ZFSに切り替えたいのですが、それでもデータを暗号化したいのです。ZFSのネイティブ暗号化は「ZFSプールバージョン番号30」で追加されましたが、バージョン28のFreeBSDでZFSを使用しています。私の質問は、encfs(ヒューズ暗号化)がデータの整合性や重複排除などのZFS固有の機能にどのように影響するかです。
質問する
1585 次
1 に答える
2
encfsには、zfsよりも短いファイル/ディレクトリー名の長さの制限があります。思い出せませんでしたが、おそらくオブジェクトあたり255文字未満でした。その制限を超える名前のファイル/ディレクトリがある場合、マウントされたencfsリソースへのコピー中にI / Oエラーが発生し、問題のファイル/ディレクトリは作成されません。それだけです。
私は重複排除を使用しません(残念ながらRAMが少なすぎます)が、encfsはファイル名の暗号化にECBモードを使用するため、暗号化された側では当然類似したファイル名が表示されます(ファイル属性も変更されません)。これはツールにとって幸運です。 rsyncのように。重複排除のために残念ながら、encfsは初期化ベクトルにデータ署名(hmac)を使用し、同じコンテンツのコピーを完全に異なるものにします。この動作をブロックする方法を見つけることはおそらく実行可能ですが、データの整合性はそれに依存するため、お勧めしません。
デバイスレベルの暗号化が必要な場合は、cryptsetupをご覧ください。/dev/disk/by-id/ata-*このためには、プールをから/dev/disk/by-id/dm-name-*デバイスに移行する必要があります。これは重複排除の使用を禁止するものではなく、わずかなパフォーマンスの低下を招くだけです。また、バックアップのために復号化されたデータを確認する必要がありますが、これは望ましくない場合があります。
現在、私は両方の方法(つまり、cryptsetupとencfs)を使用しています。少し冗長に思えるかもしれませんが、バックアップ用のデータの復号化と、暗号化パラメーターをプレーンテキストで.encfs.xmlファイルに保存することの両方を回避する必要があります。
于 2013-02-23T13:28:13.537 に答える