Назад | Перейти на главную страницу

Зашифрованная файловая система на облачном сервере Ubuntu

У нас есть облачный сервер (AWS) под управлением Ubuntu 8.04. Все сотрудники (около 15 человек) в компании имеют системные учетные записи на сервере, и все они работают с sudoers. Мы хотим предоставить всем пользователям возможность хранить личные данные, которые должны быть защищены паролем и не доступны для просмотра другими пользователями, использующими свои привилегии root. И должен быть простой механизм для пользователей Windows (Vista / XP) для копирования данных на / с сервера (щелкнуть / перетащить / скопировать / вставить и т. Д.). Любое решение, ребята?

-Геос

У вас есть два основных (и слегка противоречивых) требования:

  1. Шифрование для каждого пользователя, а не для системы.
  2. Прозрачная работа с точки зрения пользователя.

Достаточно ли у ваших пользователей возможности Linux? Надеюсь, что если у них есть root-права ...

Вы не можете просто создать зашифрованные файловые системы с помощью cryptoloop на сервере Ubuntu, как только один пользователь смонтирует его, любой другой пользователь с root сможет увидеть монтирование в его расшифрованном виде.

Один из вариантов - коммерческий продукт PGP и использование PGP Net. Храните файлы .pgd в общей папке samba, которая размещена на сервере Ubuntu (я сделал, по сути, то же самое, но на локальном общем ресурсе сервера Windows - работает, но не многопользовательский). Это настолько прозрачно, насколько это возможно - пользователь монтирует .pgd как букву диска в Windows, а затем просто использует его, как любой другой сетевой диск. Я не знаю, что это будет ужасно быстро, и у вас все еще есть проблема, как безопасно разрешить сетевые порты Windows между вашими компьютерами Windows и сервером. Вы можете туннелировать его через VPN (даже без шифрования в туннеле, поскольку я предполагаю, что он уже зашифрован), но это будет интересно, если у вас нет локального компьютера, который может действовать как VPN-шлюз - IPSec под Windows неприятно настраивать .

Я бы подумал, что есть, вероятно, ограниченная по времени пробная версия PGP Net, так что это может быть то, что вы можете попробовать только на некоторое время.

Последний (и не очень приятный) вариант, который я могу придумать, мог бы заключаться в том, чтобы что-то сделать с базовым сервером Ubuntu и облегченной виртуализацией, которая будет работать на сервере в AWS (я полагаю, виртуальные машины Xen?), Чтобы каждый пользователь получил свое собственная «заключенная в тюрьму» область и может монтировать внутри нее свою файловую систему cryptoloop, затем либо загружать и выгружать файлы scp, либо запускать сеть Windows через IPSec или ssh-туннель и т. д. Я не совсем уверен, насколько хорошо что-то вроде пользовательского режима Linux будет работать в сохранение каждого виртуального сеанса отдельно от других, когда у пользователей есть root-права на базовую машину - все еще есть возможности для работы через базовую среду, но если ваши пользователи не доверяют друг другу в такой степени, то они все равно должны быть на своих собственных виртуальных машинах !

Я думаю, что ты хочешь ecryptfs - зашифрованная файловая система, поддерживаемая ядром Linux и хорошо интегрированная в Ubuntu, хотя основная интеграция пришлась на версии Ubuntu после 8.04.

Инструкции по настройке для Ubuntu 8.04 см. это руководство или это руководство.

Таким образом, это должно соответствовать вашим требованиям с одним или двумя оговорками. Если личный каталог пользователя не смонтирован, никто не сможет увидеть файлы, не зная парольной фразы этого пользователя. Однако, когда частный каталог смонтирован, другие пользователи могут стать этим пользователем, используя sudo su username а затем могли читать свои файлы.

Что касается совместного использования с окнами, секретный каталог должен быть установлен пользователем, а также доступен в качестве общего сетевого ресурса через самбу. Боюсь, я не знаю, как настроить самбу, чтобы было несколько общих ресурсов, и только один пользователь мог использовать каждый общий ресурс, но если вы спросите https://serverfault.com/ вам нужна помощь в этом. (И, возможно, этот вопрос относится к serverfault).

Вы можете посмотреть файл encfs. Он предоставляет способ смонтировать обычный каталог как зашифрованный, например:

encfs / путь / enc-каталог / путь / ясно-каталог

После этого данные, прочитанные / записанные в / path / clear-dir, сохраняются в зашифрованном виде в / path / enc-dir. Нет необходимости использовать определенный раздел. Все данные хранятся в обычном разделе ext3.

Однако я понятия не имею, как можно использовать простой пользовательский интерфейс. encfs - это команда оболочки.

Ваш, д.

Я нашел хороший пост в блоге о частном облаке данных. http://bigdatamatters.com/bigdatamatters/2009/09/private-cloud-eucalyptus.html

надеюсь, это полезно :)