¿Cómo hacer que algún archivo que contiene datos cruciales esté protegido? Por ejemplo, supongamos que tengo algunos archivos que son importantes, ¿hay algún método o estrategia para hacer que este tipo de archivos esté más protegido en Ubuntu? Incluso quiero hacer que algunos archivos soliciten una contraseña cada vez que alguien intente abrirla. ¿Afecta la versión de Ubuntu en términos de política de seguridad? ¿Puedo usar cualquier algoritmo de encriptación externamente? Saludos.
permissions
files
Avani badheka
fuente
fuente
chown root
ychmod go-rwx
?Respuestas:
El mejor método que tienes es
chattr +i {file}
. Esto establece el atributo inmutable y luego un archivo no puede ser modificado, eliminado, renombrado o un enlace creado por cualquier persona, incluida la raíz.La única persona que puede editar el archivo es root. (S) tiene que deshacer esto eliminando el bit inmutable:
chattr -i {file}
y luego puede hacer lo que sea con el archivo. Configurar el + i nuevamente bloquea el archivo de cualquier modificación.Sin embargo, esto no impedirá formatear la partición donde se almacena el archivo. Evitará el robo del archivo.
Incluso puede hacer esto en un punto de montaje completo si desea:
haría que todo el "mundo de los discos" y cualquier cosa en él sea inmutable (
chattr -i -R /discworld
deshacerlo;))fuente
chmod a-r
). Ver mi registro de terminal para prueba de ejemplo.Sin hacer nada especial, puede dificultar que otros lean, cambien o eliminen el archivo eliminando los permisos para todos menos el propietario. Convierta a root en el propietario del archivo y colóquelo dentro de un directorio al que solo root tenga acceso ...
mover (
sudo mv file /home/secret
) su archivo allí y hacerchmod
ychown
tomar múltiples argumentos:chmod 600 file1 file2
ochmod 600 file*
aparte de eso, use encriptación ...
fuente
Una forma bastante segura de proteger los documentos es el cifrado (siempre que destruya el original y almacene la versión cifrada correctamente).
Los permisos (como lo sugieren las otras respuestas) pueden eludirse (ver esto ).
Por lo tanto, le recomiendo que encripte correctamente el archivo. Aquí es cómo:
(Para un método de interfaz gráfica, vea el final de esta respuesta)
Asegúrese de haberlo
gpg
instalado.Por ejemplo, para cifrar un archivo llamado
Important_File.txt
, useAhora ingrese la contraseña (se usará más adelante cuando tenga que leerla).
Ahora obtendrá un archivo con el nombre del original y una
.gpg
extensión, por ejemploImportant_File.txt.gpg
.Elimine el archivo original y conserve la
.gpg
versión. Puede ser fácil obtener el archivo original del disco si no utiliza lashred
utilidad segura (que todavía no funcionará en unidades SSD o tarjetas SD):Ahora solo tenemos
Important_File.txt.gpg
con nosotros.Siempre que necesites leerlo, simplemente
Luego ingrese la contraseña que estableció en el primer comando. Obtendrás el original
Important_File.txt
.Método de interfaz gráfica (GUI)
Instala la aplicación Seahorse.
Entonces puede hacer esto desde la aplicación Archivos:
fuente
rm
o elimine del administrador de archivos). Debería sobrescribirlo para que no se pueda recuperar, por ejemplo, usandoshred
. Eso también es inútil en SSD y unidades flash ...Simplemente establezca un permiso muy estricto 600, de modo que solo el propietario pueda leerlo y escribirlo (si necesita permisos de ejecución, eso sería 700).
También puede hacerlo gráficamente: simplemente haga clic derecho en el archivo, seleccione
Properties > Permissions > Set
y configure todo menos elowner
campo en nada.Vea la imagen como ejemplo:
fuente
Si usted es el usuario único en el sistema y nadie puede acceder razonablemente a su computadora sin sus permisos, puede bloquear el acceso con este comando, según la respuesta de Zanna :
En este caso, el archivo solo puede ser leído y / o escrito por el
root
usuario. Esto se considera "lo suficientemente seguro" si nadie puede arrancar su computadora sin su permiso o levantar su disco duro. Estamos usando alroot
usuario en este caso, porque elroot
usuario siempre puede leer archivos, incluso si no tienen permiso. Al usar el usuario raíz, exigimos que solo un usuario pueda acceder a él.Si desea marcar el archivo como inmutable de cualquier forma o forma, puede usar el
i
atributo para marcar el archivo como inmutable . En este caso, los permisos del archivo están bloqueados y no se pueden cambiar bajo ninguna circunstancia. De este modo, puede hacer el siguiente comando para hacer que el archivo no se pueda cambiar y protegerlo de la eliminación y los cambios de permisos:Si desea cambiarlo, reemplácelo
+i
con a-i
para desbloquear el archivo temporalmente. Vea la respuesta de Rinzwind para una visión más profunda.Ahora, si otras personas tienen acceso a su computadora (ya sea
sudo
acceso remoto o cualquier forma de acceso físico), esto se desmorona instantáneamente. Un atacante puede usarroot
poderes para leer su archivo, insertar un USB en vivo o simplemente extraer su disco duro.Por lo tanto, necesitamos encriptar el archivo. Personalmente prefiero usar "contenedores de archivos", para que pueda pegar más y hacer que crezca según sea necesario.
