作者danny0838 (道可道非常道)
看板Storage_Zone
标题[问题] 系统管理员也不能看的加密机制
时间Wed Feb 2 22:59:25 2022
如题,是否有 NAS 或相关工具提供类似的机制?
我设想的情况是这样的:
* 管理员可以划一块空间给特定使用者使用
* 使用者可以自由存取该空间的资料,甚至开放从远端存取
* 管理员可以把该空间删除,或把使用者的存取权取消,但无法看到该空间里面的内容
目前看起来比较接近的是 VeraCrypt,
但是 VeraCrypt 需要把加密区挂载在系统上才能存取内容,
而挂载时系统上每个使用者都能看到,
似乎无法做到让管理员及其他使用者都看不到。
--
《终结内容农场》浏览器套件
Chrome:
http://bit.ly/CFTGC (桌机 & Kiwi Browser on Android)
Firefox:
http://bit.ly/CFTFx (桌机 & Firefox for Android)
真相:
http://bit.ly/CFTss1、
http://bit.ly/CFTss2
详细介绍:
http://bit.ly/CFTinfo
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.137.15.240 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1643813967.A.F75.html
1F:→ asdfghjklasd: iSCSI ? 02/03 01:52
2F:→ asdfghjklasd: 这蛮有趣的 02/03 01:58
3F:→ asdfghjklasd: 用iSCSI挂进去.然後对整个disk加密 02/03 01:59
4F:→ asdfghjklasd: 这样就只有你自己看的到 02/03 01:59
5F:→ asdfghjklasd: 你把NAS空间加密了别人应该也看不到,你才有key 02/03 02:09
6F:推 fotumbra : 你的环境是windows的网域?依你的方法照用VeraCrypt 02/04 17:48
7F:→ fotumbra : 不要用加密partition,改用各帐号一个加密file(可设 02/04 17:52
8F:→ fotumbra : 容量大小及权限),各自mount 02/04 17:52
9F:→ fotumbra : 或是Cryptomator, Boxcryptor有无支援到你的私有云? 02/04 17:56
10F:→ tomsawyer : vhd可以多人mount吗 不然这应该比较好 mount一块区 02/05 07:07
11F:→ tomsawyer : 域 icsci或vhd应该都可以 02/05 07:07
12F:→ maniaque : 个人认为,这要"两层架构"吧.... 02/06 09:39
13F:→ maniaque : 储存实体层->归 NAS 管 02/06 09:39
14F:→ maniaque : 加密存取层 -> USER 端 02/06 09:40
15F:→ maniaque : 比较想的到的就是,NAS 里面有一个类似 VMDK 的大档 02/06 09:40
16F:→ maniaque : 那个有加密的大档,USER 端可以透过软件 mount 上 02/06 09:41
17F:→ maniaque : 成为一个虚拟磁碟机,存取就在这边 02/06 09:41
18F:→ maniaque : 没有透过加密软体mount ,只能看到 NAS 的目录里面 02/06 09:42
19F:→ maniaque : 一个超大的档案而已 02/06 09:42
20F:→ maniaque : 而NAS console 那边因为没有该软体的帐密 02/06 09:42
21F:→ maniaque : 就 mount 不上此 vmdk 大档为磁碟区 02/06 09:43
22F:推 mg817 : VeraCrypt这种的适合在电脑端直接挂载虚拟磁碟 02/06 14:18
23F:→ mg817 : 如果是透过网页浏览器存取档案的话好像无法做到 02/06 14:19
我说的 VeraCrypt 就是做成加密 file,
但是 file 挂载到系统上的时候所有人都能看到,
比如如果同一时间有人用 OpenSSH 登入,就会看到。
我想问的是有没有在挂载加密区的时候都不会被其他使用者能看到的方法。
※ 编辑: danny0838 (118.160.173.180 台湾), 02/08/2022 22:43:27
24F:推 mg817 : 你说会看到是不同人用同帐号登入? 02/09 01:40
25F:→ mg817 : 我说挂载是指挂载在本机 02/09 01:43
26F:→ mg817 : 不过看你这需求好像无解 02/09 01:43
27F:→ ga009900 : 上面提到的 Cryptomator Boxcryptor 应该可以试试看 02/10 13:14
28F:→ ga009900 : 而且还可以档名加密,没密码的人也看不出档案是什麽 02/10 13:15
29F:→ maniaque : 挂在本机端又不是 nas 端,不用时就卸载啊????? 02/10 16:48
如果是只把本机端未挂载的加密档同步到 NAS 上我也知道啦,
只是这样如果整区是几十几百 GB 的大档,同步起来效能会很差,也不便在外存取,
所以是希望能在 NAS 上挂载并且让内容和本机同步(如果本机也有挂载),
但又希望在 NAS 上挂载的时候不会被其他使用者看光光。
(主要是管理员吧,其他一般使用者应该读写权限设一设就解决了)
※ 编辑: danny0838 (59.115.13.20 台湾), 02/11/2022 22:33:02
30F:→ fotumbra : 例:admin密码设长一点,给两三人各自管理一段密码, 02/12 21:48
31F:→ fotumbra : 要一起输流输入组合出密码才能登入admin,用完登出. 02/12 21:51
32F:→ fotumbra : 轮 02/12 21:52
33F:→ fotumbra : 或是乾脆租google云端空间搭配各自加密 02/12 21:55
34F:→ asdfghjklasd: 你能不能把想做什麽的弄一个架构图出来 02/13 01:50
35F:→ asdfghjklasd: 没有做不到的事,只有你付不了的钱 02/13 01:50
36F:→ asdfghjklasd: 你的话又互相矛盾了 02/13 01:51