Moh*_*san 4 mysql php encryption debian-lenny
我有一台运行生产应用程序的 Debian Lenny 服务器。最近,一位顾问要求我们启用磁盘加密以确保数据安全。他认为全盘加密需要我们清理磁盘并从头开始设置服务器,因此加密 MySQL 和 Web 根文件的存储就足够了。
因此,我正在考虑创建一个新分区并将 apache 站点根目录与 MySQL 数据文件一起移动到那里,并使用一些包/工具对其进行加密。
现在,我的问题很简单:
感谢您的时间和帮助,提前致谢!
问候,
埃姆兰
首先要记住的是,顾问并不是在这里承担性能和麻烦方面的负担。无人值守的重启将不再可能,为了避免安全隐患,拥有允许重启的加密密码的用户应该很少。加密的一揽子建议经常放错地方。
数据加密可防御一种特定的攻击场景,这可能不是最有可能的漏洞。数据加密可以保护您免受攻击者的攻击,他们带着您的数据驱动器亲自离开。如果您担心这种情况,请考虑更好的物理保护措施 - 例如,机架前部的锁定面板。
数据加密通常不会针对通过网络破坏您的 Web 应用程序的攻击者提供太多保护。攻击者最有可能至少拥有与您的 Web 应用程序相同的权限,包括读取和写入数据库,即使它在磁盘上加密。
不要忘记考虑这将对您的 MySQL 数据库造成的性能损失。读取和写入加密磁盘的速度会明显变慢。如果您已经遇到性能问题,这可能会严重破坏事情。
MadHatter 和 JanC 给了你很好的建议。正如 JanC 所说,可以在不擦拭机器的情况下执行此操作,但就您的目的而言,这听起来没有必要。
您需要记住的另一件事是加密交换分区。为此,您需要禁用交换,重新启动以使其消失,安全地删除交换分区,对其进行加密,重新启用交换,然后重新启动机器。我不太确定如何在 Debian 中进行设置,但您需要在启动过程中尽早输入密码。
如果您未能加密交换分区(以及您的 /tmp 目录和您的应用程序可能写入的任何其他位置),您的部分敏感数据将被未加密地写入磁盘。