Sistema de arquivos criptografados no servidor de nuvem do Ubuntu

8.10 trouxe diretórios privados criptografados para o Ubuntu ...

Você tem dois requisitos principais (e um pouco conflitantes):

1. Criptografia por usuário, e não por bais por sistema.
2. Operação transparente do ponto de vista do usuário.

Seus usuários são razoavelmente aptos para Linux? Espero que sim, se eles têm root privs ...

Você não pode simplesmente criar sistemas de arquivos criptografados com o cryptoloop no servidor Ubuntu, já que assim que um usuário o monta, todos os outros usuários com root poderão ver a montagem em sua forma descriptografada.

Uma opção é o produto PGP comercial e usa PGP Net. Armazene os arquivos .pgd em um compartilhamento de samba que está hospedado no servidor Ubuntu (eu fiz essencialmente o mesmo, mas em um compartilhamento real de servidor do Windows - funciona, mas não é multiusuário). Isso é o mais transparente possível - o usuário monta o .pgd como uma letra de unidade no Windows e depois o utiliza como qualquer outra unidade de rede. Eu não sei se será muito rápido, e você ainda tem a questão de como permitir com segurança as portas de rede do Windows entre suas máquinas Windows e o servidor. Você poderia VPN tunelá-lo (mesmo sem criptografia no túnel como eu acho que já está criptografado), mas isso vai ser interessante a menos que você tenha uma caixa local que pode atuar como um gateway de VPN - IPSec no Windows não é agradável para configurar .

Provavelmente, há uma tentativa limitada por tempo para o PGP Net, então pode ser algo que você possa tentar apenas por algum tempo de entrada.

Uma última (e não muito agradável) opção que posso pensar é em fazer algo com um servidor Ubuntu básico e uma virtualização leve que funcionará em um servidor na AWS (VMs Xen, eu acredito?), de modo que cada O usuário obtém sua própria área 'encarcerada' e pode montar seu sistema de arquivos cryptoloop dentro dele, ou então fazer o scp dentro ou fora, ou rodar o Windows através do IPSec ou de um túnel ssh, etc. trabalharia para manter cada sessão virtual separada das outras quando os usuários tivessem raiz na máquina base - ainda há algum escopo para mexer no ambiente básico, mas se os usuários não confiarem uns nos outros nesse nível, eles devem estar VMs próprias de qualquer maneira!

Você pode olhar para o encfs. Ele fornece uma maneira de montar um diretório regular como um diretório criptografado, algo como:

encfs / caminho / enc-dir / caminho / clear-dir

Depois disso, os dados lidos / gravados em / path / clear-dir são armazenados criptografados em / path / enc-dir. Não há necessidade de usar uma partição específica. Todos os dados são armazenados na partição ext3 normal.

No entanto, não tenho ideia de como você poderia usar uma interface de usuário simples. encfs é um comando shell.

d.

Acho que o que você quer é ecryptfs - um sistema de arquivos criptografados suportado pelo linux kernel, e que está bem integrado no Ubuntu, embora a integração principal tenha entrado em versões do Ubuntu após 8.04.

Para instruções sobre como configurá-lo para o Ubuntu 8.04, veja este guia ou este guia .

Portanto, isso deve atender às suas necessidades com uma ou duas advertências. Quando o diretório privado de um usuário não está montado, ninguém poderá ver os arquivos sem saber a frase secreta do usuário. No entanto, quando o diretório privado é montado, outros usuários podem mudar para ser esse usuário usando sudo su username e, em seguida, poderiam ler seus arquivos.

Quanto ao compartilhamento com windows, o diretório secreto teria que ser montado pelo usuário e também estar disponível como um compartilhamento de rede sobre o samba. Eu não sei como configurar o samba, então há vários compartilhamentos e apenas um usuário pode usar cada compartilhamento, mas se você perguntar no link você deve obter alguma ajuda para isso. (E possivelmente essa questão pertence ao serverfault).

Eu encontrei uma boa postagem em um blog na nuvem de dados privados. link

espero que seja útil:)