Ich bin der Sudo-Benutzer unseres Servers (Ubuntu). Auf unserem Server gibt es außerdem einen weiteren Sudo-Benutzer, sodass wir beide als Root auf andere Verzeichnisse zugreifen können. Ich habe einige private Dateien, die ich nicht mit dem anderen Sudo-Benutzer teilen möchte. Gibt es eine Möglichkeit, das zu tun?
Antwort1
Ich habe einige private Dateien, die ich nicht mit dem anderen Sudo-Benutzer teilen möchte. Gibt es eine Möglichkeit, das zu tun?
Es gibt nur einen Weg: Speichern Sie diese Dateien nicht auf diesem System.
Wenn es Ihr Server ist und Sie dem anderen Benutzer nicht vertrauen, entfernen Sie seinen Sudo-Zugriff. Andernfalls sollten auf diesem Rechner keine privaten Daten gespeichert werden. Falls Sie sich in der Europäischen Union befinden: Das neue Datenschutzgesetz erlaubt es Ihnen nicht, private Daten auf einem Rechner zu speichern, der Ihnen nicht gehört, ohne den Eigentümer des Rechners zu benachrichtigen und dessen schriftliche Zustimmung einzuholen.
- Ein Sudo-Benutzer ohne Einschränkungen kann alles tun und rückgängig machen, was Sie tun und rückgängig machen können.
- Die Verschlüsselung der Dateien oder eines Verzeichnisses mit den Dateien vermittelt Ihnen lediglich ein falsches Sicherheitsgefühl.
- Dasselbe gilt für den Zugriff von einem Remotesystem, für das Sie ein Kennwort benötigen (z. B. ein USB-Laufwerk mit Verschlüsselung oder einem Kennwort zum Mounten, Gdrive oder eine SSH-Verbindung).
Es ist ganz einfach, eineWachhunddas Dateien an einen anderen Ort kopiert. Und Sie selbst werden es nicht einmal bemerken. Und es ist noch einfacher, einen Keylogger zu installieren, der jedes eingegebene Passwort abfängt.
Antwort2
Sie können Dateien nicht vor dem anderen Sudo-Benutzer verbergen, aber Sie können Ihre privaten Dateien verschlüsseln, bevor (!) Sie sie auf den Server hochladen. Um mit Ihren privaten Dateien zu arbeiten (also sie zu bearbeiten), müssen Sie sie herunterladen und dann entschlüsseln. Nachdem Sie Ihre Arbeit beendet haben, müssen Sie sie erneut verschlüsseln und hochladen.
Die Reihenfolge ist wichtig und es ist wahrscheinlich nicht der bequemste Weg, aber es funktioniert: Sie können Ihre privaten (verschlüsselten) Dateien auf Ihrem Server speichern und verhindern, dass der andere Sudo-Benutzer Ihre privaten Inhalte liest.
Wichtig: Du darfst jeden Ver-/Entschlüsselungsvorgang ausschließlich offline durchführen (genauer gesagt: nicht auf deinem Server). Wenn du es auf deinem Server machst, kann der andere Sudo-Benutzer den Vorgang aufzeichnen und so letztlich auf deine Dateien zugreifen.
Verschiedene Verschlüsselungsmethoden haben unterschiedliche Vor- und Nachteile. Um meine Antwort kurz zu halten, möchte ich nur zwei Tools vorschlagen:
GPGbietet Dateiverschlüsselung mit einer symmetrischen Chiffre unter Verwendung einer Passphrase (und vieles mehr) und ist ziemlich unkompliziert.
Verschlüsselungssetupermöglicht es Ihnen, einen passwortgeschützten LUKS-Container zu erstellen und ihn wie ein normales Loop-Gerät zu verwenden. Beachten Sie: Sie sollten einen LUKS-Container niemals online entsperren (genauer gesagt: auf Ihrem Server), sonst kann der andere Sudo-BenutzerExtrahieren Sie den LUKS-Hauptschlüssel und verwenden Sie ihn, um einen neuen Schlüssel hinzuzufügen(danke an @Rinzwind für die URL).
Es ist selbstverständlich immer gut, sichere Passwörter zu wählen, und natürlich kann der andere Sudo-Benutzer Ihre verschlüsselte Datei herunterladen und versuchen, sie mit Brute-Force zu entschlüsseln.