Estou configurando um armazenamento de arquivos criptografados em um servidor remoto e quero poder usá-lo de forma transparente em meu sistema. Quero poder descriptografá-los/criptografá-los localmente para que o servidor que hospeda os arquivos não consiga ver o que está armazenado. (Assim posso armazenar arquivos confidenciais em praticamente qualquer VPS, sem ter que considerar sua confiabilidade ou a segurança de sua infraestrutura)
Meu plano de batalha atual é usar NFS através de SSH, com um contêiner dmcrypt que é então montado pelo cliente. (Pensei em usar SSHFS, mas vários usuários usarão o mesmo compartilhamento, o que a página da Wikipedia do SSHFS desaconselha)
Então minha pergunta é:
- Se eu tiver um contêiner dmcrypt em um servidor NFS, a criptografia/descriptografia do arquivo acontecerá localmente no cliente ou remotamente no servidor NFS?
Eu também apreciaria se você tivesse alguma advertência óbvia ou algo que eu deveria ter cuidado para evitar :)
Responder1
dmcrypt é um recurso do Linux; a criptografia acontece no seu cliente Linux.
O NFS fornece operações básicas de arquivo, como abrir, fechar, ler e gravar. Do ponto de vista do servidor NFS, seu cliente está apenas executando aquelas operações básicas em um arquivo enorme. Não importa qual é o conteúdo, em que formato o conteúdo está ou o que o conteúdo significa.
Você deve considerar, porém, que se sua conexão for interrompida, sua imagem dmcrypt poderá ser corrompida. (Se você não estivesse executando uma imagem inteira no NFS, o dano seria limitado a arquivos específicos que estavam abertos no momento da interrupção.)