我正在远程服务器上设置加密文件存储,并且希望能够在我的系统上透明地使用它。我希望能够在本地解密/加密它们,以便托管文件的服务器无法看到存储的内容。(因此我几乎可以在任何 VPS 上存储敏感文件,而不必考虑它们的可信度或基础设施的安全性)
我目前的作战计划是通过 SSH 使用 NFS,然后使用 dmcrypt 容器,然后由客户端挂载。(我考虑过使用 SSHFS,但多个用户将使用相同的共享,而 SSHFS 的维基百科页面建议不要这样做)
我的问题是:
- 如果我在 NFS 服务器上有一个 dmcrypt 容器,文件加密/解密是在客户端本地进行还是在 NFS 服务器上远程进行?
如果您有任何明显的警告或我应该小心避免的问题,我也会很感激:)
答案1
dmcrypt 是 Linux 的一项功能;加密发生在您的 Linux 客户端上。
NFS 提供基本的文件操作,例如打开、关闭、读取和写入。从 NFS 服务器的角度来看,您的客户端只是对大型文件执行这些基本的文件操作。它不关心内容是什么、内容的格式或内容的含义。
不过,您应该考虑到,如果您的连接中断,您的 dmcrypt 映像可能会损坏。(如果您没有在 NFS 上运行整个映像,则损坏将仅限于中断时打开的特定文件。)