История изменений
Исправление shahid, (текущая версия) :
1 и 4 - encfs.
3. Это теоретически возможно, если переформулировать задачу: нужно чтобы файлы хранились и обрабатывались зашифрованными без монтирования encfs/ecryptfs. Т.е. нужно для программ переопределить fwrite(), fread() и остальное через подгрузку собственной либы LD_PRELOAD. В либе дергать gpg для шифровки/зашифровки файла, с которым работает юзер. Но если в целом смотреть, то такой подход ни от чего не защищает реально, а лишь успокаивает параною.
2 - либо см.3; либо возможно, что selinux сможет заблокировать чтение именно скопированного файла за пределами криптоконтейнера. Selinux в ряде случаев способен отличить копирование от чтения, но по сути вместо вызова cp можно вызвать cat или dd, и обойти эту странную возможность selinux.
Исправление shahid, :
1 и 4 - encfs.
3. Это теоретически возможно, если переформулировать задачу: нужно чтобы файлы хранились и обрабатывались зашифрованными без монтирования encfs/ecryptfs. Т.е. нужно для программ переопределить fwrite(), fread() и остальное через подгрузку собственной либы LD_PRELOAD. В либе дергать gpg для шифровки/зашифровки файла, с которым работает юзер.
2 - либо см.3; либо возможно, что selinux сможет заблокировать чтение именно скопированного файла за пределами криптоконтейнера. Selinux в ряде случаев способен отличить копирование от чтения, но по сути вместо вызова cp можно вызвать cat или dd, и обойти эту странную возможность selinux.
Исправление shahid, :
1 и 4 - encfs.
3. Это теоретически возможно, если переформулировать задачу: нужно чтобы файлы хранились и обрабатывались зашифрованными без монтирования encfs/ecryptfs. Т.е. нужно для программ переопределить fwrite(), fread() и остальное через подгрузку собственной либы LD_PRELOAD. В либе дергать gpg для шифровки/зашифровки файла, с которым работает юзер.
2 - либо см.3 либо возможно, что selinux сможет заблокировать чтение именно скопированного файла за пределами криптоконтейнера. Selinux в ряде случаев способен отличить копирование от чтения, но по сути вместо вызова cp можно вызвать cat или dd, и обойти эту странную возможность selinux.
Исправление shahid, :
1 и 4 - encfs.
3. Это теоретически возможно, если переформулировать задачу: нужно чтобы файлы хранились и обрабатывались зашифрованными без монтирования encfs/ecryptfs. Т.е. нужно для программ переопределить fwrite(), fread() и остальное через подгрузку собственной либы LD_PRELOAD. В либе дергать gpg для шифровки/зашифровки файла, с которым работает юзер.
2 - либо см.3 либо возможно, что selinux сможет заблокировать чтение именно скопированного файла за пределами криптоконтейнера. Selinux в ряде случаев способен отличить копирование от чтения, но по сути вместо вызова cp можно вызвать cat или dd, и обойти эту странную возмжность selinux.
Исходная версия shahid, :
1 и 4 - encfs.
3. Это теоретически возможно, если переформулировать задачу: нужно чтобы файлы хранились и обрабатывались зашифрованными без монтирования encfs/ecryptfs. Т.е. нужно для программ переопределить fwrite(), fread() и остальное через подгрузку собственной либы LD_PRELOAD. В либе дергать gpg для шифровки/зашифровки файла, с которым работает юзер.
2 - либо см.3 либо возможно, что selinux сможет заблокировать чтение именно скопированного файла за пределами криптоконтейнера. Selinux местами отличает копирование от чтения, но по сути вместо вызова cp можно вызвать cat или dd и тут selinux бессилен.