如果我有一个具有如下权限和所有权的文件:
-rw------- 1 root root,此文件是否已加密?
我之所以这样问,是因为我想知道如何真正保护文件,以防被读取为纯字节,然后由某些非root用户或攻击者重建。
如果我有一个具有如下权限和所有权的文件:
-rw------- 1 root root,此文件是否已加密?
我之所以这样问,是因为我想知道如何真正保护文件,以防被读取为纯字节,然后由某些非root用户或攻击者重建。
Answers:
这个文件被加密了吗?
否。文件仍然是文件。如果有人重新启动进入实时会话,则执行重新启动的任何用户都可以看到该文件。如果有人取出硬碟并将其装入管理员所在的另一个系统,则相同。
但是将无法使用加密的文件。
所有-rw------- 1 root root做的就是让一个文件由用户“根”,而不是由组“根”而不是“别人”可读可写的。相当严格,但如果您从不希望有人窥探它,那就不够好。
防止系统上的任何人访问的唯一可行方法是不在该系统上存储文件。
简而言之,没有。文件所有权和访问权限是一种访问控制。加密和访问控制是正交的(此处表示“独立”)概念。两者都是实现/强制授权的方法。
意味着只有拥有解密密钥的代理才能访问文件或数据对象的解密“纯文本”。可以(暂时)将此访问扩展到其他代理,例如,将解密密钥保存在内存中的同一系统的用户。
意味着授权机构(例如计算机上运行的操作系统)决定谁获得对哪种资源(可能是文件,数据对象或其他东西)的哪种访问方式。
操作系统可能知道如何解密加密的数据对象以获得对其纯文本的访问权限,但这并不意味着它会将访问权限扩展到所有用户。它将通常使用访问控制数据库来决定将访问权限扩展到谁(如果有的话)。
相反,用户可能可以访问加密的数据集,但是缺少有效的解密密钥,就无法理解它,即无法访问其纯文本。(目前,Ubuntu随附的任何文件系统和文件系统工具均无法实现此功能,但此类功能正在以新的ext4功能的形式针对开箱即用的Ubuntu开发,并且已在其他文件系统中提供,例如ZFS和NTFS,尽管不一定在Linux上。)
尽管我不是IT方面的专家,但我相信没有人会如此贫穷以至于他一无所有。加密只是意味着文件格式已更改,只有所需的所有者才具有解密它的密钥。
有两种计算机安全方法,即加密和真实性。我将这种身份验证称为加密,而不是加密。