パスワードを書く必要のない暗号化されたコンテナを作成することは可能ですか?

パスワードを書く必要のない暗号化されたコンテナを作成することは可能ですか?

誰もがパスワードを知らなくても書くことができる暗号化されたコンテナを提供する既製のパッケージはLinuxにありますか?私たちは、各ユーザーが一日の終わりに仕事を提出し、コンピュータをきれいに拭くことを期待しています。ユーザーは以前のユーザーのデータにアクセスできないはずです。 LUKS、EncFSなどを見ましたが、書き込むにはパスワードでコンテナをロック解除する必要があるようです。ハッカーが侵入すると、コンテナのデータにアクセスできます。

答え1

容器は容器の外側を内部から保護する。外部損傷から容器内部を保護しません。ユーザーAliceがユーザーBobのデータにアクセスできないようにするには、Aliceにホストへのアクセス権がないことを確認してください。これは、Aliceがホストへのルート(「sudo」)アクセス権を持つことができず、ホストへの物理的な制御を持つことができないことを意味します(物理的にホストの前にいる場合、アリスがプラグを抜くなどの操作を防ぐできる方法があるはずです)。ハードドライブの操作)。

Aliceにホストへのユーザーレベルのアクセス権しかない場合は、通常のUnix権限であれば、Bobのデータを保護するのに十分です。全員に個別のアカウントを提供してください。コンテナは暗号化とは関係ありません。

Aliceがホストへのアクセス権を持っている場合、コンテナと暗号化は役に立ちません。なぜなら、アリスは、ボブからのデータの読み込みなど、ボブができることをすべて実行する準備ができているからです。 Bobが自分のデータにどのようにアクセスするかは問題ではありません。 Aliceにもアクセス権があるため、同じことができます。

ユーザーがクライアントコンピュータ(一度に各コンピュータを使用する単一のユーザー)を使用でき、他のユーザーのデータを表示できないようにしたいようです。したがって、データをローカルに保存せずに中央サーバーに保存してください。コンテナはセキュリティの観点からはほとんど使用されませんが、展開を容易にすることができます(とにかくコンテナの主な動機は何ですか)。暗号化は特に有用ではありませんが、ローカルに何も保存しない場合(ユーザーセッションの終了後に持続しない一時ファイルを除く)、暗号化によっていくつかの利点を得ることができます。システムパーティションとデータパーティションという2つのパーティションを作成します。アップグレードしない限り、システムパーティションを読み取り専用でマウントします。データパーティションは、各セッションの開始時に(または起動時に、ユーザーがログオフしてコンピュータを再起動したときに)再生成されるランダムに生成されたキーを使用して暗号化されます。

関連情報