Я настраиваю зашифрованное хранилище файлов на удаленном сервере и хочу иметь возможность использовать его прозрачно в своей системе. Я хочу иметь возможность расшифровывать/расшифровывать их локально, чтобы сервер, на котором размещены файлы, не мог видеть, что хранится. (Так что я могу хранить конфиденциальные файлы практически на любом VPS, не думая об их надежности или безопасности их инфраструктуры)
Мой текущий план действий — использовать NFS через SSH с контейнером dmcrypt, который затем монтируется клиентом. (Я думал об использовании SSHFS, но несколько пользователей будут использовать один и тот же ресурс, а страница SSHFS в Википедии не рекомендует это делать)
Итак, мой вопрос:
- Если у меня есть контейнер dmcrypt на сервере NFS, будет ли шифрование/дешифрование файлов происходить локально на клиенте или удаленно на сервере NFS?
Я также был бы признателен, если бы у вас были какие-то очевидные оговорки или замечания, которых мне следует избегать :)
решение1
dmcrypt — это функция Linux; шифрование происходит на вашем Linux-клиенте.
NFS обеспечивает базовые файловые операции, такие как открытие, закрытие, чтение и запись. С точки зрения сервера NFS, ваш клиент просто выполняет эти базовые файловые операции с огромным файлом. Ему все равно, что это за содержимое, в каком формате оно находится или что оно означает.
Однако следует учитывать, что если соединение когда-либо будет нарушено, ваш образ dmcrypt может быть поврежден. (Если вы не запускали весь образ на NFS, то ущерб будет ограничен определенными файлами, которые были открыты на момент нарушения.)