Windows Server에서 Ubuntu Server로 전환을 고려하고 있습니다. 제가 이해하지 못하는 기능 중 하나는 NTFS 암호화(EFS) 대신 무엇을 사용해야 하는가입니다. 기본적으로 나에게 필요한 것은 다음과 같습니다.
1) 이는 Bitcoin Core의 wallet.dat 및 bitcoin.conf 파일과 같은 저장소의 특정 특정 파일에만 적용됩니다(전체 150Gb 블록체인 저장소에는 적용되지 않음).
2) 이것이 클라우드 서버이고 관리자가 하드 드라이브를 가져가면 파일은 물리적으로 암호화된 상태로 유지되므로 해독할 수 없습니다.
3) 파일은 대칭적으로 암호화되지만(대용량 파일에서도 뛰어난 성능을 발휘함) 키는 공개 키를 사용하여 한 명 이상의 사용자에게 배포됩니다. 예를 들어 서비스 계정과 서비스 구성을 수행하는 관리자 계정을 할당합니다. 다른 관리자 계정은 파일의 내부 데이터(예: 서비스가 포함된 암호 또는 키)를 읽을 수 없으며 물리적으로 암호를 해독할 수 없기 때문에 권한을 덮어쓰거나 캡처할 수도 없습니다. 암호 해독에 등록한 사용자는 다른 사용자에게 인증서를 할당할 수 있습니다(해당 파일 권한이 있는 경우).
4) 암호화는 소프트웨어에 투명하므로 서비스는 암호화를 전혀 인식하지 못하며, 인증된 사용자 하에서 실행되는 한 텍스트 편집기(구성 파일용)는 이를 투명하게 수정할 수 있습니다.
5) 인증서 컨테이너는 사용자(또는 서비스 계정)가 비밀번호로 로그인하는 경우에만 해독됩니다. 관리자가 비밀번호를 재설정하면 사용자는 암호화된 컨테이너를 영구적으로 잃게 됩니다. 사용자가 하드 드라이브를 다른 컴퓨터로 이동해야 하는 경우 인증서를 내보내도록 선택할 수 있습니다.
이 모든 작업은 Windows(Windows 2000부터)에서 확인란(및 선택적으로 할당된 인증서 목록)을 사용하여 수행할 수 있습니다. 처음 사용할 때 자동으로 인증서를 생성하고 알림 영역에 백업하도록 권장합니다.
Linux 세계에서 이에 대해 무엇을 하고 있습니까? 제안 사항이 있습니까? 나는 별도의 컨테이너(시스템에 로그인한 모든 사용자가 액세스할 수 있음)와 마운트 지점(그러나 이것이 유일한 방법일 수도 있음)에는 그다지 관심이 없지만 파일 시스템을 확장하는 몇 가지 솔루션이 있다고 믿습니다.
답변1
바라보다https://wiki.archlinux.org/index.php/disk_encryption, 아키텍처에 따라 다르지만 거의 모든 패키지를 Ubuntu에서도 사용할 수 있습니다.
모든 디스크 암호화 방법은 "즉시" 방식이므로 물리적 드라이브는 항상 암호화된 상태로 유지됩니다(시스템 암호화 방법도 마찬가지). 플러그를 뽑았을 때 모든 것이 해독된다면 그다지 유용한 것은 없습니다! 하지만 참고로, 가상 서버인 경우 물리적 액세스 권한이 있는 "실제" 관리자는 들어오고 나가는 모든 것을 항상 모니터링할 수 있지만 이는 모든 운영 체제에 해당됩니다.
Ubuntu에서 eCryptfs는 Windows 확인란의 기능에 가장 가깝고 더 좋습니다(또한 Windows에서는 내가 아는 한 암호화하지 않는 파일 이름도 암호화합니다). GUI를 사용하는 경우 새 사용자의 홈 페이지를 암호화하는 확인란이 있어야 합니다. ecryptfs-migrate-home또는 플래그 adduser나 유사한 명령도 있는 것 같습니다.
사용자가 로그인하면 홈 페이지가 "암호화"되며 일반 액세스 제어는 볼 수 있는 사람을 제한합니다.
전체 디스크 암호화(LUKS 사용)는 관심을 가질 수 있는 또 다른 설치 확인란입니다.
바라보다https://wiki.archlinux.org/index.php/security일반적인 안전 정보는"Arch Linux 시스템 강화를 위한 권장 사항 및 모범 사례", Ubuntu를 포함한 거의 모든 Linux에서 작동합니다.