私は私たちのサーバー (Ubuntu) の sudo ユーザーです。私たちのサーバーには別の sudo ユーザーもいるので、私たち 2 人とも root として他のディレクトリにアクセスできます。他の sudo ユーザーと共有したくないプライベート ファイルがいくつかあります。それを実現する方法はありますか?
答え1
他の sudo ユーザーと共有したくないプライベート ファイルがいくつかあります。それを共有する方法はありますか?
唯一の方法は、それらのファイルをそのシステムに保存しないことです。
それがあなたのサーバーであり、他のユーザーを信頼できない場合は、そのユーザーの sudo アクセスを削除してください。そうでない場合は、そのマシンにプライベート データを保存しないでください。欧州連合にお住まいの場合: 新しいプライバシー法では、そのマシンの所有者に通知して書面による同意を得ることなく、所有していないマシンにプライベート データを保存することは許可されていません。
- 制限のない sudo ユーザーは、元に戻すことができる操作や実行できる操作をすべて実行および元に戻すことができます。
- ファイルまたはファイルを含むディレクトリを暗号化しても、セキュリティに対する誤った認識しか得られません。
- パスワードが必要なリモート システム (暗号化された USB ドライブ、マウントするためのパスワード、gdrive、ssh 接続など) からアクセスする場合も同様です。
アクティベートするのはとても簡単です番犬ファイルを別の場所にコピーします。そして、あなた自身はそれが起こっていることに気付くことはありません。また、入力したパスワードをキャッチするキーロガーをインストールするのはさらに簡単です。
答え2
他の sudo ユーザーからファイルを隠すことはできませんが、サーバーにアップロードする前に (!) プライベート ファイルを暗号化することはできます。プライベート ファイルで作業するには (つまり、編集するには)、ダウンロードしてから復号化する必要があります。作業が完了したら、再度暗号化してアップロードする必要があります。
順序は重要であり、おそらく最も便利な方法ではありませんが、機能します。プライベート(暗号化)ファイルをサーバー上に保存し、他の sudo ユーザーがプライベートコンテンツを読み取れないようにすることができます。
重要: 暗号化/復号化の各プロセスは、オフラインでのみ実行する必要があります (正確には、サーバー上で実行しないでください)。サーバー上で実行すると、他の sudo ユーザーがプロセスを記録し、最終的にファイルにアクセスできるようになります。
暗号化方法にはそれぞれ長所と短所があり、答えを簡潔にするために、次の 2 つのツールのみを提案します。
GPG のパスフレーズを使用した対称暗号によるファイル暗号化 (およびその他) を提供し、非常に簡単です。
暗号セットアップパスワードで保護されたLUKSコンテナを作成し、それを一般的なループデバイスのように使用できます。注意:LUKSコンテナをオンライン(正確にはサーバー上)でロック解除しないでください。そうしないと、他のsudoユーザーがLUKSマスターキーを抽出し、それを使用して新しいキーを追加します(URLを提供してくれた @Rinzwind に感謝します)。
言うまでもなく、強力なパスワードを選択することは常に良いことですが、もちろん他の sudo ユーザーが暗号化されたファイルをダウンロードし、ブルートフォースを使用して復号化を試みることは可能です。