Security
nfs 上的 dmcrypt 容器
我正在遠端伺服器上設置加密文件儲存,我希望能夠在我的系統上透明地使用它。我希望能夠在本地對它們進行解密/加密,以便託管文件的伺服器將無法看到儲存的內容。(所以我可以在幾乎任何 VPS 上儲存敏感文件,而無需考慮它們的可信度或基礎設施的安全性)
我目前的作戰計劃是通過 SSH 使用 NFS,並帶有一個 dmcrypt 容器,然後由客戶端安裝。(我考慮過使用 SSHFS,但多個使用者將使用同一個共享,SSHFS 的維基百科頁面不建議這樣做)
所以我的問題是:
- 如果我在 NFS 伺服器上有一個 dmcrypt 容器,文件加密/解密是在客戶端本地進行還是在 NFS 伺服器遠端進行?
如果您有任何明顯的警告或得到的,我也將不勝感激,我應該小心避免:)
dmcrypt 是一個 Linux 特性;加密發生在您的 Linux 客戶端上。
NFS 提供基本的文件操作,例如打開、關閉、讀取和寫入。從 NFS 伺服器的角度來看,您的客戶端只是對一個大文件執行這些基本的文件操作。它不關心內容是什麼,內容是什麼格式,或者內容是什麼意思。
但是,您應該考慮,如果您的連接中斷,您的 dmcrypt 映像可能會損壞。(如果您沒有在 NFS 上執行整個映像,那麼損壞將僅限於在中斷時打開的特定文件。)