我正在遠端伺服器上設定加密文件存儲,並且希望能夠在我的系統上透明地使用它。我希望能夠在本地對它們進行解密/加密,以便託管文件的伺服器將無法看到儲存的內容。 (因此我可以在幾乎任何 VPS 上儲存敏感文件,而無需考慮它們的可信度或基礎設施的安全性)
我目前的計劃是透過 SSH 使用 NFS,並使用 dmcrypt 容器,然後由客戶端安裝該容器。 (我考慮使用 SSHFS,但多個用戶將使用相同的共享,SSHFS 的維基百科頁面建議不要這樣做)
所以我的問題是:
- 如果我在 NFS 伺服器上有 dmcrypt 容器,檔案加密/解密是在客戶端本地還是在 NFS 伺服器遠端進行?
如果您有任何明顯的警告或我應該小心避免的,我也將不勝感激:)
答案1
dmcrypt 是 Linux 的一項功能;加密發生在您的 Linux 用戶端上。
NFS 提供基本的檔案操作,例如開啟、關閉、讀取和寫入。從 NFS 伺服器的角度來看,您的客戶端只是對一個大檔案執行這些基本檔案操作。它不關心內容是什麼,內容是什麼格式,或內容意味著什麼。
不過,您應該考慮到,如果您的連線中斷,您的 dmcrypt 映像可能會損壞。 (如果您沒有在 NFS 上執行整個映像,那麼損壞將僅限於中斷時開啟的特定檔案。)