ENFS на вершине ZFS
https://stackoverflow.com//questions/11709967
-
13-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я хочу переключиться на ZFS, но все же хочу зашифровать мои данные.Основное шифрование для ZFS было добавлено в « zfs bool version номер 30 », но яИспользование ZFS на FreeBSD с версией 28. Мой вопрос заключается в том, как бы, как ENCS (шифрование предохранителя) влияет на специфические функции ZFS, такие как целостность данных и дедупликация?
Решение
ENCS имеет ограничение для длины имени файла / каталога, которая короче, чем у ZFS. Я не мог вспомнить, но, вероятно, менее 255 символов на объект. Если у вас есть какие-либо файлы / каталоги с именами, превышающими этот предел, вы получите ошибку ввода / вывода во время копирования на монтируемый ресурс ENFS, и файл / каталог оскорблений не будет создан, вот и все.
Я не использую дедупликацию (слишком мало баран, к сожалению), но поскольку ENCFS использует режим ECB для шифрования имен файлов, то естественно аналогичные имена файлов рассматриваются как таковые на зашифрованной стороне (атрибуты файла тоже не изменяются), что повезло для инструментов, таких как rsync. К сожалению для дедупликации, ENCS использует подпись данных (HMAC) для векторов инициализации, что делает копии одного и того же контента, совершенно другого. Вероятно, возможно найти способ заблокировать это поведение, но тогда целостность данных зависит от него, поэтому я не рекомендую.
Если вам нужно шифрование на уровне устройства, взгляните на CryptSetup. Для этого вам нужно будет перенести свой бассейн из /dev/disk/by-id/ata-* на /dev/disk/by-id/dm-name-* устройств. Это не запретит с использованием дедупликации, только придерживается небольшой штраф производительности. И вам придется опираться на расшифрованные данные для резервного копирования, что не может быть желательно.
В настоящее время я использую оба метода (это CryptSetup и ENCS). Это может показаться немного избыточным, но я считаю необходимым, чтобы избежать оба расшифровки данных для резервного копирования, а также хранения параметров шифрования в простом тексте в файле .encfs.xml, который беспокоит мой параноидный смысл безопасности;)
