Я пользователь sudo нашего сервера (Ubuntu). На нашем сервере есть еще один пользователь sudo, поэтому у нас обоих есть доступ к другим каталогам как у root. У меня есть некоторые личные файлы, которыми я не хочу делиться с другим пользователем sudo. Есть ли способ сделать это?
решение1
У меня есть некоторые личные файлы, которыми я не хочу делиться с другим пользователем sudo. Есть ли способ сделать это?
Есть только один способ: не хранить эти файлы в этой системе.
Если это ваш сервер и вы не доверяете другому пользователю, удалите его доступ sudo. В противном случае личные данные не должны храниться на этой машине. Если вы находитесь в Европейском Союзе: новый закон о конфиденциальности не позволяет вам хранить личные данные на машине, которой вы не владеете, без уведомления и получения письменного согласия владельца этой машины.
- Пользователь sudo без ограничений может делать и отменять все, что можете делать и отменять вы.
- Шифрование файлов или каталога с файлами даст вам лишь ложное чувство безопасности.
- То же самое касается доступа к нему из удаленной системы, где вам нужен пароль (например, USB-накопитель с шифрованием или пароль для монтирования, gdrive или ssh-подключение).
Активировать довольно легкосторожевая собакакоторый копирует файлы в другое место. И вы сами никогда не заметите, как это происходит. А еще проще установить кейлоггер, чтобы перехватывать любой вводимый вами пароль.
решение2
Вы не можете скрыть файлы от другого пользователя sudo, но вы можете зашифровать свои личные файлы перед (!) загрузкой их на сервер. Чтобы работать с вашими личными файлами (т. е. редактировать их), вам нужно загрузить их, а затем расшифровать. После того, как вы закончите свою работу, вы должны зашифровать и загрузить их снова.
Последовательность имеет значение, и это, возможно, не самый удобный способ, но он работает: вы можете хранить свои личные (зашифрованные) файлы на своем сервере и не позволять другим пользователям sudo читать ваш личный контент.
Важно: Вы должны выполнять каждый процесс шифрования/дешифрования только офлайн (точнее: не на вашем сервере). Если вы делаете это на своем сервере, другой пользователь sudo может записать процесс и в конечном итоге получить доступ к вашим файлам.
Различные методы шифрования имеют свои плюсы и минусы, и чтобы мой ответ был кратким, я хотел бы предложить только два инструмента:
ОПГпредлагает шифрование файлов с помощью симметричного шифра с использованием парольной фразы (и многое другое) и является довольно простым.
криптонастройкапозволяет вам создать защищенный паролем контейнер LUKS и использовать его как обычное устройство loop-device. Будьте осторожны: вы никогда не хотите разблокировать контейнер LUKS в сети (точнее, на вашем сервере), иначе другой пользователь sudo можетизвлеките главный ключ LUKS и используйте его для добавления нового ключа(спасибо @Rinzwind за ссылку).
Само собой разумеется, что всегда хорошо выбирать надежные пароли, и, конечно же, другой пользователь sudo может загрузить ваш зашифрованный файл и попытаться расшифровать его с помощью перебора.