Windows ServerからUbuntu Serverへの移行を検討しています。私が理解していない機能の1つは、NTFS暗号化(EFS)の代わりに何を使用する必要があるかです。基本的に私に必要なものは次のとおりです。
1)これは、Bitcoin Coreのwallet.datやbitcoin.confファイルなど、リポジトリ内の特定の特定のファイルにのみ適用されます(フル150 Gbブロックチェーンリポジトリには適用されません)。
2)これがクラウドサーバーであり、管理者がハードドライブをインポートすると、ファイルは物理的に暗号化されたままになり、復号化できません。
3)ファイルは対称的に暗号化されますが(大容量ファイルでも優れたパフォーマンスを発揮します)、鍵は公開鍵を使用して1人以上のユーザーに配布されます。たとえば、サービスアカウントとサービス構成を実行する管理者アカウントを割り当てます。他の管理者アカウントは、ファイルの内部データ(サービスを含むパスワードやキーなど)を読み取ることができず、物理的に復号化できないため、権限を上書きしたり取得したりすることはできません。復号化に登録したユーザーは、他のユーザーに証明書を割り当てることができます(該当するファイル権限がある場合)。
4)暗号化はソフトウェアに透過的であるため、サービスは暗号化をまったく認識しません。認証されたユーザーの下で実行される限り、テキストエディタ(設定ファイル用)はそれを透明に変更できます。
5)証明書コンテナは、ユーザー(またはサービスアカウント)がパスワードでログインしている場合にのみ復号化されます。管理者がパスワードをリセットすると、ユーザーは暗号化されたコンテナを永久に失います。ユーザーがハードドライブを別のコンピュータに移動する必要がある場合は、証明書をエクスポートすることを選択できます。
これはすべて、Windows(Windows 2000以降)のチェックボックス(およびオプションで割り当てられた証明書のリスト)を使用して実行できます。初めて使用するときは、自動的に証明書を生成して通知領域にバックアップすることをお勧めします。
Linuxの世界でこれについて何をしていますか?提案はありますか?私は別のコンテナ(システムにログインしているすべてのユーザーがアクセスできる)とマウントポイント(しかしこれが唯一の方法かもしれません)にはあまり興味がありませんが、ファイルシステムを拡張するいくつかのソリューションがあると思います。
ベストアンサー1
バラよりhttps://wiki.archlinux.org/index.php/disk_encryption、アーキテクチャによって異なりますが、ほとんどすべてのパッケージをUbuntuでも使用できます。
すべてのディスク暗号化方式は「即時」方式なので、物理ドライブは常に暗号化されたままになります(システム暗号化方式も同様)。プラグを抜いたときにすべてが解読されたら、それほど有用なものはありません!ただし、参考までに、仮想サーバーの場合、物理アクセス権を持つ「本当の」管理者は、入って来るすべてを常に監視できますが、これはすべてのオペレーティングシステムに当てはまります。
Ubuntuでは、eCryptfsはWindowsのチェックボックスの機能に最も近いものであり、より良いです(Windowsでは、私が知っている限り暗号化しないファイル名も暗号化します)。 GUIを使用している場合は、新しいユーザーのホームページを暗号化するチェックボックスが必要です。ecryptfs-migrate-homeまたはフラグやadduser同様のコマンドもあるようです。
ユーザーがログインすると、ホームページは「暗号化」され、通常のアクセス制御は表示できる人を制限します。
フルディスク暗号化(LUKSを使用)は、興味がある可能性がある別のインストールチェックボックスです。
バラよりhttps://wiki.archlinux.org/index.php/security一般的な安全情報は「Arch Linuxシステムを強化するための推奨事項とベストプラクティス」、Ubuntuを含むほぼすべてのLinuxで動作します。