我们有一个运行Ubuntu 8.04的云服务器(AWS)。 公司所有员工(约15人)在服务器上都有系统账号,都是骗子。 我们希望为所有用户提供一种存储私密数据的方式,这些私密数据应该由密码保护,而不能被其他人使用root权限查看。 对于Windows(Vista / XP)用户来说,应该有一个简单的机制来将数据复制到/从服务器(点击/拖放/复制/粘贴等)。 任何解决scheme人?
-Geos
8.10带来了encryption私人目录到Ubuntu …
你有两个主要的(稍有冲突的)要求:
你的用户是合理的Linux的能力? 我希望如果他们有根特权…
你不能在Ubuntu服务器上用cryptoloop创buildencryption的文件系统,只要有一个用户挂载它,每个其他拥有root的用户都能够以解密的forms看到mount。
一种select是商业PGP产品,并使用PGPnetworking。 将.pgd文件存储在Ubuntu服务器上托pipe的samba共享上(我做的基本相同,但在区域Windows服务器上共享,但不是多用户)。 这是透明的,因为用户将.pgd作为Windows驱动器盘符来使用,然后像使用其他networking驱动器一样使用它。 我不知道这将会非常快,而且您仍然遇到了如何在您的Windows机器和服务器之间安全地允许Windowsnetworking端口的问题。 你可以通过VPN隧道(即使隧道上没有encryption,因为我猜它已经被encryption了),但是这将是有趣的,除非你有一个本地的框,可以作为一个VPN网关 – 在Windows下的IPSec是不愉快的configuration。
对于我曾经想过的PGP Net,可能会有一个有时间限制的testing,所以可能只是一段时间的input。
我能想到的最后一个(也不是非常令人愉快的)选项可能是使用基本的Ubuntu服务器做一些事情,并且可以在AWS(Xen虚拟机,我相信?)服务器上工作的轻量级虚拟化,以便每个用户都可以自己的“监狱”地区,可以挂载他们的cryptoloop文件系统,然后无论是scp文件进出,或运行WindowsnetworkingIPSec或SSH隧道等我不完全确定如何好像用户模式Linux的工作当用户拥有root用户的基本机器时,保持每个虚拟会话与其他虚拟会话相分离 – 通过基本环境还有一定的修改空间,但是如果用户不相互信任,那么他们应该在自己的虚拟机上!
你可以看看encfs。 它提供了一种将常规目录挂载为encryption目录的方法,如下所示:
encfs / path / enc-dir / path / clear-dir
之后,在/ path / clear-dir中读取/写入的数据将被encryption存储在/ path / enc-dir中。 不需要使用特定的分区。 所有数据都存储在常规的ext3分区中。
不过,我不知道如何使用简单的用户界面。 encfs是一个shell命令。
你的,d。
我想你想要的是ecryptfs – 一个由linux内核支持的encryption文件系统,它已经很好地集成到了Ubuntu中,尽pipe8.04版本之后主要集成到了Ubuntu的版本中。
有关为Ubuntu 8.04设置的说明,请参阅本指南或本指南 。
所以这应该符合你的要求有一个或两个警告。 当用户的私人目录没有被安装时,没有人知道用户的密码短语,就不会看到这些文件。 但是,当安装私人目录时,其他用户可以使用sudo su username更改为该用户,然后可以读取他们的文件。
至于与Windows共享,秘密目录将不得不由用户挂载,并且还可以通过samba作为networking共享使用。 恐怕我不知道如何设置桑巴,所以有多个共享,只有一个用户可以使用每个共享,但如果你问在https://serverfault.com/你应该得到一些帮助。 (可能这个问题属于serverfault)。
我在私人数据云上发现了一篇很好的博客文章。 http://bigdatamatters.com/bigdatamatters/2009/09/private-cloud-eucalyptus.html
希望,它的帮助:)