Краткий ответ : Вы не можете.
Длинный ответ:
Полное дисковое шифрование не сохранит вас во время работы. Данные доступны, расшифрованы, на работающей машине.
VM-провайдер может клонировать вашу машину в любое время, особенно если она не зашифрована. С клонированной машины они могут монтировать систему с другой машины (например, this) и изменять корневой пароль или просматривать любую информацию, хранящуюся на ней.
Посмотрите раздел физической безопасности в Arch Wiki. Все их советы сосредоточены на случае, когда вы физически владеете машиной, и вы можете иметь некоторое подобие контроля над тем, кто загружает её и что они делают, когда загружают машину.
Если у вас этого нет, то вы должны доверять вашему хостинг-провайдеру. Это включает в себя доверие, что они не сделают что-то плохое с вами, и доверие, что они защитят вас от угроз безопасности, когда другие люди сделают что-то плохое с вашей виртуальной машиной без их разрешения
.
Учитывая файлы passwd
и group
, которые вы разместили, в вашей системе нет группы под названием core
. Есть пользователь с именем core
, с идентификатором пользователя 500, и чья основная группа имеет идентификатор группы 500. Группа 500 не имеет имени, указанного в этих файлах.
Возможно, что группа 500 имеет имя, указанное в другой базе данных. Настройка баз данных для пользователей и групп производится в файле /etc/nsswitch.conf
. Вы можете запросить их командой getent
:
getent group 500
On CoreOS, /etc/nsswitch.conf
содержит usrfiles
, который, кажется, является расширением CoreOS. Он работает как файлы
, но смотрит в /usr/share/baselayout
, а не в /etc
. Таким образом файлы usrfiles
означают, что /etc/group
будут просмотрены, а затем /usr/share/baselayout/group
.
Пользователи и группы обычно не создаются "на лету", во время загрузки или иным образом; они являются постоянными системными конфигурациями. Вы можете вызывать команды типа adduser
, addgroup
и т.д. из Systemd, но это довольно редко. Я не знаком с CoreOS, но очень сомневаюсь, что создание пользователя или группы под названием core
во время загрузки принесет что-то полезное. Если вы хотите дать группе 500 имя, создайте запись в /etc/group
с помощью addgroup
. Если вы хотите создать пользователя или группу для своих целей, используйте adduser
и addgroup
, и не используйте повторно имя или номер, который уже взят.
Возможно, кто-то другой может написать подробности о том, как именно он работает, но эта по крайней мере кажется достаточным объяснением:
На машине CoreOS сама операционная система смонтирована как раздел только для чтения в /usr.
Вместо изменения uid/gid я только что создал нового пользователя/группу.