CentOS 7 Web 服务器需要静态加密. 我想使用卢克斯对此进行加密,但我需要方向来规划如何进行。 我可以使用LUKS加密技术将实时 Web 服务器上的整个驱动器作为一个单元进行加密吗?
我的 ISP 告诉我,我需要保留两个未加密的分区,一个作为启动分区,另一个用于允许 CentOS 7 为操作系统建立状态。因此,我被告知只有额外的分区才会被加密。 如何确定哪些文件系统元素要保留在 OS 状态分区中,以及哪些文件系统元素要移动到加密分区或分区中?
我想使用virtualbox在服务器上设置两个CentOS 7虚拟机。
1.) 第一个虚拟机将托管具有 https 和 smtp 互联网连接的 Web 应用程序。
2.) 第二台虚拟机将托管第一台虚拟机的 MySQL 数据库。第二台虚拟机只能与第一台虚拟机连接,而不能与任何其他计算机、设备、网络或机器等连接。
那么我有四个分区吗?
1.) boot partition (how big?)
2.) OS state partition (how big and what is in it?)
a.) Is virtualbox running here or in an encrypted partition?
3 & 4) Are the two virtual machines each in their own encrypted partitions?
Or are the virtual machines bundled into one encrypted partition
with the virtualbox program?
为了开始回答哪个分区中有什么内容的问题,我导航到终端cd /并输入ls -al以显示服务器根目录中的所有内容,如下所示:
[user@domain /]$ ls -al
total 108
.
..
.autorelabel
bin -> usr/bin
boot
crd
dev
etc
home
import
lib -> usr/lib
lib64 -> usr/lib64
media
mnt
opt
proc
.readahead
root
run
sbin -> usr/sbin
srv
sys
tmp
usr
var
ls -al目录中列出的文件夹是否/包含所有分区中的所有内容?如果没有,硬盘上还有什么,我该如何找到它?此外,我们计划如何在 LUKS 加密方案中将所有可能的磁盘元素隔离到分区中?
答案1
好的,对于极其安全数据您不能使用虚拟操作系统。点。
宿主天生就有权访问你的记忆,这就是原因。事实上,它更像是宿主的记忆。
但是,我明白你这样做是因为你想处理数据而不是仅仅存储它。我建议使用中间件组件在内存中进行加密/解密,这样写入操作就只以加密方式完成。即使用支持此功能的数据库或通过 gpg 进行管道传输。因此,如果你担心可能会篡改内容以获取密钥,则无需使用全盘加密。