это просто. бэкэнд - iscsi, фронт - zfs, который монтируешь в директорию /data от next/owncloud. в настройках тычешь на принудительное шифрование.

Смотря от чего ты собрался защищаться.

это просто. бэкэнд - iscsi, фронт - zfs, который монтируешь в директорию /data от next/owncloud. в настройках тычешь на принудительное шифрование.

Не юзал облака для этого вообще (не слишком доверяю им). Но тоже задумался недавно. Можно почитать где-то доступно?

Рассматриваю варианты шифрования и пока прочел только про шифрование linux-ос при инсталляции и соответственно второй вариант - шифровать все отправляемые данные (например, через truecrypt).

Ну я всегда локальные данные шифрую. LUKS из коробки, чтобы на зашифрованный диск саму ось установить. Это если опасаешься физического доступа к компу (я в целом не опасаюсь, но а вдруг в поездке что с ноутом?). Хотя, против паяльника в ж*пе оно не поможет. Если про трукрипт упомянул - видимо с венды недавно слез. Для локальных данных используются различные варианты, GPG например встроено в многие софтины для этого (можно даже к почтовому клиенту прикрутить). Если у тебя графическая оболочка KDE Plasma, то туда вообще к примеру, Plasma Vault встроено для шифрования отдельных папок.

На сколько безопасно и рационально шифровать ОС?

Я считаю, это рационально. К вопросу про сетевое хранилище не относится, правда. Ну, в любом случае, это имеет смысл только в случае, если ты не пренебрегаешь простейшими методами защиты своих данных.

ос шифровать не очень рационально, /home - вполне. Ну и не забывай, что шифрование увеличивает вероятность пролюба данных.

У меня музыка и всякие документы дублируются на Яндекс Диск. Музыку я не шифрую, а вот документы, конечно, да. Пока что использую такой вариант: зашифрованный файл на 8 гигов, в нём обычная ext4, он и улетает на Яндекс Диск. При монтировании этой ext4 нужно вводить пароль шифрования.

Но по некоторым причинам это не очень удобно, надо другое что-нибудь придумать.

EncFS

Релиз ZFSonLinux 0.8.0

«Шифрование при zfs send/receive. Позволяет хранить бэкапы на недоверенных сервисах без возможности компрометации.»

Резервное копирование данных

В чём принято держать базу содержимого съёмных накопителей? (комментарий)

Стоит прочесть ответы некоторго анонима! Это хороший пример организации резервирования не изменяемых данных для длительного хранения с криптографической гарантией их целосности. Строки с созданием файла index можно закоментировать, если никто не будет знать что ты хранишь, то данные сохранятся лучше. ;)

С сетевыми хранилищами есть проблемы:

1. Трояны на твоей машине. Вири украдут секретные ключи шифрования, а кейлогеры запишут пароли к секретным ключам.

2. Сетевое хранилище оно не твоё, данные не у тебя. Сегодня есть куча факторов которые могут влиять на доступность этого хранилища.

Мой совет, если админишь сеть то подыми свой NAS и организуй с него бекап длительного хранения хотябы раз в год. Если один комп бекапь на M-DISK В чём принято держать базу содержимого съёмных накопителей? (комментарий)

Сетевое хранилище имеет смысл использовать после того, как ты исчерпал локальные варианты одновременно в нескольких помещениях:

1)Очень надежная многоуровневая защита от бросков в сети 220В

2) пул бэкапа на выделенном компе для частых бэкапов с тройными зеркалами, одно их которых обычно отключено от питания и изредка раз в месяц синхронизируется с остальными, которые всегда online

3) 2 и более офлайн копии с send | receive

4) blueray диски и ленточки, где нет привязки к железу и которые не боятся ударов при падении на пол.

Когда все это есть и надежная защита от троянов, то можно поэкспериментировать с хостингами.

Про шифрование немного есть здесь: http://forum.rutoken.ru/post/12942/#p12942

Шифровать диски без защиты от троянов в т.ч. аппаратных и в софтовых блобах типа Шиндоуз, Skype, Chrome имеет смысл только от случайного прохожего, если он найдет ваш диск случайно на дороге. От целеноправленной атаки на вас шифровать диски почти бессмысленно без защиты от аппаратных закладок.

А вирей которые с HSM модулей ключи воруют нет?

https://www.opennet.ru/opennews/art.shtml?num=50838

Если брать HSM модуль для хранения ключей то только с открытой прошивкой и аппаратной частью!

https://gentoo.org/news/2019/04/16/nitrokey.html

Если брать HSM модуль для хранения ключей то только с открытой прошивкой и аппаратной частью!

https://gentoo.org/news/2019/04/16/nitrokey.html

И что в нем такого открытого? Я думал открытый - это FST-01.

А вирей которые с HSM модулей ключи воруют нет?

Есть механические таймеры для стиральных машин, вот их и надо использовать для подключения токенов в разрыв USB кабеля.