상황은 다음과 같습니다. 저는 학생들이 외부 USB 드라이브에 있는 데이터를 안전하게 보호하고 암호화할 수 있는 쉬운 방법을 제공하고 싶습니다. 영지식 원칙을 염두에 두고 모든 RAM에 자신만 있다는 확신을 가질 수 있도록 하려는 것입니다. 해당 비밀 키는 언제든지 액세스할 수 있습니다.
너무 많은 권한(루트 없음)을 부여하지 않고도 이것이 가능합니까? 그렇다면 가장 간단한 방법으로 이 노력을 어떻게 진행할까요?
모든 학생이 Linux를 보조 운영 체제로 사용하고 외부 USB3.0 SSD를 제공하도록 권장하므로 다른 운영 체제와의 호환성은 기본적으로 필요하지 않습니다(스스로 이를 수행할 리소스/돈이 없는 경우). 컴퓨터) .
따라서 제한은 교실에 있는 컴퓨터로 제한되며 학생들은 자신의 개인 컴퓨터에서 원하는 것은 무엇이든 할 수 있습니다.
간단히 말해서 요구 사항은 다음과 같습니다. 루트 액세스 없이 교실 컴퓨터에서 볼륨 생성, 암호화, 암호 해독 및 마운트
이 문제를 해결하는 다른 방법을 환영합니다!
답변1
사용환경 파일 시스템~처럼
create the filesystem:
% encfs ~/.crypt ~/crypt
Directory "/home/me/.crypt" does not exist, create (y,n)?y
Directory "/home/me/crypt" does not exist, create (y,n)?y
Creating new encrypted volume.
Please choose from one of the following options:
enter "x" for expert configuration mode,
enter "p" for pre-configured paranoia mode,
anything else, or an empty line will select standard mode.
?>
Standard configuration selected.
Using cipher Blowfish, key size 160, block size 512
New Password: <password entered here>
Verify: <password entered here>
The filesystem is now mounted and visible in ~/crypt. If files are
created there, they can be seen in encrypted form in ~/.crypt. To
unmount the filesystem, use fusermount with the -u (unmount) option:
% fusermount -u ~/crypt
--설명서에서 발췌했습니다.
퓨즈필요합니다.
답변2
LUKS를 사용할 수 있으며 & sudo cryptsetup luksOpen [USB] userluks에 대한 액세스만 허용합니다 .luksCloseluksFormat
USB가 항상 동일한 장치(또는 여러 장치 중 하나)인 경우 다음과 같이 모두 지정할 수 있습니다.
사용자 ALL= EXEC: PASSWD: /sbin/cryptsetup -v luksFormat /dev/sdc1,/sbin/cryptsetup -v luksOpen /dev/sdc1 userluks,/sbin/cryptsetup -v luksOpen /dev/sdd1 userluks,/sbin/cryptsetup - v luksOpen /dev/sde1 userluks,sbin/cryptsetup -v luksClose userluks
장치가 다른 곳에서 포맷되었고 특정 사용자의 장치 UUID를 알고 있는 경우 다음과 같이 장치 대신 이를 지정할 수 있습니다 /etc/sudoers.
사용자 ALL= EXEC: PASSWD: /sbin/cryptsetup -v luksOpen UUID=xyz userluks
짧은 별칭 명령은 오류 없이 입력하기가 더 쉬울 수 있으며, 설치 권한에 따라 관련 설치 명령이 필요할 수 있습니다.
더 많은 사용자 정의 장치 액세스를 위해 사용자 정의 sudo 래퍼를 사용할 수도 있습니다.여기서 간단히 언급.