V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gant
V2EX  ›  程序员

个人搭建 gitlab 服务器,全盘加密方法如何选择。

  •  
  •   gant · 2023-03-25 16:34:45 +08:00 · 1886 次点击
    这是一个创建于 613 天前的主题,其中的信息可能已经有所发展或是发生改变。
    设备已经组装好了,配置是 g7400+16g+500gNvme(系统)+500g SATAx2(raid1 数据)+ups 。

    想做系统+数据盘加密。系统安装过程设置加密就行了,还是安装后使用 veracrypt 之类的软件,好像都没法配合 tpm 是吧,yubikey 能配合用吗,每次开机输那种不规则的密码还是有点麻烦。几个月断一次电吧,有可能忘记交费了,有可能线路维修了。
    11 条回复    2023-03-26 17:09:02 +08:00
    binmiui
        1
    binmiui  
       2023-03-25 16:49:45 +08:00
    个人感觉不如搭建 gitea ,gitlab 对个人来说太大了
    findex
        2
    findex  
       2023-03-25 16:51:14 +08:00
    我觉得 yubikey 可以配合用。bios 层加个密(开机需要密码,第一层防护,虽然这个不会加密文件)。
    其次,硬盘分区的时候直接选择加密。veracrypt 是否会利用到 tpm 不知,你可以试试。或者整个需要 authenticator 的那种 2fa 的登录方式。总之,可以套很多层了,就看你怎么搞了。之前我讨论过自建 gitlab 选择版本的问题。你选的是 CE 版,还是直接上的 EE 版?
    gant
        3
    gant  
    OP
       2023-03-25 16:53:03 +08:00 via iPhone
    @binmiui 这个配置性能没问题的
    gant
        4
    gant  
    OP
       2023-03-25 16:54:25 +08:00 via iPhone
    @findex 还在考虑,是 docker 还是直接按照,ce or ee
    henyi2211
        5
    henyi2211  
       2023-03-25 17:00:35 +08:00
    64G 内存被 gitlab 吃了 32G ,而且体验也不好,已转用 gitea ,舒服很多
    shansing
        6
    shansing  
       2023-03-25 17:01:01 +08:00
    装 Windows 吧,可以用 BitLocker + TPM 解锁。Linux 可以搭 Hyper-V 虚拟机。如果要求正版可以看看 Hyper-V Server ,直接免费的,但没实测是否同时支持 BitLocker 。
    findex
        7
    findex  
       2023-03-25 17:02:38 +08:00
    @henyi2211 为啥 gitlab 能吃 32G ,你的 gitlab 部署 runner 了吗?
    gant
        8
    gant  
    OP
       2023-03-25 17:03:46 +08:00 via iPhone
    @henyi2211 多少人用,项目多吗
    gant
        9
    gant  
    OP
       2023-03-25 17:08:25 +08:00 via iPhone
    @shansing 不太想在服务器用 windows
    henyi2211
        10
    henyi2211  
       2023-03-26 09:20:07 +08:00
    gitlab 内存占用和进程数有关,1 进程占 2G 内存,默认的进程数又等于 CPU 核心数,所以一开起来,啥都没跑就占了 32G 。

    占了这么多系统资源 使用起来还是感觉慢 页面会时常抽风报错 刷新下又好了

    就我一个人用,二三十个项目。
    ysc3839
        11
    ysc3839  
       2023-03-26 17:09:02 +08:00 via Android
    你要用 TPM 解密的话基本就只能选择 Windows 了。就算在其他系统中解决了 TPM 解密的问题,仍然存在通过 DMA 从内存中直接读取密钥的问题(不过前提是能物理接触设备),Windows 针对这种问题也提供了基于虚拟化的防护措施。当然你可以说不考虑成本很高的高级攻击,那用 TPM 还是没什么问题的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3485 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 00:08 · PVG 08:08 · LAX 16:08 · JFK 19:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.