ZFS之上的Encfs

Question

我想切换到ZFS，但仍然想加密我的数据。ZFS的原生加密是在"ZFS Pool Version Number 30“中添加的，但我在FreeBSD上使用的是版本28的ZFS。我的问题是，encfs (融合加密)将如何影响ZFS的特定功能，如数据完整性和重复数据删除？

Answer 1

encfs对文件/目录名称的长度有限制，该长度比zfs的短。我记不住了，但每个对象大概少于255个字符。如果您碰巧有任何名称超过该限制的文件/目录，则在复制到已挂载的encfs资源时会出现i/o错误，并且不会创建有问题的文件/目录，仅此而已。

我不使用重复数据删除(不幸的是RAM太少)，但由于encfs使用ECB模式对文件名进行加密，因此在加密方面自然会看到相似的文件名(文件属性也不变)，这对于像rsync这样的工具来说是幸运的。不幸的是，对于重复数据删除，encfs使用数据签名(hmac)作为初始化向量，从而使相同内容的副本完全不同。找到一种方法来阻止这种行为可能是可行的，但数据完整性依赖于它，所以我不建议这样做。

如果您需要设备级加密，请查看cryptsetup。为此，您需要将池从/dev/disk/by-id/ata-*迁移到/dev/disk/by-id/dm-name-*设备。这不会禁止使用重复数据删除，只会导致轻微的性能损失。而且您必须对解密的数据进行操作以进行备份，这可能是不可取的。

目前，我使用这两种方法(即cryptsetup和encfs)。它可能看起来有点多余，但我发现有必要同时避免解密备份数据以及在.encfs.xml文件中以纯文本形式存储加密参数，这会困扰我偏执的安全感;)