dispendiosa muito , portanto, sua página da Web ficaria muito lenta.