Sou usuário sudo do nosso servidor (Ubuntu). Há também outro usuário sudo em nosso servidor, então nós dois temos acesso a outros diretórios como root. Tenho alguns arquivos privados que não quero compartilhar com outro usuário sudo. Existe alguma maneira de fazer isso?
Responder1
Tenho alguns arquivos privados que não quero compartilhar com outro usuário sudo. Existe alguma maneira de fazer isso?
Só existe uma maneira: não armazene esses arquivos nesse sistema.
Se for o seu servidor e você não confia nesse outro usuário, remova o acesso sudo dele. Caso contrário, os dados privados não deverão ser armazenados nessa máquina. Caso você esteja na União Europeia: A nova lei de privacidade não permite que você armazene dados privados em uma máquina que não seja sua sem notificar e obter o consentimento por escrito do proprietário dessa máquina.
- um usuário sudo sem restrições pode fazer e desfazer tudo o que você puder desfazer e fazer.
- A criptografia dos arquivos ou de um diretório com os arquivos só lhe dará uma falsa sensação de segurança.
- O mesmo vale para acessá-lo de um sistema remoto onde você precisa de uma senha (como um drive USB com criptografia ou uma senha para montar, gdrive ou uma conexão ssh).
É muito fácil ativar umcão de guardaque copia arquivos para outro local. E você mesmo nunca notará isso acontecendo. E é ainda mais fácil instalar um keylogger para capturar qualquer senha digitada.
Responder2
Você não pode ocultar arquivos de outro usuário sudo, mas pode criptografar seus arquivos privados antes (!) de carregá-los no servidor. Para trabalhar com seus arquivos privados (ou seja, editá-los), você precisa baixá-los e descriptografá-los. Depois de terminar seu trabalho, você deverá criptografar e fazer upload novamente.
A sequência é importante e provavelmente não é a maneira mais conveniente, mas funciona: você pode armazenar seus arquivos privados (criptografados) em seu servidor e impedir que outro usuário sudo leia seu conteúdo privado.
Importante: Você deve fazer cada processo de criptografia/descriptografia apenas offline (para ser mais preciso: não no seu servidor). Se você fizer isso no seu servidor, o outro usuário sudo poderá gravar o processo e no final obter acesso aos seus arquivos.
Diferentes métodos de criptografia têm vários prós e contras e, para manter minha resposta curta, gostaria de sugerir apenas duas ferramentas:
GPGoferece criptografia de arquivos com uma cifra simétrica usando uma senha (e muito mais) e é bastante simples.
configuração de criptografiapermite que você crie um contêiner LUKS protegido por senha e use-o como um dispositivo de loop comum. Esteja avisado: você nunca deseja desbloquear um contêiner LUKS online (para ser mais preciso: no seu servidor), caso contrário o outro usuário sudo podeextraia a chave mestra LUKS e use-a para adicionar uma nova chave(obrigado a @Rinzwind pela URL).
Escusado será dizer que é sempre bom escolher senhas fortes e, claro, o outro usuário sudo pode baixar seu arquivo criptografado e tentar descriptografá-lo usando força bruta.