encフォルダをマウントしても安全ですか?

encフォルダをマウントしても安全ですか?

私はこれを見ていますecryptfsは素敵に見えます。私のサーバーでこれを使ってgitプッシュを暗号化したいと思います。毎回SSHを介して暗号化されたフォルダをマウント/マウント解除したくありません。しかし、時々再起動したり、まともなことがあります。

複数のハードドライブをスキャンするときにサービスプロバイダの誰かが自分のフォルダを見ることができないことが好きですが、常にフォルダをマウントしておくのは比較的安全ですか?パスワードがメモリにプレーンテキストで保存されていないようですが?自分のサーバーがネットワーク上にあるので、他の人が自分のサーバーに接続してファイルにアクセスできませんか? (enc/prv フォルダーは 700)

インストールを続けると本当に心配することはありませんか?私のサーバーはDebian 6(squeeze)です。興味深いなら。

答え1

暗号化されたファイルシステムをそのままにしてマウントすると、攻撃面が増えます。つまり、攻撃者が脆弱性を悪用してファイルにアクセスできる場所が増えます。

  • 攻撃者がユーザーとしてコードを実行できる場合は、ファイルにアクセスできます。暗号化されたファイルシステムがインストールされていない場合、彼女はあなたのファイルに直接アクセスすることはできませんが、ある種のトロイの木馬(キーロガーなど)を注入して最終的にあなたのパスワードを見つける可能性が高くなります。
  • 攻撃者がプロセスのメモリを読み取ることができる場合はキーを取得し、キーがある場合(盗難にあったバックアップなど)、そのキーを使用してファイルのオフラインコピーを復号化する可能性があります。あなたのパスワードはメモリに保存されませんが(コードを確認していないことを願っています)、キーは保存する必要があります。ファイルシステムがマウントされていないと、何も取得できません。ただし、ファイルシステムのマウント中にマウントプロセスのメモリを読み取ることができれば、キーを取得できます。
  • 攻撃者があなたのユーザー権限でファイルを読み取ることができる場合は、プレーンテキストを取得します。ファイルシステムがマウントされていない場合は、パスワードテキストとパスワード暗号化用のキーのみを取得します(パスワードクラッキングプログラムを使用して無差別攻撃を試みることができます)。

全体的に、攻撃面の増加は最小限に抑えられます。 Encfsは、一定期間アクティブでない場合encfs -i MINUTES(アクティブは開かれたファイルを意味します)、ファイルシステムを自動的にアンマウントできます。コンピュータが盗まれる危険がある場合(主にノートブックに関連する)、この機能を使用することをお勧めします。さもなければ、ほとんどの攻撃ベクトルのために、攻撃者はとにかく悪いことをする可能性があるので、利益はほとんどありません。

関連情報