リモート サーバーに暗号化されたファイル ストレージを設定しており、自分のシステムで透過的に使用できるようにしたいと考えています。ファイルをホストしているサーバーが保存内容を確認できないように、ローカルでファイルの復号化/暗号化ができるようにしたいと考えています。(そのため、信頼性やインフラストラクチャのセキュリティを考慮することなく、機密ファイルをほぼすべての VPS に保存できます)
私の現在の戦略は、SSH 経由で NFS を使用し、dmcrypt コンテナをクライアントでマウントすることです。(SSHFS の使用も考えましたが、複数のユーザーが同じ共有を使用することになるため、SSHFS の Wikipedia ページで推奨されていません)
私の質問は次のとおりです。
- NFS サーバー上に dmcrypt コンテナーがある場合、ファイルの暗号化/復号化はクライアント上でローカルに行われるのでしょうか、それとも NFS サーバー上でリモートに行われるのでしょうか?
また、注意して避けるべき明らかな注意事項や落とし穴があれば教えていただけると嬉しいです :)
答え1
dmcrypt は Linux の機能であり、暗号化は Linux クライアント上で行われます。
NFS は、開く、閉じる、読み取り、書き込みなどの基本的なファイル操作を提供します。NFS サーバーの観点から見ると、クライアントは巨大なファイルに対してこれらの基本的なファイル操作を実行しているだけです。コンテンツの内容、コンテンツの形式、コンテンツの意味は関係ありません。
ただし、接続が中断された場合、dmcrypt イメージが破損する可能性があることを考慮する必要があります。(NFS 上でイメージ全体を実行していなかった場合、破損は中断時に開いていた特定のファイルに限定されます。)