Linux用の暗号化された書き込み専用ファイルシステムはありますか？

書き込み専用モードでマウントできるLinux用の暗号化されたファイルシステムを探しています。つまり、パスワードを指定せずにマウントできるはずですが、ファイルの書き込み/追加はできますが、どちらもできません。あなたが書いたファイルを読むことも、既にファイルシステムにあるファイルを読むこともできます。ファイルへのアクセスは、ファイルシステムがパスワードを介してマウントされている場合にのみ許可する必要があります。これの目的は、ファイル自体を公開せずに、書き込みのみで変更されないログファイルまたは同様のデータを書き込むことです。システムが完全に侵害された場合でもデータにアクセスできないようにするため、ここではファイルのアクセス許可は役に立ちません。

Linuxにはそのようなものがありますか？そうでない場合、暗号化されたログファイルを作成する最良の代替手段は何でしょうか？

私の現在の回避策は、単にデータをパイプ処理することgpg --encryptで構成されていますが、非常に面倒です。ファイルシステム全体に簡単にアクセスできないため、各ファイルをgpg --decrypt手動でパイプ処理する必要があります。

...システムが完全に侵害された場合でも、データにアクセスできないようにします。

これは不可能です。システムが完全に危険にさらされている場合、暗号化キーを含む、システム上のすべてのものが「定義上」アクセス可能です。

データの暗号化/復号化のキーが暗号化されたデータと同じシステム上にある場合、システムの実行中にシステムの侵害から保護するのに暗号化は役に立ちません。たとえば、LUKSファイルシステムがマウントされていて、誰かがシステムへのルートアクセスを取得した場合、RAMからキーを引き出すことができます。ファイルシステムを復号化するにはRAMに住んでいる必要があるためです。あなたの状況では、ファイルを暗号化するたびにパスフレーズを入力する場合、あなたは保護されています（キーロガーがシステムに存在しないと仮定）、そうでない場合、あなたは同じ状況にあり、システムを侵害する誰かがそれを見つけることができますキーを押し、すべての暗号化を取り消します。

rootに絶対にアクセスさせたくない場合は、保護するデータをシステムの外部に出荷する必要があり、そのシステム上の中間媒体にデータを書き込まないでください。rsyslogロギングに関してこれを明示的にサポートし、ソースとシンク間の接続をOpenVPNで暗号化できます。stunnel。他にも「一方向」の転送オプションがあると確信しています。

あなたは間違った方向に進んでいるように思えます。書き込みはできるが読み取りはできないファイルが必要な場合は、ファイルのアクセス許可を探しています。

$ touch log
$ chmod 222 log
$ echo test > log
$ cat log
cat: log: Permission denied

もちろん、このファイルは暗号化されたファイルシステムに置くことができます。

umask 0477 && touch file && echo test > file && cat file

役に立つこともあります。現在のプロセス内で作成されたファイルには、0200モードがあります。