Eu tenho acesso a um computador remoto compartilhado do qual eu gostaria de executar algum código que escrevi que usa um interpretador (não um código compilado). Eu gostaria de proteger este código-fonte de outros usuários que tenham acesso root ao computador remoto. Existem várias maneiras de criar uma pasta criptografada no linux. Eu não estou escrevendo muitos dados para o disco, então não estou preocupado com a velocidade reduzida de I / O devido ao processo de criptografia, apenas usando principalmente muitas CPUs e muita memória RAM nesta máquina.
A minha pergunta é: alguma destas opções de criptografia permite que os dados sejam protegidos do usuário root, quando eu estou logado e tenho o sistema de arquivos montado? Uma das principais preocupações é que, se uma tarefa do cron executando como root fizer um backup, os códigos-fonte serão automaticamente copiados para outro sistema de arquivos, mesmo sem perceber e, em seguida, não será mais criptografado.
Se você puder acessar seus dados, o root poderá acessar seus dados. Você tem que confiar na raiz!
Mesmo se você acessar dados criptografados em uma máquina remota, o root poderá vê-los (você usa as ferramentas fornecidas pelo root, certo?).
Você só pode dificultar o acesso aos seus arquivos, mas nunca é impossível. Se você quiser que seus dados sejam salvos, não use máquinas não confiáveis.
Você pode executar um servidor Dispositivo de Bloqueio de Rede na caixa e criá-lo localmente em sua própria máquina, e a raiz remota só verá o fluxo de dados criptografados. Mas, dessa forma, a caixa remota não tem acesso a dados não criptografados.
Se a caixa remota estiver fazendo a descriptografia sozinha, então ela tem acesso aos dados por conta própria, então a raiz remota também tem (formas de obter) acesso a ela. Não pode ser ajudado.
Você precisa confiar em quem possui a caixa que executa seu código.
Resumidamente, há maneiras de ofuscar suas atividades do root (ou seja, criar um contêiner de arquivo criptografado, usar arquivos de chave não locais para desbloqueá-lo e armazenar dados nele), mas no fim, se alguém com acesso root estiver pronto para encontrar informação, não é tão difícil (usando strace em qualquer processo que acesse / descriptografe seus dados, por exemplo). Por favor, não tome isso como sugestão, mas se você tem uma razão legítima para executar o código, você realmente não quer outra as pessoas vendo, você realmente precisa fazer um pedido para sua própria máquina privada.