在 ubuntu 10.04 Server 上设置 apache2 服务器时,是否应加密主目录?或者是否应加密整个磁盘?
如果用户主目录已加密,apache 是否仍有权访问?当用户未登录时,apache2 是否有权访问文件?
答案1
为了让 apache 或任何用户/进程能够访问用户的 ecryptfs 加密主目录,必须挂载加密目录。登录期间,mount.ecryptfs_private 用于挂载加密卷 - 用户的密码用于获取解密卷的密钥。如果用户未登录,则可以使用 ecryptfs-mount-private 编写脚本来挂载用户主目录。
我发现一些参考资料说可以自动挂载使用 ecryptfs 实用程序加密的卷,但没有解释如何实际做到这一点。如果您确实需要对所有主目录进行加密,但希望系统进程能够访问它们,您可能需要考虑使用 dm-crypt 或其他程序实现块级加密。查看服务器上的 /usr/share/doc/ecryptfs-utils/ecryptfs-faq.html 文件并https://help.ubuntu.com/community/EncryptedHome了解更多信息。
最后,是否需要加密磁盘上的数据完全由您自己决定 - 如果您担心数据的机密性,那么加密就是您可以用来保护数据的几种工具之一。最好的安全性来自于评估您的选择并实施适合您业务需求的多层方法 - 防火墙、补丁管理、ACL、物理访问、加密...