ZFSの上にENCFS
https://stackoverflow.com//questions/11709967
-
13-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
ZFSに切り替えたいが、それでもデータを暗号化したい。ZFSのネイティブ暗号化が " ZFS Poolバージョン番号30 "に追加されましたが、私はバージョン28を使用したFreeBSDでZFSを使用する。私の質問は、データの整合性と重複排除などのZFS固有の機能にどのように影響するかということです。
解決
ENCFSには、ZFSのファイル/ディレクトリ名の長さの制限があります。私は覚えていませんでしたが、おそらくオブジェクトごとに255文字未満です。その制限を超えた名前のファイル/ディレクトリがある場合は、マウントされたENCFSリソースへのコピー中に入出力エラーが発生し、問題のあるファイル/ディレクトリは作成されません。
重複排除を使用していません(残念ながらRAMが小さすぎる)、ENCFSはファイル名の暗号化にECBモードを使用しているため、暗号化された側にも同様のファイル名が見られます(ファイル属性も変わりません)。 Rsyncのようなツールのための幸運。残念ながら、重複排除のために、ENCFSは、同じコンテンツのコピーを完全に異なるようにする初期化ベクトルのためのデータ署名(HMAC)を使用します。この動作をブロックする方法を見つけることはおそらく実行可能ですが、データの整合性はそれに依存するので、それをお勧めしません。
デバイスレベルの暗号化が必要な場合は、CryptSetupを参照してください。このためには、Poolを/dev/disk/by-id/ata-*から/dev/disk/by-id/dm-name-*デバイスに移行する必要があります。それは重複排除を使用して禁止されていないでしょう、わずかなパフォーマンスのペナルティのみを招くだけです。そして、あなたはバックアップのための復号化データを開く必要があります。これは望ましくないかもしれません。
現在のメソッドを使用しています(つまり、CryptSetupとENCFS)。それは少し冗長的に見えるかもしれませんが、バックアップの復号化データを復号化すること、および.encfs.xmlファイル内のプレーンテキストで暗号化パラメータを保存することを避ける必要があります。)
