计划仅设置加密数据驱动器。不是操作系统或交换。这是在服务器上,我担心的是静态数据必须加密。
目标是拥有一个驱动器或分区,甚至是一个共享文件夹,文件可以放在其中,但驱动器上的数据是加密的。目前我有一个 sftp 服务器,用户可以在其中放置使用 PGP 加密的文件,但我想确保如果他们意外发送未加密的文件,然后将其存储在服务器上,即使被黑客入侵,它也是安全的。需要将现有文件和接受的新文件移动到驱动器上的加密状态。最简单的解决方案是开放的,因为收到的数据的默认状态将使用 PGP 进行预加密。
LUKS 是最佳选择吗?我的服务器可以无需输入密码重启吗?谢谢
答案1
以下是对您的场景的一些想法。
就稳健性和加密实现而言,LUKS 是最佳选择。但是,除非服务器关闭,否则您永远无法完全抵御攻击者,因为只要服务器正在运行并且分区已解密,攻击者就可以访问您的服务器并访问数据。除了像您已经做的那样在将每个文件存储到服务器上之前对其进行加密之外,实际上没有其他方法可以防止这种情况发生。
我也不知道有无需输入密码即可重启服务器的方法,因为你不想将密钥文件存储在未加密的系统分区上。即使使用全盘加密,你也需要在启动时以某种方式提供密码、密钥文件或 PGP 密钥。但也许其他人对此更了解。
有关各种选项的更多信息,我推荐始终优秀的维基百科
从你的描述来看,我认为最好的解决方案是使用开源云解决方案,例如Nextcloud(不用担心,与网站的外观相反,您可以在自己的服务器上自由地自行托管它)。这将加密传输中和静止的数据,将数据存储在使用用户密钥/密码加密的自己的存储库中。除非攻击者知道用户或管理员密钥,否则获得您服务器访问权限的攻击者不会自动访问存储的数据。服务器也可以自行重启,因为它不是需要解锁的整个分区,而是应用程序使用的容器。权衡是您需要信任 Nextcloud。