标签: encrypting-file-system

我正在设置一些新的 Ubuntu 服务器，我想保护它们上的数据免遭盗窃。威胁模型是需要硬件的攻击者，或者需要数据的幼稚攻击者。

请注意本节。

威胁模型并没有包括智能攻击者希望的数据; 我认为他们会执行以下一项或多项操作：

1. 将 UPS 接入电源线，以保持机器持续运行。

2. 在计算机和网络终端点之间插入一对以太网桥接器，该桥接器将桥接无线网络上的流量，使主机保持网络连接的足够范围。

3. 打开盒子并使用内存总线上的探针来抓取有趣的东西。

4. 使用 TEMPEST 设备来探测主机正在做什么。

5. 使用法律手段（例如法院命令）强迫我披露数据

6. 等等等等。

所以我想要的是在加密分区上的磁盘上拥有一些或理想的全部数据，以及在某种外部媒体上访问它所需的关键材料。我能想到的两种存储密钥材料的方法是：

1. 将其存储在可通过网络访问的远程主机上，并配置足够的网络以在引导过程中检索它。只允许检索分配给安全主机的 IP 地址（因此，如果加密数据是在另一个网络连接上启动的，则不允许访问加密数据），如果发现机器被盗，管理员可以禁用该地址。

2. 将其存储在 USB 存储设备上，该设备在某种程度上比主机本身更难窃取。将它放置在远离主机的位置，例如在通向房间另一个角落甚至另一个房间的 5 米 USB 电缆的末端，可能会显着降低攻击者获取它的机会。以某种方式保护它，例如将它链接到固定不动的东西，甚至将其放入保险箱中，效果会更好。

那么我有哪些设置选项呢？正如我之前所说，我更愿意将所有内容（除了可能不包含 /etc 的小引导分区）加密，这样我就不必担心我将文件放在哪里，或者文件放在哪里”不小心降落了。

我们正在运行 Ubuntu 9.04，如果它有什么不同的话。

我一直在拼命寻找将我的 AWS EFS 文件系统备份到 S3 的方法，但似乎找不到。

有几个 EC2 实例在运行，所有实例都可以访问提到的 EFS。为了减少流量，我已经尝试启动一个 Lambda 函数，该函数通过 SSH 连接到 EFS 实例并运行“aws s3 sync ...”。不幸的是，来自 Lambda 服务的 SSH 连接似乎不是一个好的生产就绪解决方案。

我还尝试过调整 DataPipeline，但是仅为备份启动额外的实例似乎也很麻烦。

是不是有一些简单的方法可以将 EFS 备份到 S3？
任何建议表示赞赏。

我有一个批处理文件设置为通过 Windows Server 2008 R2 中的任务计划程序运行。批处理文件用于旋转和压缩 MySQL 日志，包含这些日志的文件夹使用 Windows 内置的 EFS 加密进行加密。我找到了一个 VBS 脚本，它可以压缩（zip）一个文件夹，我用它来压缩旋转后的旧日志文件。如果我在命令行运行它，批处理文件运行良好。

问题是当我尝试让任务调度程序运行它时。我将它设置为每天运行一次，并以我自己的身份运行（我有权访问并可以查看加密的日志文件等）。但是当任务运行时（在预定时间或如果我手动运行任务）它在运行 VBS 脚本时会窒息，说它是未经授权的。当批处理文件调用 CScript 运行 VBS 脚本时，CScript 是否以同一用户（我自己）身份运行？我只是从批处理文件中调用它，如下所示：

CScript  zipIt.vbs  %TEMPDIR%  %ARCHIVEDIR%\%TARGETZIP%

以下是 VBS 脚本的内容：

Set objArgs = WScript.Arguments
InputFolder = objArgs(0)
ZipFile = objArgs(1)
CreateObject("Scripting.FileSystemObject").CreateTextFile(ZipFile, True).Write "PK" ^& Chr(5) ^& Chr(6) ^& String(18, vbNullChar)
Set objShell = CreateObject("Shell.Application")
Set source = objShell.NameSpace(InputFolder).Items
objShell.NameSpace(ZipFile).CopyHere(source)
wScript.Sleep 2000

我一般对 VBS 或 Windows 管理不是很了解，但我猜这个脚本在加密文件夹中创建新文件时遇到问题。因为当我关闭文件夹加密时，它可以从任务计划程序正常工作。我想用我自己的凭据使用“Runas”调用 CScript，但我不希望我的密码以明文形式存储在批处理文件中，因为其他用户可以访问这些文件（DatabaseAdmin 等）。在任务计划程序中，有一个“以最高权限运行”的选项。这会解决问题吗？我一直在避免这种情况，因为我想我应该设法弄清楚如何让它以尽可能少的权限工作。

更新：在四处闲逛时，我发现我实际上没有能力解密 MySQL 日志文件，即使我确实具有包含文件夹的能力（由 cipher.exe /c 验证）。唯一具有 unencrypt 权限的帐户是 SYSTEM。这可能是因为 MySQL 日志是由工具“MySQLAdmin flush-logs”创建的。据我了解，应用程序创建的文件归 SYSTEM …

我已经阅读了一些关于使用 cryptsetup 设置加密文件系统的教程。它们都从以下随机文件的创建开始

dd if=/dev/urandom of=/etc/cryptfile bs=1M count=10

该文件将进一步用于创建环回设备。给出的随机文件的原因通常是因为攻击者将无法找到文件的哪些部分用于写入以及哪些部分是空的。我的问题是，既然环回设备在我们写入文件系统时会以任何方式被格式化，那么我们为什么首先要关心它的随机化呢？

家庭在登录时未加密安装。

我在执行“su sampleuser”后尝试访问它，但它被加密了，我猜这是预期的行为。

我也尝试更改用户的密码，然后登录，但我被重定向到登录。

所以只是为了确定：有没有办法让 root 访问和解密另一个用户的主文件夹？

我正在寻找一种在 Windows 2012 服务器上加密目录/文件的解决方案。

几个 Excel 文件将存储在一个共享中，我正在寻找一种解决方案来独立加密它们。据我所知，BitLocker 不是我想要的，但 EFS 可能对我有用。

有没有办法使用 EFS 仅使用域凭据进行访问，或者是否需要证书？

为了概念验证，我正在构建一个将托管 2 个用户的服务器。

两个用户都是本地管理员，两个用户都是域用户。

用户 1 将使用 EFS 加密文件，以便他可以获得透明访问。

User2 是否可以访问这些文件？

如果是这样，是否有其他方法可以阻止访问这些文件？

谢谢！

我正在寻找阻止我的 Windows 管理员访问我的文件的方法。我的计划是用 EFS 加密我的文件。据我所知，如果管理员具有 EFS 恢复代理角色，则他可以访问加密文件。所以我担心管理员可以授予自己恢复代理权限、窃取数据和剥夺权限的可能性。我的研究表明，在这种情况下，我的文件的元数据中会有一个恢复代理信息条目，管理员无法删除它。所以至少我可以检测到钢铁事后。检测钢铁的潜在机会给了我足够的安全感。我对吗？请检查我的扣除额。