eCryptfsを使用してホームディレクトリを暗号化し、ユーザーがログインせずにファイルにアクセスしたいと思います。 pam_mountプログラムは暗号化されたファイルシステムを自動的にマウントしますが、これはユーザーがログインした場合にのみ発生するようです。ユーザーにログインを要求しない、または自動ログインを有効にせずにこれを行う方法はありますか?
おそらく間違った方向に行っているようです。 Pythonプログラムを静的ディスプレイとして実行しようとしていますが、別のコンピュータにドライブをマウントして暗号化されていないファイルを表示できる人にPythonコードを公開したくありません。 。アプリケーションはsystemdサービスを使用して開始されます。
ベストアンサー1
アプリケーションを実行してスクリプトを使用して表示するためにデータを読み取ることができるようにしたいのですが、人々がコンピュータにアクセスしてハードドライブを取り外すことができる場合は、データを読み取れないようにしたいと思います。
暗号化は役立ちますが、キーがディスクにない場合にのみ可能です。したがって、自動マウントは忘れてください。役に立ちません。鍵がディスク上にある場合、データを暗号化しないよりもセキュリティは向上しません。
キーがディスクにない場合はどこにありますか?
- キーはパスワードから派生できます。ただし、起動時に誰かがパスワードを入力する必要があります。DMパスワードecryptfsより設定が簡単です。 ecryptfsは各ユーザーが独自の暗号化キーを持つようにマルチユーザーシステム用に設計されていますが、dm-cryptはディスク全体またはパーティションを暗号化するように設計されています。
- キーは、コンピュータに恒久的に接続されていない他のリムーバブルハードウェアに存在する可能性があります。最も簡単な解決策は、dm-cryptとUSBドライブまたはSDカードのキーファイルを使用することです。同様に、キーを含むドライブを挿入するには、起動時に誰かが必要です。
- キーは、コンピュータに恒久的に接続されている別のハードウェアに存在できます。ただし、攻撃者が別のディスクから起動し、キーを回復してから元のディスクを復号化するのを防ぐ必要があります。別のディスクから起動し、既存のディスクの起動コードを変更してデータをエクスポートしたり、パスワードのないログインを許可したりできるプログラムを追加してから、元のディスクから起動します。だからどんな形でも必要です。セキュアブート。 (下図のようにセーフブートです。あなたキーを持ってコンピュータ上で実行されることを制御できることは、製造元がキーを持っていて、ユーザーが選択したオペレーティングシステムをインストールするのを防ぐセキュリティブートとは対照的です。 )
物理的なセキュリティに依存したくない場合(電動ツールなしでは開けられないロックされたボックスにコンピュータを置く)、コンピュータが起動するたびに誰かが介入したくない場合は、セキュリティ起動が唯一の解決策であることを確認してください。
これは、次のような機械が必要であることを意味します。完全な生産管理制御可能なデバイスまたは制御可能なSecure Bootを搭載したArmボード(ややまれにSecure Bootを搭載したAndroid携帯電話またはiPhoneでアプリを実行できます)。