.png)
Tengo un disco externo cifrado en un servidor Linux.
En el servidor, puedo hacer esto localmente para descifrar,
cryptsetup -d keyfile luksOpen /dev/sdx1 /mnt/decrypted
pero prefiero evitar hacerlo en el lado del servidor.
Quiero acceder al servidor (a través de ssh/sshfs) y solo descifrar los datos de forma remota en mi máquina cliente.
Para acceder y descifrar los datos de forma remota, tengo que
- monte el cifrado
/dev/sdx1localmente en el servidor (¡¡sin descifrarlo!!) para/mnt/encrypted - montar
/mnt/encrypteda través de sshfs en una máquina cliente (luego usarloluksOpenpara descifrar)
¿Cómo puedo realizar el paso 1 sin descifrar datos?
Gracias, cris
PD: ¿tal vez debería usar un contenedor cifrado (un archivo en el sistema de archivos del servidor) y no una partición completa? ¿De esta manera podría montar la carpeta que contiene el contenedor/archivo cifrado de forma remota a través de sshfs? (y solo descifrarlo en la máquina cliente)
Respuesta1
Esto es imposible de lograr con su configuración actual.
La única forma "correcta" de hacerlo es poner el volumen de tu luks en unDispositivo de bloqueo de red.
Puede usar drbdo iscsiacceder al dispositivo de bloqueo en su servidor y luego configurar Luks en él.
Respuesta2
Puedo montar y descifrar luks de forma remota (a través de sshfs) si uso un contenedor de luks (y no una partición de luks) para guardar los datos cifrados.
Solo tuve que crear un contenedor luks (un archivo que contiene internamente el sistema de archivos cifrado), este archivo es un archivo normal en una partición montada, por lo que puede montarse de forma remota sshfsy descifrarse más tarde (a través del dispositivo de bucle -> dispositivo asignador -> montar ).
Lo he probado y puedo confirmar que funciona.