标签: ecryptfs

我对 ecryptfs 和 dm-crypt 进行了一些基准测试，并得到了一些有趣的结果。以下所有内容均使用 Btrfs 文件系统完成，dd用于将约 700MB 的文件复制到/从 ramdisk，并带有conv=fdatasync强制数据同步的选项。在每次测试之前清除磁盘缓存。

No encryption:
 read - 165MB/s
 write - 120MB/s
ecryptfs:
 read - 125MB/s
 write - 15MB/s
dm-crypt:
 read - 150MB/s
 write - 115MB/s
dm-crypt + ecryptfs:
 read - 120MB/s
 write - 15MB/s

现在我知道加密比原始文件系统慢，但是我没想到 ecryptfs 的写入性能会大幅下降。我强制数据同步的事实是否使此测试不切实际？或者我可以将任何选项传递给 ecryptfs 以使写入工作更快？

我在 ecryptfs 上使用文件名加密，但除此之外，所有内容都设置为默认值。

我使用 eCryptFS 来加密我的笔记本电脑的主目录。我的备份脚本将加密文件复制到服务器（连同 中的其他所有内容(home/.ecryptfs）。

如何挂载备份的加密文件？我想确认我可以做到这一点，并且一切都已就位。

我天真的尝试

mount -t ecryptfs /backup/home/.ecryptfs/boldewyn /mnt/test

没有用，eCryptFS 想创建一个新分区。

我/home使用 加密了我的 Linux分区ecryptfs，我的 Linux 安装不再工作，我想从 Windows 访问存储在该分区上的文件。是否有工具/程序可以让我这样做？

我试图了解 ecryptfs 如何在内部工作，而 ecryptfs.org 上的文档无济于事。也许有人能够解释它是如何真正起作用的。当然我知道这些隐藏的 .Private / .ecryptfs 目录结构。我的问题更详细：

• 当我登录时，系统如何知道我的家已加密并解密？
• 它如何搜索关键目录（具有加密数据的目录、其挂载点（有时是 home，有时是 /home/Private）、带有包装密码的目录等）。这些目录通常放在 /home/.ecryptfs/ 并链接到 home。哪个位置是关键？“.ecryptfs”和“.Private”目录名称是保留的、硬编码的还是可配置的？
• 关于密钥环：假设我的密钥环中有多个密钥 - 它如何将正确的密钥与某个加密目录匹配？

我正在考虑加密我的笔记本电脑的内容，它运行 Ubuntu 10.04 并且有一个 ext4 + 交换，我想知道这里有什么最好的选择。我知道：

• TrueCrypt：文件中的块级加密或虚拟设备
• ecryptfs：FS 级加密
• dm-crypt：块级加密
• Loop-AES：块级加密
• 加密 LVM：块级加密

如果我想至少加密 /var、/home、/tmp、/etc 和交换（认为这几乎涵盖了最敏感的数据，假设我没有将秘密应用程序安装到 /usr 或任何东西中）。一些指导性问题：

• 对性能和电池寿命的影响有多大？SSD 的性能如何？
• 就我而言，我可以设置它而不必设置新系统 - 只需使用我现有的 ext4/swap 并加密它们吗？（最好不需要一些中间存储，但更重要的是，最好不需要我重新安装操作系统？）
• 以上任何一项都推荐给其他人吗？（至少在 Ubuntu 上继续前进）？任何已过时/已弃用的内容？

我意识到之前有关于 Linux 中磁盘加密的讨论，但它们往往只涵盖上述选项和问题的子集。感谢您的任何指导。

我正在尝试在 dropbox 上使用 eCryptfs，但遇到了一些问题。

我的系统是 GNU/Linux，确切地说是 openSUSE 12.2。

我的设置是这样的：我设置了两个运行 openSUSE 12.2 的 VirtualBox 实例，我们称它们为 VM1 和 VM2。Dropbox 和往常一样，正在同步 ~/Dropbox 中的所有内容。为了创建我的 eCryptfs 设置，我在两个虚拟机上执行以下操作：

mkdir -m 500 ~/ecryptfs_upper
mkdir -m 700 ~/Dropbox/ecryptfs_lower
sudo mount -t ecryptfs Dropbox/ecryptfs_lower/ ecryptfs_upper/

我将 eCryptfs 配置为：

key type: passphrase
cipher: aes
key bytes: 16
plaintext passthrough: no
filename encryption: yes

如果我现在继续在 VM1 上的 ~/ecryptfs_upper 中创建文件，它也将在 VM2 上正确显示。然而，当我在一个虚拟机上更改此文件时，有时（通常但并非总是由于某种原因）它似乎不会在另一台虚拟机上更新。

如果我检查两个虚拟机上 ~/Dropbox/ecryptfs_lower 中的底层文件，它们是相同的（sha256sum 生成相同的哈希值），因此 dropbox 已正确地同步它们。但是~/ecryptfs_upper中对应的文件还是不一样！我必须卸载然后再次安装 eCryptfs 才能正确显示更改。

问题似乎是，当 dropbox 更新 eCryptfs 下级目录中的文件时，eCryptfs 不会注意到更改。据推测，eCryptfs 假设所有更改都将通过挂载。对于大多数用例来说，这显然是一个公平的假设，但当使用 eCryptfs 加密同步云存储（如 Dropbox）时，这显然是一个大问题。

我见过几个人提倡将 eCryptfs …

我想有效地备份我的硬盘驱动器的加密副本。我目前正在使用 rsync 来备份未加密的副本，我发现它非常有效。

我查看了 duplicity 和 rsynccrypto，但 duplicity 进行增量备份，而 rsyncrypto 为每个加密文件使用唯一的密钥。Duplicity 内存不足，我需要在某处备份 rsynccrypto 密钥。我发现这些空间效率低下，所以我不想使用它们。

我认为如果我可以环回/绑定 mount / 并备份加密的挂载点，那么效果会很好。我查看了 eCryptfs 和 EncFS，但它们似乎都只挂载加密目录，而不允许对挂载的目录进行加密。它们都支持加密文件名，这也是一个理想的功能。

如果我可以拥有我的文件系统的加密版本，那么我现有的 rsync-backup 将有效地工作。当变化很小时，只需要加密文件名。

有没有办法将挂载的目录加密为另一个目录？还有其他建议吗？