Bagaimana cara membuat beberapa file yang berisi data penting dilindungi? Sebagai contoh, misalkan saya memiliki beberapa file yang penting, apakah ada metode atau strategi untuk membuat file jenis ini lebih terlindungi di Ubuntu? Saya bahkan ingin membuat beberapa file meminta kata sandi setiap kali seseorang mencoba membukanya. Apakah ini mempengaruhi versi Ubuntu dalam hal kebijakan keamanan? Bolehkah saya menggunakan algoritma enkripsi apa pun secara eksternal? Salam.
permissions
files
Avani badheka
sumber
sumber
chown root
danchmod go-rwx
?Jawaban:
Metode terbaik yang Anda miliki adalah
chattr +i {file}
. Ini menetapkan atribut yang tidak dapat diubah dan kemudian sebuah file tidak dapat dimodifikasi, dihapus, diganti nama atau hardlink dibuat oleh siapa saja termasuk root.Satu-satunya orang yang dapat mengedit file adalah root. (S) ia harus membatalkan ini dengan menghapus bit abadi:
chattr -i {file}
dan kemudian dapat melakukan apa pun dengan file tersebut. Mengatur + i lagi mengunci file dari modifikasi apa pun.Ini tidak akan mencegah dari memformat partisi tempat file disimpan. Ini akan mencegah pencurian file.
Anda bahkan dapat melakukan ini pada mountpoint lengkap jika Anda ingin:
akan membuat seluruh "dunia" dan apa pun di dalamnya tidak berubah (
chattr -i -R /discworld
untuk membatalkannya)sumber
chmod a-r
). Lihat log terminal saya sebagai contoh pengujian.Tanpa melakukan sesuatu yang istimewa, Anda dapat mempersulit orang lain untuk membaca, mengubah, atau menghapus file dengan menghapus izin untuk semua orang kecuali pemiliknya. Jadikan root pemilik file dan letakkan di dalam direktori yang hanya diakses oleh root ...
pindahkan (
sudo mv file /home/secret
) file Anda di sana dan lakukanchmod
danchown
ambil beberapa argumen:chmod 600 file1 file2
atauchmod 600 file*
selain itu, gunakan enkripsi ...
sumber
Cara yang cukup aman untuk melindungi dokumen adalah enkripsi (asalkan Anda menghancurkan dokumen asli dan menyimpan versi yang dienkripsi dengan benar).
Izin (seperti yang disarankan oleh jawaban lain) dapat dielakkan (lihat ini ).
Karena itu, saya sarankan Anda mengenkripsi file dengan benar. Begini caranya:
(Untuk metode antarmuka grafis, lihat akhir dari jawaban ini)
Pastikan Anda telah
gpg
menginstal.Misalnya, untuk mengenkripsi file bernama
Important_File.txt
, gunakanSekarang masukkan kata sandi (ini akan digunakan nanti ketika harus membacanya).
Anda sekarang akan mendapatkan file dengan nama asli dan
.gpg
ekstensi, misalnyaImportant_File.txt.gpg
.Hapus file asli, dan simpan
.gpg
versinya. Mungkin mudah untuk mendapatkan file asli dari disk jika Anda tidak menggunakanshred
utilitas aman (yang masih tidak akan bekerja pada drive SSD atau kartu SD):Sekarang kita hanya
Important_File.txt.gpg
bersama kita.Setiap kali Anda perlu membacanya, cukup
Kemudian masukkan kata sandi yang Anda atur di perintah pertama. Anda akan mendapatkan yang asli
Important_File.txt
.Metode Graphical Interface (GUI)
Instal aplikasi Kuda Laut.
Kemudian Anda dapat melakukan ini dari aplikasi Files:
sumber
rm
atau menghapus dari pengelola file). Anda perlu menimpanya agar tidak dapat dipulihkan, misalnya menggunakanshred
. Itu juga tidak berguna pada SSD dan flash drive ...Cukup atur 600 izin yang sangat ketat, sehingga hanya pemilik yang dapat membaca, dan menulisnya (jika Anda memerlukan izin eksekusi, itu akan menjadi 700).
Anda juga dapat melakukannya secara grafis - cukup klik kanan pada file, pilih
Properties > Permissions > Set
, dan mengatur semua tapi yangowner
lapangan untuk apa-apa.Lihat gambar sebagai contoh:
sumber
Jika Anda adalah pengguna tunggal pada sistem, dan tidak ada yang dapat mengakses komputer Anda secara wajar tanpa izin, maka Anda dapat memblokir akses dengan menggunakan perintah ini, sesuai jawaban Zanna :
Dalam hal ini, file hanya dapat dibaca dan / atau ditulis oleh
root
pengguna. Ini dianggap "cukup aman" jika tidak ada yang dapat mem-boot komputer Anda tanpa izin Anda, atau mengangkat hard drive Anda. Kami menggunakanroot
pengguna dalam hal ini, karenaroot
pengguna selalu dapat membaca file, bahkan jika mereka tidak memiliki izin. Dengan menggunakan pengguna root, kami menegaskan bahwa hanya satu pengguna yang dapat mengaksesnya.Jika Anda ingin menandai file sebagai tidak dapat diubah dengan cara, bentuk, atau bentuk apa pun, Anda dapat menggunakan
i
atribut untuk menandai file sebagai tidak dapat diubah . Dalam hal ini, izin file dikunci dan tidak dapat diubah dalam keadaan apa pun. Dengan demikian, Anda dapat melakukan perintah berikut untuk membuat file tidak dapat diubah, dan melindunginya dari penghapusan dan perubahan izin:Jika Anda ingin mengubahnya, ganti
+i
dengan a-i
untuk membuka kunci file sementara. Lihat jawaban Rinzwind untuk tampilan yang lebih mendalam.Sekarang, jika orang lain memiliki akses ke komputer Anda (baik
sudo
akses jarak jauh atau segala bentuk akses fisik), ini berantakan secara instan. Seorang penyerang dapat menggunakanroot
kekuatan untuk membaca file Anda, memasukkan Live USB, atau hanya menarik hard drive Anda.Karena itu, kita perlu mengenkripsi file. Saya pribadi lebih suka menggunakan "wadah file," sehingga Anda dapat lebih banyak menempel di sana dan membuatnya tumbuh sesuai kebutuhan.
