리눅스 디렉토리의 데이터 / 암호화에 관한 질문

0

중요한 데이터로 가득 찬 디렉토리가 있고 외부 공격자로부터 보호하기 위해이 디렉토리를 암호화하려고합니다. 나는 여전히 디렉토리에서 읽고이 데이터를 원래 형식으로 웹 페이지에 표시 할 수 있기를 원합니다. eCryptF와 같은 데이터 암호화 도구가이를 허용합니까? 그렇다면 데이터가 마운트 / 마운트 해제 된 경우 어떻게 작동합니까? 자동 마운트가 작동합니까?

linux encryption ecryptfs

— 마일즈 55
소스

2

일반적으로, 암호화 된 파일 시스템 / 파일이 마운트되면 폴더 및 루트에 액세스 할 수있는 모든 사용자가 컨텐츠에 액세스 할 수 있습니다. 귀하의 문제에 가장 적합한 해결책은 다음과 같습니다.

LUKS를 사용하여 암호화 된 파일 시스템 작성
부팅시 (또는 HTTP 데몬을 시작할 때) 마운트
상자에 용기에 열쇠를 넣지 마십시오 (매번 암호를 입력하는 것이 번거롭지 만 일반적으로 실수입니다)
디렉토리 권한을 700으로 변경
웹 서버 사용자에 대한 소유권 변경 (일반적으로 www-data)

이렇게하면 시스템의 모든 사람 (www-data 및 root 제외)이 파일에 액세스 할 수 없습니다.

최대한의 보안을 원한다면 다음과 같은 스크립트를 작성하십시오.

웹 페이지에 액세스 할 때 암호화 된 컨테이너 비밀번호를 요청하십시오.
암호화 된 컨테이너 마운트
필요한 파일을 검색
컨테이너 마운트 해제

마운트 / 언 마운트가 알아 두셔야합니다 아주 웹 페이지가 정말 느린 얻을 것이다, 그래서 비용이 많이 드는 작업.

— 음탁
소스

그래서 어떻게 할거야?

— mtak

정말 감사합니다. 장착에 대한 질문이 있습니다. 나는이 민감한 데이터가 저장되어 있다고 빨간 모자 기계에 있다고 말함으로써 이것을 머리말로해야합니다. 웹 응용 프로그램은 다른 컴퓨터의 Tomcat에 저장됩니다. 따라서 요청은 tomcat으로 이동하고 tomcat은 중요한 데이터가 저장된 redhat 시스템의 디렉토리를 핑합니다. 쿼리가 실행되고 응답이 제공됩니다. 이 경우 어떻게 장착할까요? '상자에 용기에 열쇠를 두지 마십시오'라고 말할 때 정확히 무엇을 의미합니까? 키를 어디에 저장해야합니까? 필요한 선명도를 많이 추가했습니다.

— milesmiles55

실제 마운트를 수행하는 Java 앱에서 쉘 스크립트를 호출해야합니다. '상자에 키를 넣지 마십시오'라고 말하면 암호화 된 파일 시스템의 암호가 서버에 없어야합니다 (즉, 데이터에 액세스하는 사람이 입력해야 함).

— mtak

0

하드웨어 토큰 (스마트 카드)을 구입하고 카드에 저장된 키를 사용할 수 있습니다. 카드를 꽂을 때마다 암호를 저장하지 않고도 (카드 사용자 핀 확인을 비활성화 할 때) 배치 모드에서 파일을 암호화하고 해독 할 수 있습니다 ... 열쇠.

— 세보
소스