Está criptografando / descriptografando uma unidade USB externa com o privilégio mínimo possível?

Navegue suas respostas
0

A seguinte situação é o caso: Quero oferecer aos meus alunos uma maneira fácil de proteger seus dados de forma segura e criptografada em uma unidade USB externa com o princípio de conhecimento zero em mente, para que eles possam ter certeza de que eles são os únicos ao lado do ram que, a qualquer momento. ter acesso à sua chave secreta.

Isso é possível sem conceder a eles muitos direitos (sem raiz) e, em caso afirmativo, como alguém poderia fazer esse esforço da maneira mais fácil?

A compatibilidade com outros Sistemas Operacionais não é necessária por padrão, pois todos os alunos serão encorajados a usar o Linux como um sistema operacional secundário e receberão um usb3.0 ssd externo se não tiverem recursos / dinheiro para fazê-lo próprio computador.

As restrições seriam, portanto, limitadas apenas aos computadores da classe e podem fazer o que quiserem em seus computadores particulares.

Requisitos em poucas palavras: criar, criptografar, descriptografar e montar um volume em computadores de sala de aula sem acesso root

Abordagens alternativas para uma solução deste problema são muito bem-vindas!

    
por clemique 13.10.2018 / 11:28

2 respostas

0

Use encfs como 

   create the filesystem:

       % encfs ~/.crypt ~/crypt
       Directory "/home/me/.crypt" does not exist, create (y,n)?y
       Directory "/home/me/crypt" does not exist, create (y,n)?y
       Creating new encrypted volume.
       Please choose from one of the following options:
        enter "x" for expert configuration mode,
        enter "p" for pre-configured paranoia mode,
        anything else, or an empty line will select standard mode.
       ?>

       Standard configuration selected.
       Using cipher Blowfish, key size 160, block size 512
       New Password: <password entered here>
       Verify: <password entered here>

   The filesystem is now mounted and visible in ~/crypt.  If files are
   created there, they can be seen in encrypted form in ~/.crypt.  To
   unmount the filesystem, use fusermount with the -u (unmount) option:

       % fusermount -u ~/crypt

- do seu manual.

o fusível é necessário.

    
por 13.10.2018 / 14:26
0

Poderia usar o LUKS e permitir acesso somente a sudo cryptsetup luksOpen [USB] userluks e luksClose & luksFormat .

Se o USB for sempre o mesmo dispositivo (ou um de um número), você poderá especificar todos eles, como:

user ALL= EXEC: PASSWD: /sbin/cryptsetup -v luksFormat /dev/sdc1,/sbin/cryptsetup -v luksOpen /dev/sdc1 userluks,/sbin/cryptsetup -v luksOpen /dev/sdd1 userluks,/sbin/cryptsetup -v luksOpen /dev/sde1 userluks,sbin/cryptsetup -v luksClose userluks

Se os dispositivos tiverem sido formatados em outro lugar e você souber o UUID do dispositivo do usuário específico, poderá especificá-lo em vez de um dispositivo, algo assim em /etc/sudoers :

user ALL= EXEC: PASSWD: /sbin/cryptsetup -v luksOpen UUID=xyz userluks

Os comandos de alias mais curtos podem ser mais fáceis de serem digitados sem erros e, dependendo das suas permissões de montagem, comandos de montagem associados podem ser necessários.

Também é possível usar um wrapper sudo personalizado para um acesso mais personalizado ao dispositivo, brevemente mencionado aqui .

    
por 14.10.2018 / 09:57

Tags

erro de entrada / saída do chroot com o ubuntu customizado Como ligar um atalho de teclado em zsh a um programa que requer stdin?