我是我們伺服器(Ubuntu)的 sudo 用戶。我們的伺服器中還有另一個 sudo 用戶,因此我們都可以以 root 身分存取其他目錄。我有一些私人文件,我不想與其他 sudo 用戶分享。有什麼辦法可以做到這一點嗎?
答案1
我有一些私人文件,我不想與其他 sudo 用戶分享。有什麼辦法可以做到這一點嗎?
只有一種方法:不要將這些檔案儲存在該系統上。
如果這是您的伺服器且您不信任其他用戶,請刪除他的 sudo 存取權限。否則,私有資料不應儲存在該電腦上。如果您位於歐盟:新的隱私權法不允許您在未通知該機器所有者並獲得該機器所有者書面同意的情況下將私人資料儲存在不屬於您的機器上。
- 沒有任何限制的 sudo 使用者可以執行和撤銷您可以撤銷和執行的任何操作。
- 對文件或包含文件的目錄進行加密只會給您帶來錯誤的安全感。
- 從需要密碼的遠端系統存取它也是如此(例如加密的 USB 磁碟機或安裝密碼、gdrive 或 ssh 連線)。
啟動非常容易看門狗將文件複製到另一個位置。而你自己永遠不會注意到它的發生。安裝鍵盤記錄器來捕獲您輸入的任何密碼甚至更容易。
答案2
您無法向其他 sudo 用戶隱藏文件,但您可以在將您的私人文件上傳到伺服器之前(!)對其進行加密。要使用您的私人文件(即進行編輯),您需要下載然後解密。完成工作後,您必須再次加密並上傳。
順序很重要,它可能不是最方便的方法,但它有效:您可以將您的私人(加密)檔案儲存在您的伺服器上,並防止其他 sudo 用戶讀取您的私人內容。
重要提示:您必須僅離線執行每個加密/解密過程(準確地說:不在您的伺服器上)。如果您在伺服器上執行此操作,其他 sudo 使用者可以記錄該過程並最終存取您的檔案。
不同的加密方法有不同的優點和缺點,為了讓我的答案簡短,我只想推薦兩種工具:
GPG使用密碼短語(以及更多)透過對稱密碼提供檔案加密,並且非常簡單。
密碼設定允許您建立受密碼保護的 LUKS 容器並像普通循環設備一樣使用它。請注意:您永遠不想在線解鎖 LUKS 容器(準確地說:在您的伺服器上),否則其他 sudo 用戶可以提取 LUKS 主密鑰並使用它添加新密鑰(感謝 @Rinzwind 提供的 URL)。
不用說,選擇強密碼總是好的,當然其他 sudo 用戶可以下載您的加密檔案並嘗試使用暴力解密。