Substituição de EFS no Ubuntu

Navegue suas respostas
0

Estou pensando em mudar do Windows Server para o Ubuntu Server. Um dos recursos que não consigo descobrir é - o que devo usar em vez da criptografia de NTFS (EFS). Então, basicamente, o que eu preciso:

1) Isso se aplica somente a alguns arquivos específicos armazenados, por exemplo wallet.dat & arquivos bitcoin.conf do núcleo bitcoin (não o repositório blockchain de 150Gb)

2) O arquivo permanece fisicamente criptografado, se este for o servidor em nuvem e os administradores removeram o HDD - não há nada que eles possam fazer para descriptografá-lo.

3) O arquivo é simetricamente criptografado (assim, até mesmo arquivos grandes têm excelente desempenho), mas a chave é atribuída a um ou mais usuários usando suas chaves públicas. Por exemplo. conta de serviço e conta de administrador atribuída para executar a configuração para esse serviço. Nenhuma outra conta de administrador é capaz de ler dados internos do arquivo (que contém senhas ou chaves para o serviço, por exemplo), nem eles podem substituir ou capturar as permissões, apenas porque não podem descriptografá-lo fisicamente. Os usuários inscritos para descriptografia podem atribuir certificados para outros usuários se tiverem permissões adequadas para o arquivo.

4) a criptografia é transparente para o software, portanto, os serviços não estão cientes sobre a criptografia e os editores de texto (para arquivos de configuração) podem modificá-la de forma transparente, desde que sejam executados sob o usuário concedido.

5) O contêiner de certificado é descriptografado apenas para o usuário (ou conta de serviço) quando ele faz logon usando sua senha. Se a senha for redefinida pelo administrador - o usuário perderá seu contêiner criptográfico para sempre. E os certificados são opcionalmente exportáveis caso o usuário tenha que mover o HDD para outra máquina.

Tudo isso eu posso fazer no Windows (desde o Windows 2000) usando uma caixa de seleção (e lista opcional de certificados atribuídos). Até cria certificado automaticamente no caso de uso pela primeira vez e recomenda fazer o backup na área de notificação.

O que vocês estão fazendo no mundo Linux para isso, algum conselho? Eu não sou muito divertido de recipientes separados (que provavelmente são acessíveis para qualquer usuário logado em um sistema) e pontos de montagem (mas pode ser que este é o único caminho a percorrer), eu acredito que há alguma solução que se estende sistema de arquivos.

    
por Dmitry Gusarov 06.11.2017 / 10:16

1 resposta

1

Veja link , é específico do arco, mas virtualmente todo pacote está disponível no Ubuntu.

Todos os métodos de criptografia de disco são "on-the-fly" para que as unidades físicas permaneçam criptografadas o tempo todo (assim também os métodos de criptografia do sistema). Nenhum seria muito útil se puxar a ficha deixasse tudo descriptografado! Mas para FYI, se for um servidor virtual, os administradores "reais" com acesso físico sempre poderão monitorar cada bit que vem em & fora de qualquer maneira, mas isso é verdade para qualquer sistema operacional também.

No Ubuntu, o eCryptfs soa mais próximo do que a caixa de seleção do Windows faz, apenas melhor (criptografa nomes de arquivos também, o Windows AFAIK não funciona). Se você estiver usando uma GUI, deve haver uma caixa de seleção para criptografar a casa de um novo usuário ou usar ecryptfs-migrate-home ou acho que há um sinalizador para adduser ou comandos semelhantes também.

Se um usuário estiver logado, sua casa será "descriptografada" para ele, e os controles de acesso regulares limitarão quem poderá ver o quê.

A criptografia de disco completo (com o LUKS) é outra caixa de seleção na qual você pode estar interessado.

Consulte o link para informações gerais de segurança, "recomendações e práticas recomendadas para proteger um sistema Arch Linux ", que se aplica a praticamente todos os linux, incluindo o Ubuntu.

    
por 10.11.2017 / 08:01

Tags

Como posso depurar a perda do sinal do monitor após a atualização do kernel? pdf para word / office for linux