Esistono filesystem preferiti che hanno qualche boni riguardo sicurezza e riservatezza? O davvero non importa se io, per esempio, criptiamo un HDD con LUKS?
Ad esempio, ho letto che il file system ZFS ha alcune buone implementazioni contro la corruzione dei dati che considererei un bonus per la sicurezza.
La sicurezza è la segreta riservatezza, integrità e disponibilità. E non sorprendentemente, ci sono diversi percorsi per tutti e 3 i pilastri:
ZFS e LUKS sono ortogonali dal punto di vista della sicurezza: il LUKS risponde in modo specifico alla riservatezza mentre ZFS è focalizzato sull'integrità (e la disponibilità se i componenti sottostanti vivono su dispositivi hardware diversi)
Quindi, se sei interessato all'integrità e non solo alla riservatezza, ZFS o RAID dovrebbero essere considerati, indipendentemente dal punto di vista della riservatezza affrontato da LUKS.
LUKS è solo la crittografia sul disco stesso. LUKS può esistere su qualsiasi partizione e il filesystem è qualunque sia stato formattato. Se stai usando ZFS e crei un / dev / loop point per esso e lo cifri con LUKS, eseguirai qualunque file system che usi per formattare / dev / mapper / device, in un contenitore criptato, in cima di zfs. Es: EXT3 | LUKS | loop | zfs
Informazioni sull'utilizzo di lvm. Mi ringrazierai.
Generalmente non importa quale filesystem usi se intendi mettere un livello di crittografia come LUKS tra il disco fisso e il filesystem, perché LUKS darà ad ogni filesystem la stessa quantità di protezione.
Tuttavia ci sono alcune cose da tenere a bada, che inizieranno a essere importanti se non si utilizza la crittografia del disco o se la partizione LUKS è stata violata (forse a causa dell'utilizzo di una password debole).
Ci sono alcuni filesystem che usano tattiche copy-on-write per mantenere i tuoi dati al sicuro - nel senso che se cambi un file, i vecchi dati non verranno sovrascritti. btrfs è un esempio di tale file system, e altri non lo fanno per i dati, ma lo fanno per i metadati. Praticamente ogni file system di journaling ha una certa quantità di built-in copy-on-write.
Il problema con copy-on-write dal punto di vista della riservatezza è che non è possibile sovrascrivere in modo affidabile i dati sensibili. Se uso il programma "shred" su unix per sovrascrivere un file diecimila volte con dati casuali, creerò solo diecimila istanze di dati casuali sul mio disco e nasconderò ogni istanza tranne l'ultima dalla vista, ma i dati originali continueranno a essere sedersi senza modifiche.
Lo stesso, in misura minore, è vero con qualsiasi file system su memoria flash e SSD grazie alle tecnologie di livellamento dell'usura incorporate.
Come dici tu, questo può anche essere un vantaggio se sei interessato principalmente all'integrità dei dati.
Leggi altre domande sui tag hardware encryption disk-encryption luks file-system