ZFS 상단의 Encfs

Question

ZFS로 전환하고 싶지만 데이터를 암호화하고 싶습니다. "ZFS Pool Version Number 30"에 ZFS의 네이티브 암호화가 추가되었지만 버전 28의 FreeBSD에서 ZFS를 사용하고 있습니다. 제 질문은 데이터 무결성 및 중복 제거와 같은 ZFS 관련 기능에 encfs (융합 암호화)가 어떻게 영향을 미치는지입니다.

Answer 1

encfs에는 zfs보다 짧은 파일/디렉토리 이름 길이 제한이 있습니다. 기억할 수는 없지만 개체 당 255 자 미만일 수 있습니다. 이 제한을 초과하는 이름을 가진 파일/디렉토리가있는 경우 마운트 된 encfs 리소스로 복사하는 동안 입출력 오류가 발생하고 문제가되는 파일/디렉토리가 생성되지 않습니다.

중복 제거 (안타깝게도 RAM이 너무 적음)를 사용하지 않지만 encfs는 파일 이름의 암호화에 ECB 모드를 사용하기 때문에 자연스럽게 비슷한 파일 이름이 암호화 된 부분에서 볼 수 있습니다 (파일 속성도 변경되지 않음). rsync와 같은 도구에서는 운이 좋다. 유감스럽게도 중복 제거의 경우 encfs는 초기화 벡터에 데이터 서명 (hmac)을 사용하여 동일한 내용의 복사본을 완전히 다르게 렌더링합니다. 이 동작을 차단하는 방법을 찾는 것이 가능할 수도 있지만 데이터 무결성에 따라 달라 지므로 권장하지 않습니다.

장치 수준 암호화가 필요한 경우 cryptsetup을 살펴보십시오. 이를 위해 풀을 /dev/disk/by-id/ata-*에서 /dev/disk/by-id/dm-name-* 기기로 이전해야합니다. 중복 제거를 사용하는 것을 금지하지 않으며, 약간의 성능 저하를 초래할뿐입니다. 그리고 백업을 위해 암호 해독 된 데이터를 처리해야하므로 바람직하지 않을 수 있습니다.

현재 두 가지 방법 (즉 cryptsetup 및 encfs)을 사용하고 있습니다. 조금 불필요한 것처럼 보일지 모르지만, 암호화를위한 암호 해독과 암호화 매개 변수를 .ecfs.xml 파일에 일반 텍스트로 저장하는 것을 피하는 것이 필요하다는 것을 알게되었습니다.