암호화된 폴더를 만들고 여기에 파일을 추가한다고 가정해 보겠습니다.
# mount -t ecryptfs /srv /srv
# echo word > /srv/file
파일의 내용은 unavailable파일 시스템이 마운트 해제된 후에만 존재합니다.
ecryptfs파일 콘텐츠가 언제든지 암호화되지 않은 상태로 유지되는 것을 방지하려면 어떻게 구성하거나 Linux에서 대체 암호화 시스템을 사용할 수 있습니까 ?
한 가지 가능성은 파일이 추가될 때마다 파일 시스템을 마운트 및 마운트 해제하는 스크립트를 실행하는 것입니다 ecryptfs. 하지만 마운트 비밀번호를 제공해야 하므로 보안 위험이 발생합니다.
답변1
이 사용 사례에서 원하는 것이 암호화된 파일 시스템인지 잘 모르겠습니다.
왜 사용하지 않습니까 alias(참조남자 별칭) 도구를 사용하려면 gpg(참조남자 GP) 열기/닫기 시 지정된 파일/폴더를 해독/암호화하시겠습니까?
이에 대한 예는 @에서 찾을 수 있습니다.내 하이라이트 페이지(작동한 예)
이것이 가장 이상적인 솔루션은 아닐 수도 있지만 항상 디스크를 마운트하고 파일/폴더를 해독하는 대신 필요할 때만 파일/폴더를 암호화/해독하는 방법을 제공해야 합니다.
답변2
일반적인 답변(제 전문 분야는 Linux가 아닌 AIX EFS이므로)
암호화된 파일에 대해 이야기할 때 "저장된" 파일과 "메모리 내" 파일을 구별해야 합니다. 여러분이 만나기를 바라는 것은 파일 내용이 "메모리 내" 일반 텍스트로 되어 있는 반면, (확실히) "디스크, 즉 저장소" 또는 "휴지 상태"에 암호화되어 있다는 것입니다.
실행하는 테스트:
* 루트가 아닌 사용자 A로서 암호화된 파일 시스템에 파일을 추가합니다(모드 644).
* 루트가 아닌 사용자 B로서 암호화 키를 몰라야 하므로 이상적으로는 "일반 텍스트"를 볼 수 없습니다. more 좋은 점은 접근이 불가능하다는 것입니다.
* 루트로서 이상적으로는 액세스 권한이 없으며(암호 해독 키 없음) 최악의 경우 암호화된 데이터를 볼 수 있습니다.
따라서 AIX에서는 Linux도 동일하다고 가정합니다. "미사용" 데이터에 액세스(암호화/암호 해독에 사용되는 키) 및/또는 동일한 데이터의 "캐시 표현"에 액세스할 수 있는 몇 가지 자격 증명이 필요합니다. 캐시 메모리 - 기존 *NIX DAC 액세스 메커니즘보다 높습니다.
그러나 내 가정이 틀렸을 수도 있습니다. Linux가 파일 단위가 아닌 파티션 단위로 암호화하는 경우 암호화된 파티션에 대한 액세스는 남은 유일한 보호가 기존 DAC 및/또는 ACL 메커니즘(예: SELinux 및/또는 AppArmor에서 제공하는 추가 보호를 통해)임을 의미할 수 있습니다.