KVM仮想サーバーにFreeBSD 10サーバーを設定しています。
私は通常FreeBSDに初めて触れました(Debian Linuxで起動)。
私がインストールしたシステムは、暗号化されたルートボリュームと暗号化されたスワップを持つZFSを選択しました。
私は外部アクセスから自分のファイル(電子メール、ファイル共有など)を保護するためにこのソリューションを選択しました。
その後、起動するたびにパスワードを入力する必要があることに気づいたので、ファイル(もちろん)が復号化され、アクセス権を持つすべての人が利用できるようになりました。
基本システムの特定の部分だけを暗号化する(VNCなしで起動してSSH経由でパスワードを入力できる)合理的なソリューションはありますか?
サーバーで暗号化するという考えは愚かです(サービスが機能するにはボリュームを復号化する必要があるため)。
パスワード刑務所は解決策ですか、それとも複雑さを追加するのですか?
ベストアンサー1
基本システムの特定の部分だけを暗号化する(VNCなしで起動してSSH経由でパスワードを入力できる)合理的なソリューションはありますか?
ファイルを暗号化する方法はいくつかあります。 PEFSがあなたが探しているものかもしれません。
サーバーで暗号化するという考えは愚かです(サービスが機能するにはボリュームを復号化する必要があるため)。
いいえ、実際にはそうではありません。データは依然として暗号化されており、これは重要である可能性があり、ホスト(KVMサーバー)にアクセスする人がゲスト(FreeBSD)データにアクセスするのが難しいという意味でもあります。
パスワード刑務所は解決策ですか、それとも複雑さを追加するのですか?
起動時にはまだキーを入力する必要があり、VNCではなくSSHを介してのみこれを実行できますが、各刑務所には異なるキーがあるため、入力するには複数のパスワードフレーズが必要になると思います。
個人的には私は暗号化されたディスクを好みます。 IMHO、再起動が一般的すぎるため、起動時にパスワードを入力することが重要な問題にならないでください。