Linux用户帐户中是否存在秘密数据？

Question

我希望我的应用程序（PHP，但这不重要）将一些数据存储在共享存储库（APC 用户缓存，但同样不相关）中。为了防止用户读取彼此的数据，我想对每个用户进行加密。

我可以让用户在应用程序的配置文件中指定密钥，但我宁愿自动生成它，这样用户就不必费心了。

为此，我需要系统上的一段数据（几乎）永远不会改变并且只能由当前用户读取。然后我可以对其进行散列或其他操作来生成密钥。 Linux 系统上的默认用户帐户中是否存在类似的内容？

Answer 1

如果您将密钥文件的权限设置为 0600，并将 ~/.yourApp 目录的权限设置为 0700，则可以将密钥存储在 ~/.yourApp 中。

当然，您依赖于那些无法/不愿意使用 root 访问权限来访问其他用户的密钥文件的人。如果这是一个问题，您将需要使用某种密钥库，其中访问由主密码控制。

编辑：回答以下OP的后续问题：

即使如此，主密码也必须存储在系统上，否则用户必须为每个请求手动输入它（我认为如果您不信任 root，即使将其存储在内存中也是不安全的）。

这都是相对的。如果你真的很偏执，你不会将密钥存储在任何你不能完全控制的机器上。另一方面，大多数人准备相信 root 没有受到损害，并且（作为后备）拥有 root 访问权限的人需要付出一些努力才能破解密钥库。内存中密钥库的未锁定副本可能被视为“足够安全”。当然，许多用户密钥库软件似乎都基于这种假设。

为什么目录要设置为0700？即使是0777，里面的0600的文件别人还是无法读取的吧？

部分是一般性偏执，部分是腰带和大括号，部分是向其他用户发出“不要干涉我的私人物品”的信号，部分是通过替换您的密钥文件来防止他人入侵。最后一点可能很关键……也可能不是……具体取决于您的应用程序如何使用密钥。

Answer 2

主目录中有隐藏文件夹，简单命名为.appname。用户可以阅读它们。

如何生成随机密钥并将其存储在 ~/.yourappname 中？