加密 apache 和 mysql 服务器

Question

我有一个关于加密磁盘的问题。

我有 2 台服务器：1 台是用于 Web/前端的 apache，它与服务器 2（即 mysql）通信。它们都是仅供内联网使用的；没有外部访问。我正在研究使用 PGP 或 GnuPG 来加密磁盘。不过，我不清楚这到底是如何运作的。

密钥将存储在哪里？在客户端？在阿帕奇上？如果apache上有访问mysql的密钥，那么每个用户都需要有一个密钥吗？如果是这样，如果密钥 1 用于更改某些数据，那么使用密钥 2 的用户是否无法访问该数据？还有 apache 密钥，是否只有拥有本地密钥的用户才能访问？

加密是即时完成的吗？它会降低性能吗？

加密这些服务器上的数据但又可供用户访问的最佳方法是什么？

谢谢！

Answer 1

在您描述的设置中，可以有很多地方和方法可以对数据进行加密。如果您想加密服务器之间传输的所有数据，在它们之间设置虚拟专用网络 (VPN) 就可以了。
如果要加密磁盘上的实际数据，可以使用加密文件系统，例如 Linux 上的 CFS。如果您更偏执一点，您可能也想加密交换空间。

考虑到加密操作对 CPU 的负荷可能相当大，始终加密所有数据可能效率不高。我猜加密所有内容是没有必要的，您只想加密一些敏感数据。我认为最直接的方法是使用用户的密码加上随机 salt （为每个用户生成一次）作为密钥并使用对称密钥算法 类似 AES。

您的 Web 应用程序应以加密形式在数据库中存储和检索数据，并注意不要将未加密数据在内存中保留的时间超过严格必要的时间。为了（尝试）确保之后将其发送给客户端时保持机密，您应该使用 TLS。