Аналог шифрованной папки Windows?

Question

[psiklop]

Использую rsync для windows для бэкапов списка папок, очень устраивает, но хотелось бы дополнительно удаленный бэкап. Есть сервер с Ubuntu, но к нему имеется root доступ не только у меня. Есть куча вариантов как создать там зашифрованный виртуальный диск, но получается проблемка во время бэкапа я все равно должен открыть диск и в этот момент любой может его читать.

Хочется не только надежности, но и удобства, хочу такой функционал типа есть папка на windows, когда я ее открыл синхронизирую расшифрованные файлы, когда я ее закрыл синхронизирую зашифрованные файлы, чтобы дата изменения файлов совпадала, я готов потерять функционал rsync синхронизировать не весь файл целиком, но чтобы список файлов синхронизировался четко без лишнего.

Похоже немного на зашифрованную папку windows, но не могу найти как такое сделать.

Comments

[Adamos]

Криптоконтейнер, возможно.

[psiklop]

Adamos, у меня такой есть, там получается если я его закрыл, я должен буду синхронизировать весь файл контейнера, нужно чтобы после закрытия был также список файлов.

[Adamos]

psiklop, rsync умеет работать с ssh и вроде бы позволяет дать команду на монтирование-размонтирование контейнера.
Впрочем, сам не пробовал.
Гуглится вот такое, например: https://www.baeldung.com/linux/rsync-encrypted-rem...

[psiklop]

Adamos, проблема не в том, что я хочу зашифровать данные при передаче по сети. У меня другая - к этому серверу имеют доступ кроме меня и могут зайти в открытый контейнер. Не критично, но мне это не нравится.

[Drno]

psiklop, никак. шифруйте у себя в 1 архив и его передавайте

[psiklop]

Drno, там телодвижений немерено, тогда уж лучше совет купить свой сервер.

[Adamos]

psiklop, если у кого-то рут-доступ к вашему серверу - просто нелепо пытаться на нем что-то прятать.
На сервере должен быть один рут. И это не ограничивается такой ерундой, которая в вопросе.
А между пользователями разграничение прав и возможностей делается без проблем.

[psiklop]

Adamos, я не писал, что сервер мой и вообще вопрос не про сервер, поэтому да мой вопрос именно про ерунду такую как синхронизация личных файлов моего домашнего пк, прошу важных персон покинуть тему.

[AlexVWill]

Adamos,

просто нелепо пытаться на нем что-то прятать.

Одна эта фраза выдает глубокое незнание вопроса...
Все ваши транзакции лежат в блокчейн, возможно на одном сервере. У сервера есть админ с рутом. Все, все ваши деньги у админа? В реальности админ может удалить эти данные. Но не расшифровать.

[Adamos]

AlexVWill, расшифровать - может, и нет. Подменить - да.
Впрочем, ТС уже обозначил, что он очень не хочет выслушивать зазнаек.
Пройдемте на выход.

[AlexVWill]

Adamos,

Подменить - да.

Подмена - это и есть удаление, по сути. Ибо расшифровке не подлежит. Так что на сервере можно и нужно прятать что угодно и когда угодно. По сути там и надо прятать, ибо локальные машины недолговечны, а сервера хоть бэкапятся (если они в дата центре). Ну и копии на флешке периодические. Но это уже другая проблема.

Answer 1

[AlexVWill]

Папка на сервере, зашифрованная через fscrypt. На сервере при входе любым пользователем (в т.ч. root) выглядит как куча файлов с абракадаброй. При локальном монтировании пользователем (любым, в т.ч. автором) выглядит точно так же. Для чтения надо её либо на сервере либо на клинетской машине к которой она смонтирована расшифровать с помощью команды fscrypt unlock и пароля (есть вариант автоматической расшифровки через PEM при логине пользователя).
Я таким образом шифрую часть каталога /home/user где лежат нужные файлы, кэш браузера, ключи, банковские реквизиты, данные криптокошельков и пр.

Comments

[psiklop]

Но работает как обычный cryptsetup и тп ? Если я сделаю этот fscrypt unlock и потом забуду сделать lock или просто буду очень долго работать любой может скопировать мои файлы ?

[psiklop]

Нужно такое не на сервер, а ко мне на windows. Это возможно?

[AlexVWill]

psiklop, работает это для текущей сесии пользователя, если вышел или папку размонтировал - все, оно локнулось...

[psiklop]

AlexVWill, это другое дело, надо попробовать.

[psiklop]

AlexVWill, я пробовал, не получается. Когда я под текущим пользователем они всегда расшифрованы, для тестов создал второго и это неудобно, но и тогда у меня ничего не вышло при копировании другим пользователем windows просит пароль и скопировал мне на сервер уже расшифрованный файл, так как еще я так понял это без ntfs вообще не работает.

[AlexVWill]

psiklop, перечитал еще раз... короче, я просто с начала невнимательно прочитал, ты клиентом пользуешся виндой, а это чисто линуксовая штука. На винде работать не будет, если нет клиента для винды, но я про это не слышал. Т.ч. смотри какие то другие варианты.
Либо заходить через ssh, на сервере давать команду для расшифровки и монтирования расшифрованной папки, но это менее безопасно, поскольку расшифровка производится не на твоей локальной машине, а на сервере.
Хотя ты и владелец папки, и другие юзера её не видят, но те у кого есть sudo её могут видеть и прочитать пока она расшифрована.
Еще есть вариант пользоваться на винде WSL, кстати, вполне рабочий, т.к. кроме консоли тебе ничего не надо для расшифровки.

[AlexVWill]

psiklop, не, прочитай коммент мой последний.
Юзера не надо создавать, это пофайловое шифрование, а не подисковое, это все работает на текущем юзере.

Answer 2

[rPman]

Единственный способ что то обезопасить - это шифровать на стороне клиента.

Как только к удаленному серверу кто то другой имеет рут доступ, никакие иные способы шифрования данных на нем перестанут быть надежными, потому что можно подменить логику этого шифрования или логику получения ключа шифрования или банально подсунуть трояна в контекст пользователя и читать уже расшифрованные файлы

Простейший пример реализации шифрования - это монтирование .vhdx диска по сети (должно работать даже с webdav и точно работает с smb), с шифрованием ntfs (не требует никакого дополнительного ПО на windows, и будет работать даже на home версиях). Недостаток - низкая надежность (если связь будет потеряна на некоторый срок во время записи) или низкая скорость (можно отключить кеширование записи, это защитит данные но скорость упадет драматически), достоинство - зашифрованные данные доступны как обычный диск.

Если плюшки не нужны а нужна скорость, то создавай архив данных и отсылай зашифрованным на лету с помощью openssl прямо в командной строке

tar -cf - /путь/к/данным | openssl enc -aes-256-cbc -salt -pbkdf2 -pass pass:ВашПароль | ssh пользователь@хост "cat > /путь/на/сервере/архив.tar.enc"