Encfs no topo do ZFS
https://stackoverflow.com//questions/11709967
-
13-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu quero mudar para o ZFS, mas ainda deseja criptografar meus dados.Criptografia nativa para ZFS foi adicionado "Pool ZFS Número de Versão 30"mas eu estou usando ZFS no FreeBSD com a Versão 28.A minha pergunta é como seria encfs (fusível de criptografia) afetam ZFS características específicas, como a Integridade dos dados e a eliminação de duplicação?
Solução
encfs tem um limite para um arquivo/diretório de comprimento de nome de que é menor do que o do zfs.Eu não conseguia lembrar, mas, provavelmente, menos de 255 caracteres por objeto.Se acontecer de você ter quaisquer arquivos/diretórios com nomes superior a esse limite, você obterá um erro de e/s durante a cópia de um montado encfs de recursos e a ofender arquivo/diretório não será criado, que é tudo.
Eu não use a desduplicação (muito pouca memória RAM infelizmente), mas desde encfs usa o BCE modo para a criptografia de nomes de ficheiro e, em seguida, naturalmente, semelhante nomes de arquivo são vistos como tal, na encriptado lado (atributos de arquivo são alterados também), que é a sorte de ferramentas como o rsync.Infelizmente para a eliminação de duplicação, encfs usa dados de assinatura hmac () para inicialização de vectores que compõe cópias do mesmo conteúdo completamente diferente.Provavelmente é viável encontrar uma maneira de bloquear este comportamento, mas, em seguida, a integridade dos dados depende dele, então eu não recomendaria isso.
Se você precisa de nível de dispositivo de criptografia fazer olhar para o cryptsetup.Para isso, você precisará migrar sua piscina /dev/disk/by-id/ata-* para /dev/disk/by-id/dm-name-* dispositivos.Que não proíbem o uso de desduplicação, apenas incorrer em pequena penalidade de desempenho.E você teria que opearate em dados descriptografados para backup, o que pode não ser desejável.
Atualmente estou usando ambos os métodos (que é cryptsetup e encfs).Pode parecer um pouco redundante, mas acho que é necessário evitar tanto o desencriptação de dados para cópia de segurança, bem como o armazenamento de parâmetros de encriptação em texto sem formatação no .encfs.xml arquivo que incomoda a minha paranóico sensação de segurança ;)
