Шифрувати сховище git на сервері (безпечно проти крадіжок фізичного обладнання)

11

У мене є виробничий сервер (Ubuntu, працює 24/7) із сховищем git та декілька клієнтських комп'ютерів, кожен з яких має робочу копію цього сховища. На клієнтських комп'ютерах просто використання шифрування домашньої папки, здається, вирішує проблему, що у випадку викраденого обладнання ніхто не може отримати доступ до файлів у git.

Як я можу зашифрувати віддалену сторону сховища git, щоб переконатися, що у випадку викраденого обладнання ніхто не може переконфігурувати та клонувати сховище git?

Спочатку я думав про шифрування домашнього каталогу користувача git, але потім зрозумів, що це не має сенсу, оскільки коли і ким слід розшифровувати?

Чи можу я помістити сховище git у свій власний домашній каталог / посилання на нього, щоб воно було доступне лише після входу на сервер через SSH? Або є подібне рішення цієї проблеми?

Дякуємо за будь-які поради заздалегідь!

ubuntu git encryption

— leemes
джерело

4

Ви можете використовувати зашифрований домашній каталог. Вам потрібно буде увійти та вручну встановити зашифрований диск та надати ключ розшифровки, коли сервер перезавантажиться. Ви не можете автоматично встановити диск з очевидних причин.

— тушкувати
джерело

Спасибі. Отже, ви маєте на увазі зашифрувати домашній каталог користувача git? Оскільки я не є користувачем git під час входу в SSH, то як я монтую шифри? Або я повинен увійти з користувачем git?

— leemes

(Вибачте, я знаю тільки шифри в автоматичній конфігурації, оскільки я використовую Ubuntu на всіх моїх комп’ютерах із зашифрованими домашніми каталогами, використовуючи ecryptfs, і тому мені ніколи не потрібно хвилюватися про будь-які ручні команди;))

— leemes

1

ви можете зашифрувати лише одну папку. ви створювали б файл на диску, який представляє зашифровану файлову систему, то якщо ви правильно налаштуєте / etc / fstab, це може бути щось на зразок запуску "mount / home / git / repository", який запропонує вам ввести пароль. ось пристойний опис того, як ви могли це досягти: h3g3m0n.wordpress.com/2007/04/16/…

— тушковане

1

Ви можете використовувати фільтр із розмазанням та очищенням для шифрування вмісту сховища у віддаленій файловій системі: https://gist.github.com/873637

— Пітер Мунс
джерело

Це фактично шифрує і локальне сховище

— Тобіас Кіенцлер

Спробуйте замість цього github.com/AGWA/git-crypt - використовує режим CTR і розуміє криптовалюту краще; він залишає локальну репону незашифрованою на робочому дереві, через фільтри «заплямлення / очищення».

— Phil P

0

Ви можете використовувати git-remote-gcrypt до git pushта git fetchз клієнтських комп'ютерів на сервер (або деінде). Зашифровується не лише вміст, але імена файлів та інших метаданих (усіх?) Сховищ.

— Кенні Евітт
джерело