Fórum Root.cz

Hlavní témata => Server => Téma založeno: Pivson 04. 06. 2024, 21:35:51

Název: Šifrování dat Samba/NFS za letu
Přispěvatel: Pivson 04. 06. 2024, 21:35:51

Zdar a silu, mate nekdo pls zkusenosti s encyptovanim on-the-fly pro sdilene soubory ? Mam server, ktery neni safe, ale lze na nej ulozit hooodne dat. Potrebuju, aby lokalni server (linux) mel moznost sdilet na tyto data transparetne do LANu. Nicmene na storage serveru musi byt soubor bezpecne encrypted. Takovej file encrypt proxy defacto. Primarne jde o pristup na data a sekundarni pouziti je zaloha (bavime se v desitkach tera) na jine urovni FS. Storage je plne v moji moci, ale nemohu zarucit fyzickou bezpecnost (nekdo si vezme roota).

Setup:

[insecure server storage] <-- VPN+samba/nfs --> [local trusted server] <-- samba/sshfs --> [klient - linux/widle]

Tj. local server poskytuje plain-text data a na insecure jsou pouze encryptovana. Klice samozrejmne pouze na trusted local. Na local neni dost mista na ulozeni vseho. Cache zde byt muze, nejaky to tera tam je. Nicmene cache neni nutnost, jen prijemna vec navic :)

Treba https://www.ecryptfs.org/ ?

Nebo neco podobneho... Idelane 2 mountpointy na lokalnim serveru, pripadne to muze vytvaret adresar ala '.private' kde budou ecrypted soubory. Jak se to ulozi na insecure (jen adresare .private, nebo i nejaka metadata, ...) je prakticky jedno, ale klient musi videt klasicky strukturu tak jak je - tj. transparentne (pripadne .private adresare se vyhodi ve sdileni). V konecnem dusledku to musi byt lokalni soubory, prave proto aby to lehce prolezlo prez sambu/nfs.

Zkousel jsem drbd a encryptovanej disk - funguje to perfektne (v konecnem dusledku), nicmene pro stovky tisic malych souboru to je vykonova pohroma, proto ten pristup na urovni souboru a ne bloku.

Diky

R.

Název: Re:Šifrování dat Samba/NFS za letu
Přispěvatel: alex6bbc 04. 06. 2024, 22:04:11

nebudu resit kryptovani atd. ale jen hromady malych souboru: co si na filesystemu udelat iso/img obraz a mountovat to loopem a zasifrovat. ma velky sdileny disk pak ukladat uz jen vysledny obraz.

Název: Re:Šifrování dat Samba/NFS za letu
Přispěvatel: alex6bbc 04. 06. 2024, 22:05:42

z plan9 mam rad union filesystem a myslim, ze je obdoba i v linuxu, tak pak ruzne verze obrazu mountovat do unionu a nad tim pracovat.

Název: Re:Šifrování dat Samba/NFS za letu
Přispěvatel: RDa 04. 06. 2024, 23:26:03

Muzes udelat ecryptfs, nebo taky losetup a udelat ze vzdaleneho souboru lokalni block device nad kterym si rozjedes pak dm/luks.

Název: Re:Šifrování dat Samba/NFS za letu
Přispěvatel: jmk 06. 06. 2024, 07:15:00

Encfs a jeho alternativy. Používám dlouhé roky.