通过SSH安装ecryptfs目录

Question

我可以访问用于备份的服务器。我使用rsync和--删除标志来精确复制我的备份目录.我不需要增量备份。服务器上的备份目录是用ecryptfs加密的(虽然不是整个主文件夹)。我编写了一个本地存储并在服务器上通过ssh执行的脚本，该脚本：

1. 解密和挂载目录。
2. 执行rsync
3. 卸载目录
4. 给我发了封电子邮件

解密目录的密码存储在本地机器上。我正在使用：

key=passphrase:passphrase_passwd_file=/home/me/password.txt

在挂载命令中。我的问题是，这是否构成任何安全风险？我看不出是这样的，但我注意到，使用passphrase_passwd选项(我意识到这与上面的选项不同)只应该在安全性不重要的情况下使用，因为密码对ps这样的实用程序是可见的。对我的文件夹的权限设置为700。

Answer 1

您的密码可以由服务器中的进程查看，因为您在那里执行的是氪the。

你能做的就是在本地安装氪星。我认为有两种选择：

• 用sshfs在本地挂载服务器文件夹，然后在其上安装ecryptfs。
• 反向挂载源文件夹，并将这些加密文件重新同步到服务器。

Answer 2

我会提出一个不同的安全工作流程：

• 有一个基于密钥的SSH登录过程。(因此没有密码)
• 拥有一个自动(基于密钥的)自动安装chroot (这是加密的容器)，并且只接收来自ssh连接的密码(密码只会离开客户端机器解锁氪to，并在传输过程中受到SSH的保护。并通过为一个非特权用户提供一个简单的TTY。)
• 将不同的SSH会话从客户端设置为现在解密的chroot，在其中您可以登录chroot。
• 做你的事
• 退出带有色度的ssh会话
• 自动卸载另一个连接(这意味着您创建了一个脚本，一旦隧道失去焦点/关闭，它将尝试卸载加密的位置，并一直尝试直到成功)。

我相信这是你想要的安全措施