通过web应用程序访问加密文件(dm-crypt/LUKS)

Question

我是个处理加密问题的新手，我正试着解决一些问题。

对于分布式应用程序，我们需要在公司之外部署一个带有敏感PDF文件的服务器。这是因为这些文件需要通过另一个系统(平板电脑机队)进行访问，而大量的这些文件将放弃从我们的服务器通过网络进行访问。

我一直在研究dm-crypt/LUKS的解决方案，这似乎解决了我的问题，尽管我有几个问题：

• 通过tomcat部署的java应用程序能够无缝地访问这些文件吗？我猜是的，如果我和苏多开始约会的话，不过，新手.
• 我能考虑通过webapp安装音量吗？我正在考虑通过web服务检索加密分区的密码，并将密码存储在我们的服务器上。
• 动态解密这些文件的开销有多大？The加密数据将由4-5 users同时访问，检索大约50 by (解密大小)的数据。

提前为您提供帮助

Answer 1

> Will a java app be able to seamlessly access those files?

是的，而且您不需要sudo (不要将WEBSERVICE作为根运行)。打开和挂载luks分区后，应用程序软件只会看到一个正常的文件系统。

> Can I consider mounting the volumen through a webapp?

挂载需要root权限，所以在编写webapp时必须非常小心。理想情况下，编写一个小的suid可执行文件，只需使用给定的密码进行安装，并从webapp调用它，使webapp没有任何特殊的特权。在密码处理上要非常小心--如果您不小心，密码可能会在服务器上的日志中结束，或者在运行中的系统上不经过/proc查看。

> How bad is the overhead for decrypting on the fly?

对于仅解密50 of数据的4到5个用户，您不会注意到解密导致的额外cpu使用量。

注意:只要您的服务器在打开luks分区的情况下运行，任何访问该服务器的人显然都能够读取所有加密的文件。Luks只在休息时保护数据(例如，当有人从您的服务器上拔出硬盘并与它们一起跑掉时)。