可采用四种方法加密敏感文件夹:一、用文件保护箱整体加密;二、通过acl配置细粒度访问控制;三、启用kysec内核级fpro策略;四、结合ecryptfs实现透明挂载加密。
如果您希望对个人敏感文件夹实施访问控制,防止未授权读取或篡改,则可利用麒麟操作系统内置的多层级加密与权限隔离机制。以下是实现文件夹加密的多种方法:
一、使用文件保护箱对文件夹整体加密
文件保护箱是银河麒麟桌面操作系统V10 SP1及后续版本原生集成的安全组件,采用国密算法对整个文件夹进行容器级加密,所有进出操作自动加解密,无需手动干预。
1、点击屏幕左下角「开始菜单」,在搜索栏输入“文件保护箱”并打开应用。
2、首次启动时需输入当前系统用户密码完成身份认证。
3、点击右上角「新建保护箱」按钮,选择「文件夹保护」模式。
4、在弹出窗口中浏览并选中目标文件夹路径,勾选「启用加密」选项。
5、设置独立保护箱密码,并选择是否生成密钥文件(建议勾选并保存至U盘等离线介质)。
6、确认后系统将创建虚拟挂载点,原文件夹被隐藏,仅可通过文件保护箱界面访问其内容。
二、通过ACL机制为文件夹配置细粒度访问控制
Linux ACL(访问控制列表)允许为特定用户或组授予/拒绝对目录的精确权限,适用于不依赖GUI环境、需绕过应用层权限框架的场景。
1、打开终端,执行ls -ld /path/to/target/folder确认目标文件夹归属用户与权限位。
2、启用该文件系统ACL支持:执行sudo tune2fs -o acl /dev/sdXN(需替换为实际分区设备名)。
3、为指定应用运行用户添加读写权限:执行sudo setfacl -m u:appuser:rwx /path/to/target/folder。
4、禁止其他非授权用户访问:执行sudo setfacl -m o::--- /path/to/target/folder。
5、验证配置有效性:执行getfacl /path/to/target/folder,确认输出中包含user:appuser:rwx且other::---条目。
三、启用Kylin Security Center内核级文件保护策略
KYSEC子系统的fpro模块可在VFS层拦截对指定路径的所有访问请求,其策略优先级高于普通ACL与SELinux,适用于涉密目录的强制只读或禁写场景。
1、以root身份打开终端,执行sudo -i切换至超级用户。
2、检查fpro服务状态:运行getstatus | grep "file protect",确认返回值为on。
3、将目标文件夹路径加入保护列表:执行echo "/home/用户名/文档" > /proc/sys/kernel/fpro_protect。
4、设置保护类型为只读:执行echo "ro" > /proc/sys/kernel/fpro_mode。
5、验证生效:尝试以普通用户身份执行touch /home/用户名/文档/test.txt,应返回Permission denied错误。
四、结合eCryptfs实现透明文件夹加密
eCryptfs是Linux内核原生支持的堆叠式加密文件系统,可对任意目录进行挂载式加密,加密密钥由用户登录密码派生,系统重启后需重新挂载。
1、安装必要组件:执行sudo apt install ecryptfs-utils。
2、创建待加密目录:执行mkdir -p /home/用户名/SecretDocs。
3、挂载加密层:执行sudo mount -t ecryptfs /home/用户名/SecretDocs /home/用户名/SecretDocs。
4、在交互提示中依次选择:加密算法为aes、密钥字节为16、启用文件名加密、启用plaintext passthrough(否)、启用启用密钥环(是)。
5、确认挂载成功:执行mount | grep ecryptfs,应显示对应路径已挂载为ecryptfs类型。
