Encfs auf ZFS
https://stackoverflow.com//questions/11709967
-
13-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich möchte zu ZFS wechseln, möchte aber trotzdem meine Daten verschlüsseln.Native Verschlüsselung für ZFS wurde hinzugefügt in "Versionsnummer des ZFS-Pools 30", aber ich benutze ZFS unter FreeBSD mit Version 28.Meine Frage ist, wie sich encfs (Fuse-Verschlüsselung) auf ZFS-spezifische Funktionen wie Datenintegrität und Deduplizierung auswirken würde?
Lösung
encfs hat eine Begrenzung für die Länge eines Datei- / Verzeichnisnamens, die kürzer als die von zfs ist.Ich konnte mich nicht erinnern, aber wahrscheinlich weniger als 255 Zeichen pro Objekt.Wenn Sie Dateien / Verzeichnisse mit Namen haben, die diese Grenze überschreiten, erhalten Sie beim Kopieren in eine gemountete encfs-Ressource einen E / A-Fehler und die fehlerhafte Datei / das fehlerhafte Verzeichnis wird nicht erstellt, das ist alles.
Ich benutze keine Deduplizierung (leider zu wenig RAM), aber da encfs den ECB-Modus für die Verschlüsselung von Dateinamen verwendet, werden natürlich ähnliche Dateinamen auf der verschlüsselten Seite als solche gesehen (Dateiattribute bleiben auch unverändert), was für Tools wie rsync ein Glück ist.Leider verwendet encfs für die Deduplizierung Datensignatur (hmac) für Initialisierungsvektoren, wodurch Kopien desselben Inhalts völlig unterschiedlich dargestellt werden.Es ist wahrscheinlich machbar, einen Weg zu finden, dieses Verhalten zu blockieren, aber dann hängt die Datenintegrität davon ab, daher würde ich das nicht empfehlen.
Wenn Sie Verschlüsselung auf Geräteebene benötigen, schauen Sie sich cryptsetup an .Dazu müssten Sie Ihren Pool von migrieren /dev/disk/by-id/ata-* zu /dev/disk/by-id/dm-name-* Speichergeräte.Das würde die Verwendung von Deduplizierung nicht verbieten, sondern nur geringfügige Leistungseinbußen mit sich bringen.Und Sie müssten entschlüsselte Daten für die Sicherung verwenden, was möglicherweise nicht wünschenswert ist.
Derzeit verwende ich beide Methoden (also cryptsetup und encfs).Es mag ein wenig überflüssig erscheinen, aber ich finde es notwendig, sowohl das Entschlüsseln von Daten für die Sicherung als auch das Speichern von Verschlüsselungsparametern im Klartext in der zu vermeiden .encfs.xml-Datei, die mein paranoides Sicherheitsgefühl stört;)
