我可以访问共享的远程计算机,我想从中运行一些我编写的使用解释器的代码(而不是编译的代码)。我想保护此源代码免受其他具有远程计算机 root 访问权限的用户的访问。在linux下制作加密文件夹的方法有很多种。我没有向磁盘写入大量数据,因此我不担心由于加密过程而降低 I/O 速度,只是主要在这台机器上使用许多 CPU 和大量 RAM。
我的问题是,当我登录并安装文件系统时,这些加密选项是否允许保护数据免受根用户的侵害?一个主要问题是,如果以 root 身份运行的 cron 作业进行备份,那么源代码会在没有意识到的情况下自动复制到另一个文件系统,然后它就不再加密。
答案1
如果您可以访问您的数据,root 就可以访问您的数据。你必须信任root!
即使您在远程计算机上访问加密数据,root 也可以看到它(您使用 root 提供的工具,对吧?)。
您只能使访问文件变得更加困难,但绝不是不可能。如果您希望保存数据,请不要使用不受信任的机器。
答案2
您可以在机器上运行网络块设备服务器,并将其本地安装在您自己的计算机上,然后远程根只会看到加密的数据流。但这样远程盒子就无法访问未加密的数据。
如果远程盒子自己进行解密,因此它可以自己访问数据,那么远程根也可以(获取方式)访问它。这是没办法的事。
您必须能够信任拥有运行您代码的盒子的人。
答案3
简而言之,有多种方法可以从 root 混淆您的活动(即创建加密文件容器,使用非本地密钥文件解锁它,并在其上存储数据),但最终,如果具有 root 访问权限的人执意要查找该信息,那么它就是只是没那么困难(例如,在访问/解密数据的任何进程上使用 strace。)请不要将此视为影射,但如果您有正当理由运行您确实不希望其他人看到的代码,你确实需要为你自己的私人机器提出请求。