Encfs au-dessus de ZFS
https://stackoverflow.com//questions/11709967
-
13-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je souhaite passer à ZFS, mais je souhaite toujours chiffrer mes données.Le chiffrement natif pour ZFS a été ajouté dans "Numéro de version du pool ZFS 30", mais j'utilise ZFS sur FreeBSD avec la version 28.Ma question est de savoir comment les encfs (chiffrement par fusible) affecteraient les fonctionnalités spécifiques de ZFS telles que l'intégrité des données et la déduplication ?
La solution
encfs a une limite pour la longueur du nom de fichier/répertoire qui est plus courte que celle de zfs.Je ne m'en souvenais pas mais probablement moins de 255 caractères par objet.Si vous avez des fichiers/répertoires dont les noms dépassent cette limite, vous obtiendrez une erreur d'E/S lors de la copie vers une ressource encfs montée et le fichier/répertoire incriminé ne sera pas créé, c'est tout.
Je n'utilise pas de déduplication (trop peu de RAM malheureusement) mais comme encfs utilise le mode ECB pour le chiffrement des noms de fichiers, alors naturellement les noms de fichiers similaires sont vus comme tels du côté chiffré (les attributs des fichiers sont également inchangés), ce qui est une chance pour les outils comme rsync.Malheureusement pour la déduplication, encfs utilise la signature de données (hmac) pour les vecteurs d'initialisation, ce qui rend les copies du même contenu complètement différentes.Il est probablement possible de trouver un moyen de bloquer ce comportement, mais l'intégrité des données en dépend, donc je ne le recommanderais pas.
Si vous avez besoin d'un cryptage au niveau de l'appareil, consultez cryptsetup.Pour cela, vous devrez migrer votre pool depuis /dev/disk/by-id/ata-* à /dev/disk/by-id/dm-name-* dispositifs.Cela n'interdirait pas l'utilisation de la déduplication, mais entraînerait seulement une légère perte de performances.Et vous devrez utiliser des données décryptées pour les sauvegarder, ce qui n'est peut-être pas souhaitable.
Actuellement, j'utilise les deux méthodes (c'est-à-dire cryptsetup et encfs).Cela peut sembler un peu redondant, mais je trouve nécessaire d'éviter à la fois de décrypter les données pour les sauvegarder ainsi que de stocker les paramètres de chiffrement en texte brut dans le fichier .encfs.xml, ce qui dérange mon sentiment de sécurité paranoïaque ;)
