KVM仮想サーバーにFreeBSD 10サーバーを設定しています。
私は通常FreeBSDに初めて触れました(Debian Linuxで起動)。
私がインストールしたシステムは、暗号化されたルートボリュームと暗号化されたスワップを持つZFSを選択しました。
私は外部アクセスから自分のファイル(電子メール、ファイル共有など)を保護するためにこのソリューションを選択しました。
その後、起動するたびにパスワードを入力する必要があることに気づいたので、ファイル(もちろん)が復号化され、アクセス権を持つすべての人が利用できるようになりました。
基本システムの特定の部分だけを暗号化する(VNCなしで起動してSSH経由でパスワードを入力できる)合理的なソリューションはありますか?
サーバーで暗号化するという考えは愚かです(サービスが機能するにはボリュームを復号化する必要があるため)。
パスワード刑務所は解決策ですか、それとも複雑さを追加するのですか?
答え1
基本システムの特定の部分だけを暗号化する(VNCなしで起動してSSH経由でパスワードを入力できる)合理的なソリューションはありますか?
ファイルを暗号化する方法はいくつかあります。 PEFSがあなたが探しているものかもしれません。
サーバーで暗号化するという考えは愚かです(サービスが機能するにはボリュームを復号化する必要があるため)。
いいえ、実際にはそうではありません。データは依然として暗号化されており、これは重要である可能性があり、ホスト(KVMサーバー)にアクセスする人がゲスト(FreeBSD)データにアクセスするのが難しいという意味でもあります。
パスワード刑務所は解決策ですか、それとも複雑さを追加するのですか?
起動時にはまだキーを入力する必要があり、VNCではなくSSHを介してのみこれを実行できますが、各刑務所には異なるキーがあるため、入力するには複数のパスワードフレーズが必要になると思います。
個人的には私は暗号化されたディスクを好みます。 IMHO、再起動が一般的すぎるため、起動時にパスワードを入力することが重要な問題にならないでください。
答え2
ZFSでは、暗号化はzpoolレベルではなくファイルシステムレベルであるため、rpool全体を暗号化する代わりに、個別に暗号化するファイルシステムを選択できます。
例えば、
# zpool create halfcrypt mirror file1 file2
# zfs create -o mountpoint=/public halfcrypt/public
# zfs create -o encryption=on -o mountpoint=/whatever halfcrypt/protected
ボリュームを復号化できないが再起動する場合は、暗号化されていないルートプールをマウントし、オプションで暗号化を有効にできます。
# zfs set -r encryption=on rpool/export/home
# zfs set -r encryption=on rpool/swap