Шифрованное хранение в своем облаке

Если вы подключаетесь по ssh и получаете shell, то на стороне клиента только терминал, вся работа с файлами на сервере. Если нужна шифрация на клиенте, то какое-нибудь безумие типа encfs поверх sshfs.

а при включеннном естественно расшифрованы.

мне не очевидно. с чего это вдруг бы сразу после монтирования у тебя вдруг расшифровывалось все и сразу. вангую, что у тебя как раз

компьютер был включен, и в этот момент файлы лежали на нем зашифрованы, а расшифровывались непосредственно при подключении SSH

но не

на стороне клиента

про «на стороне клиента» тебе уже все сказали.

Ну смотри, подойди к серверу, воткни монитор и клаву - ты получишь доступ к копированию файлов, если отключишь от питания то раздел тот же home размонтируется и зашифруется. Походу я забыл уточнить как именно зашифровано, а зашифрован раздел home, монтируется отдельный раздел и на нем расшифровывается благодаря паролю на флешке. Вот именно нужна защита от такого физического подключения. Хотя по идеи можно «заблокировать» пользователя под пароль и будет физическая защита, т.к. при отключении питания файлы будут зашифрованы а ключа-флешки в системнике не будет. Что скажешь?

Ну смотри, подойди к серверу, воткни монитор и клаву - ты получишь доступ к копированию файлов [skip] Вот именно нужна защита от такого физического подключения.

А с какой стати раздел расшифруется при подключении клавы и монитора, если нет ключа?

А с какой стати раздел расшифруется при подключении клавы и монитора, если нет ключа?

Он расшифровывается из скрытой папки ".user" в папку «user» при включении системы, вот по такой схеме. Имею опыт работы с такой.

Что раз надо защищаться от физического доступа, то делай сразу шифрование/дешифрование на клиенте. Заодно вот этой ненадежной мути с ключем-флешкой избежишь.

Что раз надо защищаться от физического доступа, то делай сразу шифрование/дешифрование на клиенте. Заодно вот этой ненадежной мути с ключем-флешкой избежишь.

Я не большой специалист, самоучка скажем так) Как сделать дешифровку на ноутбуке/ПК удаленно с сервера через SFTP это я знаю как, через терминал и опять же только линукс. Но, нельзя будет подключится с винды или айфона если они зашифрованы, точнее смогу увидеть, но расшифровать никак.

Но, нельзя будет подключится с винды или айфона

Ишь ты. С таким всегда все плохо, так что ищи сразу готовые решения. Причем желательно такие, которые еще и at-rest на клиенте шифруют.

Ишь ты. С таким всегда все плохо, так что ищи сразу готовые решения. Причем желательно такие, которые еще и at-rest на клиенте шифруют.

Готовое решение это расшифровывать на самом сервере, и передавать по ssh. В этом то и был суть вопроса темы, как физ.доступ обезопасить когда файлы расшифрованы.

В этом то и был суть вопроса темы, как физ.доступ обезопасить когда файлы расшифрованы.

Думаю, что если у кого-то в этот момент есть физический доступ к серверу, то никак. Так что или на клиенте, или смириться (не совсем смириться, конечно, т. к. есть ещё пароли и т. д.) Но защита — это всегда доп. неудобства. Тут как с замками: можно поставить железную дверь с 10 замками разных моделей и по несколько минут отпирать и запирать их каждый раз, зато надёжно. А можно вообще обходиться без замка, — входи, кто хочешь, зато быстро и удобно. В жизни обычно выбирают некий компромисс. Но у каждого он свой.