chattr +i
masih disarankan agar file tidak terhapus secara tidak sengaja (atau diubah). Terakhir, jika Anda menggunakan gambar yang dienkripsi, Anda dapat mengatur izin untuk membiarkan orang lain mengakses subset file yang sangat terbatas saat disk dipasang, menjadikannya baik untuk server. Panduan ini awalnya tersedia di sini , dan disesuaikan untuk digunakan di sini.Pertama, Anda ingin membuat image disk untuk Anda gunakan. Dalam contoh ini, kita akan membuatnya 5 GB.
Kemudian, kami perlu membuat gambar Anda dienkripsi:
Anda akan memiliki pilihan di sini untuk memasukkan kata sandi enkripsi pilihan Anda. Setelah ini selesai, kita perlu mengekspos perangkat blok mentah:
Saat ini, kami memiliki wadah file yang didekripsi, tetapi tidak ada sistem file, dan itu sama baiknya dengan tidak berguna. Mari kita perbaiki itu:
Sekarang, kita membutuhkan tempat untuk memasang partisi baru kita. Dalam hal ini, saya akan meletakkannya di
/crypt
. Saya pengguna 1000, jadi, saya akan mengatur partisi saya hanya mengizinkan saya (dan root) untuk membaca / menulis darinya.Sekarang, saya dapat menggunakan alat file saya untuk menavigasi
/crypt
dan saya dapat menyimpan semua file sensitif saya di sana. Setelah selesai, saya harus melepas dan mengenkripsi ulang partisi saya.Sekarang, saya akan mengatur partisi yang sesuai pada file gambar saya, sehingga hanya saya dan root yang dapat mengaksesnya, dan itu tidak dapat diubah lagi.
Setiap kali saya ingin membuka file ini untuk membaca, saya hanya perlu menjalankan dua perintah ini, yang saya dapat dengan mudah alias:
Data terenkripsi saya akan tersedia di
/crypt
dan itu akan tetap hanya-baca dan hanya dapat diakses oleh saya dan root.Jika saya ingin mengubah file, saya perlu mengubah izin dan kemudian me-mount:
Sekarang, Anda perlu berhati-hati di sini karena jika pengguna memiliki root pada sistem mereka, mereka dapat memodifikasi / menghancurkan partisi terenkripsi Anda, menjadikannya tidak berguna. Mereka juga dapat mencuri data dari drive, tetapi hanya ketika terbuka. Namun, mereka tidak dapat mencuri data atau bahkan melihat bahwa data ada tanpa Anda membukanya secara eksplisit. Karena itu, tugas Anda adalah memastikan bahwa sistem Anda cukup aman untuk tidak memiliki pengguna root daring saat Anda membuka volume terenkripsi Anda.
TL; DR :
Buat brankas:
Isi lemari besi:
Kunci lemari besi:
Bekukan lemari besi:
Buka brankas:
sumber
cryptsetup
dengan sesuatu yang mencatat kata sandi apa pun yang dimasukkan ...Anda dapat menggunakan encfs untuk enkripsi direktori .
Pada dasarnya Anda perlu membuat 2 direktori, 1 di mana data terenkripsi akan disimpan dan 1 di mana Anda akan mengakses data itu:
Kemudian jalankan (Anda perlu mengeksekusi baris ini setiap kali Anda ingin 'me-mount' direktori Anda):
Kecuali Anda tahu lebih banyak tentang itu, cukup tekan ENTERuntuk pergi dengan pengaturan standar (hanya diminta pertama kali).
Kemudian masukkan kata sandi Anda dan itu akan dipasang.
Data Anda hanya akan diakses oleh pengguna Anda dengan aman
~/private/
(Anda dapat mengabaikannya~/.encrypted
)Untuk melepasnya:
atau
Sederhana seperti itu.
sumber
Anda dapat mengenkripsi data menggunakan cryptkeeper yang merupakan aplikasi yang sangat bagus dan dapat memberikan keamanan pada file Anda. Anda dapat menginstalnya dengan:
Saya biasanya merekomendasikan Anda mengenkripsi folder dengan nama yang dimulai dengan
.
meletakkannya sebelum nama file menyembunyikannya. Ini sedikit trik tetapi berhasil.Untuk menyembunyikan folder, gunakan Ctrl+ hatau sebaliknya.
sumber
ls
.ls
, Anda dapat menggunakan-a
sakelar untuk menampilkan semua file (termasuk yang disembunyikan).