我有一台运行 Debian 稳定版的服务器,该服务器在 Linux MD RAID 1 中配有两个 100GB Intel DC S 3700 硬盘。根据英特尔的说法,这些硬盘支持 256 位 AES 加密,我想加密写入这些硬盘的数据,以便在公司数据保护政策上勾选一个新框。
我知道我可以使用 Linux 自己的加密功能重新安装 Debian,但如果驱动器支持加密功能,我更愿意将加密功能卸载到驱动器上。这可能吗?我该怎么做?
提前致谢,
马特。
答案1
同意缺乏这些关键安全功能的文档相当令人沮丧。
我的理解(未经实践验证)是,为了在 SED 驱动器上启用加密,您需要在 BIOS 级别设置密码。 这个帖子建议使用以下方法设置 ATA 密码hdparm在 S3700 上应该可以。但我还没有测试过……
有趣的是了解这在非交互式场景中如何实际工作(即:位于 DC 中的服务器,而不是在启动时具有交互式密码输入的笔记本电脑)。它看起来像一些 RAID 控制器支持将密码存储在控制器本身内。我认为这无法防止控制器与磁盘同时被盗的物理攻击……
编辑:2017 年第二季度:哇,两年过去了,虽然没有出现事实上的解决方案,但也有一些值得注意的进展:
- sedutil 实际上提供了一个可行的解决方案
- 内核 4.11 有望带来主线支持:OPAL 自加密驱动器对 Linux 的支持更近一步 - Phoronix