Zdar a silu, mate nekdo pls zkusenosti s encyptovanim on-the-fly pro sdilene soubory ? Mam server, ktery neni safe, ale lze na nej ulozit hooodne dat. Potrebuju, aby lokalni server (linux) mel moznost sdilet na tyto data transparetne do LANu. Nicmene na storage serveru musi byt soubor bezpecne encrypted. Takovej file encrypt proxy defacto. Primarne jde o pristup na data a sekundarni pouziti je zaloha (bavime se v desitkach tera) na jine urovni FS. Storage je plne v moji moci, ale nemohu zarucit fyzickou bezpecnost (nekdo si vezme roota).
Setup:
[insecure server storage] <-- VPN+samba/nfs --> [local trusted server] <-- samba/sshfs --> [klient - linux/widle]
Tj. local server poskytuje plain-text data a na insecure jsou pouze encryptovana. Klice samozrejmne pouze na trusted local. Na local neni dost mista na ulozeni vseho. Cache zde byt muze, nejaky to tera tam je. Nicmene cache neni nutnost, jen prijemna vec navic
Treba
https://www.ecryptfs.org/ ?
Nebo neco podobneho... Idelane 2 mountpointy na lokalnim serveru, pripadne to muze vytvaret adresar ala '.private' kde budou ecrypted soubory. Jak se to ulozi na insecure (jen adresare .private, nebo i nejaka metadata, ...) je prakticky jedno, ale klient musi videt klasicky strukturu tak jak je - tj. transparentne (pripadne .private adresare se vyhodi ve sdileni). V konecnem dusledku to musi byt lokalni soubory, prave proto aby to lehce prolezlo prez sambu/nfs.
Zkousel jsem drbd a encryptovanej disk - funguje to perfektne (v konecnem dusledku), nicmene pro stovky tisic malych souboru to je vykonova pohroma, proto ten pristup na urovni souboru a ne bloku.
Diky
R.
4 Odpovědí
2291 Zhlédnutí