Nem értem, a problémát. Adott egy szerver, amely egyetlen szolgáltatást nyújt és ehhez adott egy rendszergazda, akinek az a feladata, hogy üzemeltesse a szervert, biztosítsa a szolgáltatást - de magukhoz az adatokhoz ne férjen hozzá, azokról másolatot ne készíthessen.
Egyfelől az üzemeltetésnek része a biztonsági mentés készítése - ha sikerül elérni, hogy a rendszergazda ne érje el az adatokat, akkor sikerült meghiúsítani ezt a lépést. Ok, ez speciális eset, ha minden kötél szakad, akkor a repo helyre állítható a másolatokból - de azért nem ez legyen az alapelv egy biztonsági másolat készítésénél.
Másfelől: az Unix filozófia szerint a rendszergazda mindenható, mindent lát, mindent elérhet. Bár nem lehetetlen ennek valamilyen módon, a megfelelő titkosítással keresztbe tenni - viszont ez garantáltan és jelentősen bonyolultabbá fogja tenni az eredeti feladatot, jó eséllyel a titkosítás miatt erőforrás igényesebbé is.
Ilyen esetben lehet, érdemes lenne más irányban gondolkodni, pl. lecserélhető-e a rendszergazda olyanra, akiben meg is bízunk?