我有一台运行Debian稳定的服务器,在
Linux MD RAID 1中有两个100GB Intel DC S 3700驱动器.据英特尔称,这些驱动器支持256位AES加密,我想加密写入这些驱动器的数据以便勾选关于公司数据保护政策的新框.
我知道我可以用Linux自己的加密重新安装Debian,但如果他们支持加密,我宁愿将加密卸载到驱动器上.这可能吗,我该怎么办?
提前致谢,
马特.
解决方法
同意缺乏关于这些关键安全功能的文档是相当令人沮丧的.
我的理解(未在parctice中验证)是为了在SED驱动器上启用加密,您需要在BIOS级别设置密码. This post建议在S3700上使用hdparm设置ATA密码应该这样做.但我还没有测试它……
有趣的是要了解它在非交互式场景中的实际运作方式(即:坐在DC中的服务器而不是具有启动时交互式passwd条目的笔记本电脑).看起来some RAID controllers支持将passwd存储在控制器本身内部.我想这不会阻止控制器与磁盘同时被盗的物理攻击……
编辑:2017年第二季度:哇两年过去了,虽然没有事实上的解决方案浮出水面,但有一些值得注意的发展:
> sedutil actually provides a workable solution
>内核4.11有望带来主线支持:OPAL Self-Encrypting Drive Support For Linux Steps Closer – Phoronix
