Soy usuario sudo de nuestro servidor (Ubuntu). También hay otro usuario sudo en nuestro servidor, por lo que ambos tenemos acceso a otros directorios como root. Tengo algunos archivos privados que no quiero compartir con el otro usuario de Sudo. ¿Hay alguna forma de hacer eso?
Respuesta1
Tengo algunos archivos privados que no quiero compartir con el otro usuario de Sudo. ¿Hay alguna forma de hacer eso?
Sólo hay una manera: no almacenar esos archivos en ese sistema.
Si es tu servidor y no confías en ese otro usuario, elimina su acceso sudo. De lo contrario, los datos privados no deberían almacenarse en esa máquina. En caso de que se encuentre en la Unión Europea: la nueva ley de privacidad no le permite almacenar datos privados en una máquina que no es de su propiedad sin notificar y obtener el consentimiento por escrito del propietario de esa máquina.
- un usuario de sudo sin restricciones puede hacer y deshacer todo lo que usted pueda deshacer y hacer.
- El cifrado de los archivos o de un directorio con los archivos sólo le dará una falsa sensación de seguridad.
- Lo mismo ocurre con el acceso desde un sistema remoto donde necesita una contraseña (como una unidad USB con cifrado o una contraseña para montar, gdrive o una conexión ssh).
Es bastante fácil activar unperro guardiánque copia archivos a otra ubicación. Y usted mismo nunca notará que esto sucede. Y es aún más fácil instalar un registrador de claves para capturar cualquier contraseña que escriba.
Respuesta2
No puede ocultar archivos al otro usuario de sudo, pero puede cifrar sus archivos privados antes (!) de cargarlos en el servidor. Para trabajar con sus archivos privados (es decir, editarlos), debe descargarlos y luego descifrarlos. Una vez que haya terminado su trabajo, debe cifrar y cargar nuevamente.
La secuencia importa y probablemente no sea la forma más conveniente, pero funciona: puedes almacenar tus archivos privados (cifrados) en tu servidor y evitar que el otro usuario de sudo lea tu contenido privado.
Importante: Debe realizar cada proceso de cifrado/descifrado únicamente fuera de línea (para ser precisos: no en su servidor). Si lo hace en su servidor, el otro usuario de sudo puede registrar el proceso y al final obtener acceso a sus archivos.
Los diferentes métodos de cifrado tienen varias ventajas y desventajas y, para que mi respuesta sea breve, me gustaría sugerir solo dos herramientas:
GPGofrece cifrado de archivos con un cifrado simétrico usando una frase de contraseña (y mucho más) y es bastante sencillo.
configuración de criptale permite crear un contenedor LUKS protegido con contraseña y usarlo como un dispositivo de bucle común. Tenga en cuenta: nunca desea desbloquear un contenedor LUKS en línea (para ser precisos: en su servidor), de lo contrario, el otro usuario de sudo puedeextraiga la clave maestra LUKS y úsela para agregar una nueva clave(gracias a @Rinzwind por la URL).
No hace falta decir que siempre es bueno elegir contraseñas seguras y, por supuesto, el otro usuario de sudo puede descargar su archivo cifrado e intentar descifrarlo usando fuerza bruta.