私たちは eCryptfs (Ubuntu Server 10.04) について学習/実験中です。私たちは、bash スクリプトを使用してプログラム的にサーバー上のユーザーを設定しようとしています。これには、ユーザーの "/home" の暗号化も含まれます。
ecryptfs パスフレーズを生成するために新しいアカウントにログインする必要を回避しようとしています。これを実行すると、別のアカウントから bash 経由でパスフレーズを回復できますが、「手動」ログイン手順を回避したいと考えています。
これはインターネットに面したサーバーであり、私たちは「ロックダウン」に最善を尽くしており、ユーザーが「勝手に」パスワードを変更できないようにするため、パスワード変更リクエストを行うよう要求しており、暗号化の目的はユーザー同士が互いのアカウントにアクセスできないようにすることです (このニーズに対処するには、暗号化によって ssh に加えてログインも強制されますが、/home を「隠す」など、おそらくもっと良い方法があります)。
では、手動ログインを置き換えてパスフレーズを作成し、ecryptfs-unwrap-passphrase を使用してそれをキャプチャして記録できるログインをスクリプト化する方法はありますか (Google でこれは不可能だという投稿を見ました)。
答え1
暗号化されたホーム セットアップ スクリプトの現在の実装で、あなたがしようとしていることを実現できるかどうかは、はっきりとは言えません。その点については、他の誰かが手助けする必要があります。
ただし、eCryptfs の使い方が少し間違っていることを指摘しておきます。eCryptfs は実際には、強化されたアクセス制御を提供する目的で設計されておらず、そのために eCryptfs に依存すると、いくつかの問題が発生します。
悪意のあるユーザーが別のユーザーのデータにアクセスしようとしており、そのユーザーの暗号化されたホーム ディレクトリがマウントされている場合 (つまり、暗号化キーがカーネル キー リング内にある場合)、eCryptfs は通常の DAC 権限以上のものを提供しません。攻撃者が DAC をバイパスできる場合、何らかのカーネル エクスプロイトを持っている可能性が高く、その時点で暗号化キーがすでにカーネル キー リングにロードされている場合、eCryptfs は保護を提供しません。
攻撃時にホーム ディレクトリがマウントされていないユーザーに対しては、いくつかの有効な保護手段がありますが、特定の時点でユーザーがホーム ディレクトリをマウントする可能性が高いかどうかを判断する必要があります。
また、暗号化されたデータのバックアップを作成する予定の場合は、バックアップをユーザーごとに暗号化することでメリットが得られます。管理者がデータにアクセスするのが難しくなり、テープ ドライブの置き忘れで悩むことも少なくなります。
eCryptfs の使用を思いとどまらせるつもりはありませんが、ファイル暗号化を使用すると複雑さが増し、パフォーマンスがわずかに低下する代わりに何が得られるのかを理解していただきたいと思います。