저는 암호화가 필요한 산업용 임베디드 시스템을 설계하고 있습니다. 내 미디어가 컴팩트 플래시이거나 SD이기 때문에 암호화로 인해 작업 속도가 크게 느려진다는 것을 알고 있습니다. 실제로는 /etc의 특정 파일, 일부 애플리케이션별 로그 파일 및 데이터 파일만 암호화하면 됩니다.
암호화해야 하는 모든 폴더와 파일에 대한 하드 링크를 만들어 별도의 볼륨에 넣은 다음 볼륨을 암호화할 수 있나요? wpa2 키가 포함된 네트워크 파일을 암호화하는 경우 이것이 네트워크 스택에 투명합니까? 아니면 특정 파일을 투명하게 암호화하는 방법이 있습니까?
답변1
파일 시스템 경계를 넘어 하드 링크할 수 없습니다.
구성 파일의 경우 기호 링크는 애플리케이션에 투명합니다. 다른 경우에는 포함된 폴더를 심볼릭 링크할 수 있습니다.
다음과 같은 파일wpa_supplicant.conf해시된 비밀번호를 사용할 수 있습니다(비록 이 방법이 여전히 애플리케이션에 충분히 안전하지 않을 수 있음).
암호화는 일반적으로 전체 블록 장치입니다(예:DM 비밀번호) 또는 스택 파일 시스템(예:암호화된 파일 시스템). 후자는 메타데이터를 유출할 수 있으므로 보안이 약간 덜합니다. 부팅 시 암호화된 파일 시스템을 안전하게 마운트해야 합니다.