我正在 KVM 虚拟服务器上设置 FreeBSD 10 服务器。
我对 FreeBSD 总体上还很陌生(来自 Debian Linux)。
我安装的系统选择带有加密根卷和加密交换的 ZFS。
我选择此解决方案是为了保护我的文件(电子邮件、文件共享等)免遭外部访问。
然后我意识到我必须在每次启动时输入密码,并且文件(当然)随后被解密并可供每个有权访问的人使用。
是否有一个我缺少的明智的解决方案可以仅加密基本系统的某些部分(能够在没有 VNC 的情况下启动并通过 SSH 输入密码)?
在服务器上加密的整个想法是否愚蠢(因为需要解密卷才能使服务正常工作)?
加密监狱是一种解决方案还是只会增加复杂性?
答案1
是否有一个我缺少的明智的解决方案可以仅加密基本系统的某些部分(能够在没有 VNC 的情况下启动并通过 SSH 输入密码)?
有很多方法可以加密文件。 PEFS 可能就是您想要的。
在服务器上加密的整个想法是否愚蠢(因为需要解密卷才能使服务正常工作)?
不,不是真的,数据在静态时仍然是加密的,这可能很重要,而且这也意味着有权访问主机(KVM 服务器)的人更难访问来宾(FreeBSD)数据。
加密监狱是一种解决方案还是只会增加复杂性?
你仍然需要在启动时输入它们的密钥,你只能通过 SSH 而不是 VNC 来完成此操作,但我想每个监狱都有不同的密钥,因此需要多个密码短语进入。
就我个人而言,我会坚持使用加密磁盘。恕我直言,重新启动不应该如此普遍,以至于在启动时输入密码是一个主要问题。
答案2
在 ZFS 中,加密是在文件系统级别 - 而不是 zpool 级别 - 因此您可以选择要单独加密的文件系统,而不是加密整个 rpool。
举个例子,
# zpool create halfcrypt mirror file1 file2
# zfs create -o mountpoint=/public halfcrypt/public
# zfs create -o encryption=on -o mountpoint=/whatever halfcrypt/protected
该卷无法解密,但如果重新开始,您可以安装未加密的根池,然后有选择地启用加密
# zfs set -r encryption=on rpool/export/home
# zfs set -r encryption=on rpool/swap