KVM 가상 서버에 FreeBSD 10 서버를 설정하고 있습니다.
저는 일반적으로 FreeBSD를 처음 접했습니다(Debian Linux에서 시작).
내가 설치한 시스템은 암호화된 루트 볼륨과 암호화된 스왑이 있는 ZFS를 선택했습니다.
나는 외부 액세스로부터 내 파일(이메일, 파일 공유 등)을 보호하기 위해 이 솔루션을 선택했습니다.
그런 다음 부팅할 때마다 비밀번호를 입력해야 한다는 것을 깨달았고, 그러면 파일(물론)이 해독되어 액세스 권한이 있는 모든 사람이 사용할 수 있게 되었습니다.
기본 시스템의 특정 부분만 암호화하는(VNC 없이 부팅하고 SSH를 통해 비밀번호를 입력할 수 있는) 합리적인 솔루션이 있습니까?
서버에서 암호화한다는 전체 아이디어는 어리석은 것입니까(서비스가 작동하려면 볼륨을 해독해야 하기 때문에)?
암호 감옥은 해결책입니까, 아니면 단지 복잡성을 추가하는 것입니까?
답변1
기본 시스템의 특정 부분만 암호화하는(VNC 없이 부팅하고 SSH를 통해 비밀번호를 입력할 수 있는) 합리적인 솔루션이 있습니까?
파일을 암호화하는 방법에는 여러 가지가 있습니다. PEFS가 당신이 찾고 있는 것일 수도 있습니다.
서버에서 암호화한다는 전체 아이디어는 어리석은 것입니까(서비스가 작동하려면 볼륨을 해독해야 하기 때문에)?
아니요, 실제로는 그렇지 않습니다. 데이터는 여전히 암호화되어 있으며 이는 중요할 수 있으며 호스트(KVM 서버)에 액세스하는 사람이 게스트(FreeBSD) 데이터에 액세스하기가 더 어렵다는 의미이기도 합니다.
암호 감옥은 해결책입니까, 아니면 단지 복잡성을 추가하는 것입니까?
부팅 시 여전히 키를 입력해야 하며 VNC가 아닌 SSH를 통해서만 이 작업을 수행할 수 있지만 각 감옥에는 서로 다른 키가 있으므로 입력하려면 여러 개의 암호 문구가 필요할 것이라고 생각합니다.
개인적으로 저는 암호화된 디스크를 선호합니다. IMHO, 재부팅이 너무 일반적이어서 부팅 시 비밀번호를 입력하는 것이 중요한 문제가 되어서는 안 됩니다.
답변2
ZFS에서 암호화는 zpool 수준이 아닌 파일 시스템 수준이므로 전체 rpool을 암호화하는 대신 개별적으로 암호화할 파일 시스템을 선택할 수 있습니다.
예를 들어,
# zpool create halfcrypt mirror file1 file2
# zfs create -o mountpoint=/public halfcrypt/public
# zfs create -o encryption=on -o mountpoint=/whatever halfcrypt/protected
볼륨을 해독할 수 없지만 다시 시작하는 경우 암호화되지 않은 루트 풀을 마운트한 다음 선택적으로 암호화를 활성화할 수 있습니다.
# zfs set -r encryption=on rpool/export/home
# zfs set -r encryption=on rpool/swap