Я следую приведенным здесь инструкциям, чтобы зашифровать базу данных в MariaDB: https://mariadb.com/kb/en/mariadb/data-at-rest-encryption/
Очевидно, это требует от нас создания ключа, который будет использоваться для шифрования базы данных. Мы можем просто предоставить ему ключ, но это также позволяет нам дополнительно зашифровать ключ с помощью такого пароля:
openssl enc -aes-256-cbc -md sha1 -k secret -in keys.txt -out keys.enc
my.cnf
[mysqld]
file_key_management_encryption_algorithm=aes_cbc
file_key_management_filename = /home/mdb/keys.enc
file_key_management_filekey = secret
Но как шифрование ключа может еще больше повысить уровень безопасности? Представьте себе случай, когда жесткий диск украден, как может шифрование ключа усложнить злоумышленнику расшифровку данных базы данных?
Шифрование ключа имеет смысл только в том случае, если парольная фраза для ключа не хранится на сервере. Совершенно бессмысленно держать ключ и зашифрованный текст вместе.
Если вы можете вручную ввести ключ при загрузке или получить систему и сохранить его в ОЗУ, используя что-то вроде Hashicorp's Vault, тогда, конечно, есть некоторая дополнительная безопасность.