Linux'ta ZFS ile şifreleme

13

Linux'taki ZFS zaten Şifrelemeyi destekliyor mu? Değilse, planlanmış mı?

ZFS + LUKS için tonlarca bilgi buldum ama bu kesinlikle ilgisiz: Ben ZFS şifreleme istiyorum böylece "güvenilmez" bir yedekleme sunucusuna göndermek zfs kullanarak çoğaltma yapabilirsiniz. Yani, zfs parçalarını şifrelemek gerekir.

ZoL şifrelemeyi desteklemiyorsa, zVols oluşturmak ve üstünde LUKS + EXT kullanmaktan (daha fazla ZFS avantajını kaybetmek) daha zarif bir yol var mı?

zfs encryption zfsonlinux

— DIVB
kaynak

zfs send | gpgiyi çalışıyor. İşleri gerekenden daha karmaşık hale getirmeyin.

— Michael Hampton

2

Muhtemelen yedeklerimi orada

— saklamam

@MichaelHampton: Haklısın ama öte yandan bunu yedekleme hedefine alamıyorum. Fikir, zfs'nin mürekkepremental anlık görüntülerle tamamen gönderilmesini ve çalışmasını sağlamak olacaktır. Yedekleme sunucusundan, anlık görüntüler tekrar başka bir konuma arşivlenmelidir. Yoksa bu hala GPG ile de çalışıyor mu? (BTW: Ben gpg boru fazla havai oluşturmuyor varsayalım değil mi?)

— divB

@ewwhite: Belki ama kurulumumu bilmiyorsun. Her durumda: Kendi sürücüsüne sahip kendi sunucum (WAN / internet yok). Hala sunucu olduğu gibi sunucu rafında saklanmadığı için şeyler şifrelenmesini istiyorum.

— divB

9

Henüz değil.

Çalışmalar sürüyor

ZFS Kripto desteği · Sayı # 494 · zfsonlinux / zfs · GitHub (2011-12-14)

Tcaputi'den ZFS Şifrelemesi · Çekme İsteği # 4329 · zfsonlinux / zfs (2016-02-11) - Sohbete 593 parça, "… github'un etkin bir şekilde işlemesi için çok büyük ... yeni bir PR'ye taşınması…"

Tcaputi tarafından ZFS Şifrelemesi · Çekme İsteği # 5769 · zfsonlinux / zfs (2017-02-09)

Referanslar

ZFS Veri Şifrelemesini Yönetme (Darren Moffat, Oracle, 2012-07-23)

Tom Caputi'den ZFS Yerel Şifrelemesi - YouTube (2016-10-10)

OpenZFS'ye yerel şifreleme geliyor! zfs -o şifreleme oluşturur = açık. Teşekkürler Tom Caputi@datto (Matthew Ahrens, 2017-03-17)

Devam eden çalışmalara alternatifler

Diğerlerinin de belirttiği gibi , Linux'taki ZFS'de (ZoL) LUKS - Linux Birleşik Anahtar Kurulumu - seçeneğiniz var .

— steakunderscore
kaynak

Paralel çalışma sürüyor: zund için yerel veri ve meta veri şifrelemesi, lundman · Çekme İsteği # 124 · openzfs / openzfs

— Graham Perrin

1

Tom Caputi'nin yukarıdaki 5769 numaralı çekme talebinin geçen yıl ustalıkla birleştirildiğini, ancak 0.8.0'a kadar serbest bırakılması beklenmiyor (birleştirildiğinden beri birkaç 0.7.x sürümü olmasına rağmen: nokta sürümü) önemli ve istikrarlı olduğu düşünülen vişneli yamaları içerir ve şifreleme bunlara dahil edilemeyecek kadar büyük kabul edilir)

— Jules

7

Genellikle şifreleme isteyen ZoL kullanan kişiler için, şifreleme istemleri arzu edilmez çünkü hem performansı hem de işlevselliği kaybedersiniz.

ZFS en iyisi dosya sistemi olduğunda işe yarar, başkalarını üstüne katladığınızda değil (yine yapabilirsiniz , ancak yetersizdir). Bu şifrelemenin yaptığı şeydir (şifrelenmiş bir dosya sistemini ZFS üzerine katmanlar) ve tam olarak neden LUKS hakkında çok fazla şey görüyorsunuz (bu tersine çalışır - çekirdek tarafından yönetilen şifreli bir kabın üstünde ZFS'yi yapılandırabilir - yaptıklarından dolayı çok iyi performans gösterir ve ZFS özelliklerini kaybetmezsiniz.

Diğerleri de belirtildiği gibi Unforunately, ZOL aslında yapar değil böyle şu anda Oracle uygulamasında olduğu gibi yerli dosya sistemi şifreleme sayılabilir. Şifrelemenizi ZFS sihrinin üstüne (şifrelemek) veya altına (LUKS) katlamanız gerekir.

— Chris Tonkinson
kaynak

5

Hayır, Linux'taki ZFS yerel şifrelemeyi desteklemiyor. Başka bir seçenek şifreleme , ancak bu noktada yerel bir çözüm bulamazsınız.

— ewwhite
kaynak

Gönderi, Oracle'ın kaynağı yayınlamamasının nedenini belirtiyor. Ancak FreeBSD şifrelemeyi desteklemiyor mu? O zaman WoL neden olmasın acaba ... Her durumda,

— ecryptfs

Tamam, sadece ecryptf'lerin maalesef ACL'leri desteklemediğini görüyorum. Yani seçenek yok :-(

— divB

1

FreeNAS'ın şifreli ZFS desteği hakkında bir şeyler gördüğümü düşündüm, ancak kolayca bulamıyorum. Bununla birlikte, FreeNAS'ın sadece LUKS üzerinde ZFS'yi çalıştırmak için FreeBSD eşdeğerini kullanmasıydı. @divB

— bir CVn

2

Arch Linux'ta zfs-dkms-gitşu anda size şifreleme 0.8.0_rc1ile çekirdek modülleri verecek native. İlerleme için Github 0.8.0 Kilometre Taşına bakınız .

Şifrelenmiş cihazları oluşturduğunuzda varsayılan seçenek kullanılır aes-256-ccm. Eğer ihtiyacınız deduplicationyoksa kullanarak daha iyi performans elde edersiniz-o encryption=aes-256-gcm
nativeAşağıdakilerle şifreleme desteği olup olmadığını kontrol edin :

grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h

— Stuart Cardall
kaynak

0

Taahhüt birleştirildi ve şimdi 0.7.1 sürümü linux üzerinde tam yerel şifrelemeyi destekliyor.

— Ural
kaynak

Ben sadece 0.7.6 denedim ve kesinlikle henüz dahil değildir. Reddit hakkındaki yorumlar, 0.7.x dalına birleştirilmeyeceğini ve bu nedenle 0.8.0 yayınlanana kadar yayınlanmayacağını gösteriyor.

— Jules