作者danny0838 (道可道非常道)
看板Storage_Zone
標題[問題] 系統管理員也不能看的加密機制
時間Wed Feb 2 22:59:25 2022
如題,是否有 NAS 或相關工具提供類似的機制?
我設想的情況是這樣的:
* 管理員可以劃一塊空間給特定使用者使用
* 使用者可以自由存取該空間的資料,甚至開放從遠端存取
* 管理員可以把該空間刪除,或把使用者的存取權取消,但無法看到該空間裡面的內容
目前看起來比較接近的是 VeraCrypt,
但是 VeraCrypt 需要把加密區掛載在系統上才能存取內容,
而掛載時系統上每個使用者都能看到,
似乎無法做到讓管理員及其他使用者都看不到。
--
《終結內容農場》瀏覽器套件
Chrome:
http://bit.ly/CFTGC (桌機 & Kiwi Browser on Android)
Firefox:
http://bit.ly/CFTFx (桌機 & Firefox for Android)
真相:
http://bit.ly/CFTss1、
http://bit.ly/CFTss2
詳細介紹:
http://bit.ly/CFTinfo
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.137.15.240 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Storage_Zone/M.1643813967.A.F75.html
1F:→ asdfghjklasd: iSCSI ? 02/03 01:52
2F:→ asdfghjklasd: 這蠻有趣的 02/03 01:58
3F:→ asdfghjklasd: 用iSCSI掛進去.然後對整個disk加密 02/03 01:59
4F:→ asdfghjklasd: 這樣就只有你自己看的到 02/03 01:59
5F:→ asdfghjklasd: 你把NAS空間加密了別人應該也看不到,你才有key 02/03 02:09
6F:推 fotumbra : 你的環境是windows的網域?依你的方法照用VeraCrypt 02/04 17:48
7F:→ fotumbra : 不要用加密partition,改用各帳號一個加密file(可設 02/04 17:52
8F:→ fotumbra : 容量大小及權限),各自mount 02/04 17:52
9F:→ fotumbra : 或是Cryptomator, Boxcryptor有無支援到你的私有雲? 02/04 17:56
10F:→ tomsawyer : vhd可以多人mount嗎 不然這應該比較好 mount一塊區 02/05 07:07
11F:→ tomsawyer : 域 icsci或vhd應該都可以 02/05 07:07
12F:→ maniaque : 個人認為,這要"兩層架構"吧.... 02/06 09:39
13F:→ maniaque : 儲存實體層->歸 NAS 管 02/06 09:39
14F:→ maniaque : 加密存取層 -> USER 端 02/06 09:40
15F:→ maniaque : 比較想的到的就是,NAS 裡面有一個類似 VMDK 的大檔 02/06 09:40
16F:→ maniaque : 那個有加密的大檔,USER 端可以透過軟件 mount 上 02/06 09:41
17F:→ maniaque : 成為一個虛擬磁碟機,存取就在這邊 02/06 09:41
18F:→ maniaque : 沒有透過加密軟體mount ,只能看到 NAS 的目錄裡面 02/06 09:42
19F:→ maniaque : 一個超大的檔案而已 02/06 09:42
20F:→ maniaque : 而NAS console 那邊因為沒有該軟體的帳密 02/06 09:42
21F:→ maniaque : 就 mount 不上此 vmdk 大檔為磁碟區 02/06 09:43
22F:推 mg817 : VeraCrypt這種的適合在電腦端直接掛載虛擬磁碟 02/06 14:18
23F:→ mg817 : 如果是透過網頁瀏覽器存取檔案的話好像無法做到 02/06 14:19
我說的 VeraCrypt 就是做成加密 file,
但是 file 掛載到系統上的時候所有人都能看到,
比如如果同一時間有人用 OpenSSH 登入,就會看到。
我想問的是有沒有在掛載加密區的時候都不會被其他使用者能看到的方法。
※ 編輯: danny0838 (118.160.173.180 臺灣), 02/08/2022 22:43:27
24F:推 mg817 : 你說會看到是不同人用同帳號登入? 02/09 01:40
25F:→ mg817 : 我說掛載是指掛載在本機 02/09 01:43
26F:→ mg817 : 不過看你這需求好像無解 02/09 01:43
27F:→ ga009900 : 上面提到的 Cryptomator Boxcryptor 應該可以試試看 02/10 13:14
28F:→ ga009900 : 而且還可以檔名加密,沒密碼的人也看不出檔案是什麼 02/10 13:15
29F:→ maniaque : 掛在本機端又不是 nas 端,不用時就卸載啊????? 02/10 16:48
如果是只把本機端未掛載的加密檔同步到 NAS 上我也知道啦,
只是這樣如果整區是幾十幾百 GB 的大檔,同步起來效能會很差,也不便在外存取,
所以是希望能在 NAS 上掛載並且讓內容和本機同步(如果本機也有掛載),
但又希望在 NAS 上掛載的時候不會被其他使用者看光光。
(主要是管理員吧,其他一般使用者應該讀寫權限設一設就解決了)
※ 編輯: danny0838 (59.115.13.20 臺灣), 02/11/2022 22:33:02
30F:→ fotumbra : 例:admin密碼設長一點,給兩三人各自管理一段密碼, 02/12 21:48
31F:→ fotumbra : 要一起輸流輸入組合出密碼才能登入admin,用完登出. 02/12 21:51
32F:→ fotumbra : 輪 02/12 21:52
33F:→ fotumbra : 或是乾脆租google雲端空間搭配各自加密 02/12 21:55
34F:→ asdfghjklasd: 你能不能把想做什麼的弄一個架構圖出來 02/13 01:50
35F:→ asdfghjklasd: 沒有做不到的事,只有你付不了的錢 02/13 01:50
36F:→ asdfghjklasd: 你的話又互相矛盾了 02/13 01:51