chattr +i
todavía se recomienda para que el archivo no se elimine accidentalmente (o se altere). Finalmente, si está usando una imagen encriptada, puede establecer permisos para permitir que otros accedan a un subconjunto muy limitado de archivos cuando se monta el disco, lo que lo hace bueno para un servidor. Esta guía estaba originalmente disponible aquí , y fue adaptada para su uso aquí.En primer lugar, desea crear una imagen de disco para su uso. En este ejemplo, lo haremos con 5 GB.
Luego, necesitamos encriptar su imagen:
Aquí tendrá la opción de ingresar su contraseña de cifrado preferida. Una vez hecho esto, necesitamos exponer el dispositivo de bloque sin procesar:
En este momento, tenemos un contenedor de archivos descifrado, pero no hay un sistema de archivos, y es tan bueno como inútil. Vamos a arreglar eso:
Ahora, necesitamos un lugar para montar nuestra nueva partición. En este caso, lo pondré en
/crypt
. Soy el usuario 1000, así que voy a configurar mi partición para que solo me permita (y root) leer / escribir desde ella.Ahora, puedo usar mi herramienta de archivos para navegar
/crypt
y puedo almacenar todos mis archivos confidenciales allí. Una vez que termine, tendré que desmontar y volver a cifrar mi partición.Ahora, voy a configurar particiones apropiadas en mi archivo de imagen, de modo que solo yo y root podamos acceder a él, y que ya no se pueda cambiar.
Cada vez que quiero abrir este archivo para leer, solo necesito ejecutar estos dos comandos, que puedo alias fácilmente:
Mis datos cifrados estarán disponibles en
/crypt
y serán de solo lectura y solo accesibles para mí y root.Si quiero alterar el archivo, necesito cambiar los permisos y luego montar:
Ahora, debe tener cuidado aquí porque si un usuario tiene root en su sistema, puede modificar / destruir su partición encriptada, dejándola inútil. También pueden robar datos del disco, pero solo cuando está abierto. Sin embargo, no pueden robar datos o incluso ver que los datos existen sin que usted los abra explícitamente. Por lo tanto, es su deber asegurarse de que su sistema sea lo suficientemente seguro como para no tener ningún usuario root en línea cuando abra su volumen cifrado.
TL; DR :
Haz la bóveda:
Llena la bóveda:
Bloquee la bóveda:
Congelar la bóveda:
Abre la bóveda:
fuente
cryptsetup
con algo que registre las contraseñas ingresadas ...Puede usar encfs para el cifrado de directorios .
Básicamente, debe crear 2 directorios, 1 en el que se almacenarán los datos cifrados y 1 donde accederá a esos datos:
Luego ejecute (debe ejecutar esta línea cada vez que quiera 'montar' su directorio):
A menos que sepa más al respecto, solo presione ENTERpara ir a la configuración estándar (se le preguntó solo la primera vez).
Luego ingrese su contraseña y se montará.
Solo el usuario accederá a sus datos de forma segura
~/private/
(puede ignorarlos~/.encrypted
)Para desmontarlo:
o
Simple como eso.
fuente
Puede cifrar los datos utilizando cryptkeeper, que es realmente una muy buena aplicación y puede proporcionar seguridad a su archivo. Puedes instalarlo con:
En general, le recomiendo encriptar la carpeta con un nombre que comience
.
porque ponerlo antes del nombre del archivo lo ocultaría. Es un pequeño truco pero funciona.Para mostrar la carpeta, use Ctrl+ ho viceversa.
fuente
ls
definitivamente.ls
, puede usar el-a
interruptor para mostrar todos los archivos (es decir, incluidos los ocultos).