使用GPGencryption的非现场备份从不在备份服务器上使用私钥？

--show-session-key和--override-session-key选项肯定是可行的。

首先你需要encryption文件的开始。 这是存储encryption的会话密钥的地方。

root@qwerty:~/gpg# head -c 1024k bigfile.gpg > head.gpg

然后将其复制到您的工作站并检索会话密钥

 PS C:\Users\redacted\Downloads> gpg --show-session-key .\head.gpg gpg: encrypted with 2048-bit RSA key, ID DC21D645, created 2016-02-01 "admin <[email protected]>" gpg: session key: '9:926EC16DF1248A1C4401F5AD5D86C63C1BD4BF351ECEFB121C57EC209DE3933D' 

现在，您可以使用会话密钥解密文件

 root@qwerty:~/gpg# gpg -d -o bigfile --override-session-key 9:926EC16DF1248A1C4401F5AD5D86C63C1BD4BF351ECEFB121C57EC209DE3933D bigfile.gpg gpg: encrypted with 2048-bit RSA key, ID DC21D645, created 2016-02-01 "admin <[email protected]>" 

看起来好像大部分问题都已经得到了解答，但是，如果你的pipe理员团队对于本地控制之外的私钥感到警惕，你可能会认为sshfs通过ssh会话挂载远程备份。

通过apt在每个远程pipe理员的系统上安装

 sudo apt-get install sshfs 

假设pipe理员的sshconfiguration如下所示

 # configuration for ssh login to remote server Host Remote Hostname Remote.web.domain User admin IdentityFile ~/.ssh/private.key 

那么你的pipe理员可以使用下面的东西来安装

 # make a mount point mkdir -p /mnt/remote # mount remote directory to local file system sshfs Remote:/path/to/encrypted/dir /mnt/remote 

在检查后卸载，远程pipe理员可以使用以下内容

 fusermount -u /mnt/remote 

关于使用sshfs的甜头是在远程服务器上只需要GnuPG和ssh的公钥，相关的私钥保留在自己的系统上。 第二个好处是，直到读取或访问大部分文件信息停留在其相关的文件系统上。

如果你仍然在寻找工具来促进日志或目录的自动encryption，那么你可能需要检查我推送给GitHub的概念工具（特别是为sshsf使用而编写的scheme四 ）的教授，这些工具只需要一点点定制就可以快乐地encryption任何数据通过GnuPG。 但要注意的是，这是实验性的，如果滥用，它的一些function可能会导致数据的损坏。 源代码less于1600线，因此很可能在周末以后进行审计。

通过设置远程服务器的sshconfiguration，可以增加安全性，使用户只能访问encryption的目录，并禁用以此方式使用的pipe理密钥的交互式shell。

如果你想让密钥保存在硬盘上，你可以创build一个虚拟硬盘（记住那些？），并根据需要从安全的非服务器位置加载密钥。 用它来解密，并用/ dev / random覆盖它。 无论如何，秘密必须进入RAM才能被GPG使用，为什么不是两次呢？

如果你不能让秘密钥匙在服务器上，甚至在RAM中，那么你就有技术上的不可能。 GPG必须有密钥才能解密任何内容。

Ramdisk信息： https ： //unix.stackexchange.com/questions/66329/creating-a-ram-disk-on-linux