FreeBSD 10和ZFS:加密文件的方法
我正在KVM服务器上设置一个FreeBSD 10服务器。
总的来说,我对FreeBSD非常陌生(来自Debian )。
我安装了系统,选择了带有加密根卷和加密交换的ZFS。
我选择这个解决方案是为了保护我的文件(电子邮件、文件共享等)。从外面进入。
然后,我意识到我必须在每次启动时输入密码,文件(当然)在启动后被解密,并且每个访问权限的人都可以使用。
是否有一个我缺少的理智的解决方案,可以只加密基本系统的某些部分(能够在没有VNC的情况下启动并通过SSH输入密码)?
在服务器上加密的整个想法是否愚蠢(因为这些卷需要解密才能使服务工作)?
加密的监狱是一种解决方案,还是只会增加复杂性?
回答 2
Unix & Linux用户
发布于 2015-03-11 17:07:49
是否有一个我缺少的理智的解决方案,可以只加密基本系统的某些部分(能够在没有VNC的情况下启动并通过SSH输入密码)?
有很多加密文件的方法。可能是你想要的。
在服务器上加密的整个想法是否愚蠢(因为这些卷需要解密才能使服务工作)?
不,不完全是,数据仍然是在rest加密的,这可能很重要,这也意味着访问主机(KVM服务器)的人更难获得对来宾(FreeBSD)数据的访问。
加密的监狱是一种解决方案,还是只会增加复杂性?
您仍然需要在启动时为他们输入密钥,您只需要通过SSH而不是VNC来实现,但是我想每个监狱都有不同的密钥,所以要输入多个密码短语。
就我个人而言,我会坚持使用加密的磁盘。重新引导不应该是如此普遍,在引导时输入密码短语是一个主要的问题,IMHO。
Unix & Linux用户
发布于 2015-04-09 14:57:39
在ZFS中,加密是在文件系统级别--而不是在rpool级别--因此,您可以选择和选择要单独加密的文件系统,而不是对整个rpool进行加密。
举个例子
# zpool create halfcrypt mirror file1 file2
# zfs create -o mountpoint=/public halfcrypt/public
# zfs create -o encryption=on -o mountpoint=/whatever halfcrypt/protected卷无法解密,但如果重新启动,可以安装未加密的根池,然后选择性地启用加密。
# zfs set -r encryption=on rpool/export/home
# zfs set -r encryption=on rpool/swaphttps://unix.stackexchange.com/questions/189509
复制相似问题
腾讯云开发者
