Verschlüsselung mit ZFS unter Linux

13

Unterstützt ZFS unter Linux bereits die Verschlüsselung? Wenn nicht, ist das geplant?

Ich habe Unmengen von Informationen für ZFS + LUKS gefunden, aber das ist absolut uninteressant: Ich möchte eine ZFS-Verschlüsselung, damit ich die Replikation mit zfs send an einen "nicht vertrauenswürdigen" Sicherungsserver durchführen kann. Das heißt, ZFS-Sendefragmente sollten verschlüsselt werden.

Wenn ZoL keine Verschlüsselung unterstützt, gibt es eine elegantere Möglichkeit, als zVols zu erstellen und LUKS + EXT darüber zu verwenden (wodurch viele ZFS-Vorteile verloren gehen)?

zfs encryption zfsonlinux divB
quelle
zfs send | gpgfunktioniert gut. Machen Sie die Dinge nicht komplizierter als nötig.
Michael Hampton
2
Ich würde wahrscheinlich nur meine Backups dort nicht speichern ...
ewwhite
@MichaelHampton: Sie haben Recht, aber andererseits kann ich es nicht auf dem Sicherungsziel empfangen. Die Idee wäre, zfs send zu machen und vollständig mit inkrementellen Snapshots zu arbeiten. Die Snapshots sollten wiederum vom Sicherungsserver an einem anderen Speicherort archiviert werden. Oder funktioniert das auch noch mit GPG? (Übrigens: Ich
gehe
@ewwhite: Vielleicht kennst du mein Setup aber nicht. Auf jeden Fall: Es ist mein eigener Server mit eigenem Laufwerk (dh kein WAN / Internet). Ich möchte weiterhin, dass das Material verschlüsselt wird, da es nicht wie der Server im Server-Rack gespeichert wird.
DivB

Antworten:

9

Noch nicht.

In Arbeit

Unterstützung für ZFS-Krypto · Problem # 494 · zfsonlinux / zfs · GitHub (2011-12-14)

ZFS-Verschlüsselung durch tcaputi · Pull Request # 4329 · zfsonlinux / zfs (11.02.2016) - 593 Teile der Konversation:

ZFS-Verschlüsselung durch tcaputi · Pull Request # 5769 · zfsonlinux / zfs (2017-02-09)

Verweise

Verwalten der ZFS-Datenverschlüsselung (Darren Moffat, Oracle, 2012-07-23)

Native ZFS-Verschlüsselung von Tom Caputi - YouTube (10.10.2016)

Native Verschlüsselung für OpenZFS! zfs create -o encryption = on. Vielen Dank, dass Sie Tom Caputi@datto (Matthew Ahrens, 17.03.2017)

Alternativen zu den laufenden Arbeiten

Wie bereits erwähnt, haben Sie die Möglichkeit, LUKS (Linux Unified Key Setup) unter ZFS unter Linux (ZoL) zu installieren.

Steakunderscore
quelle
Parallele Arbeiten im Gange: Native Daten- und Metadatenverschlüsselung für zfs von lundman · Pull Request # 124 · openzfs / openzfs
Graham Perrin
1
Es ist erwähnenswert, dass Tom Caputis Pull-Request # 5769, der oben verlinkt ist, letztes Jahr zum Master zusammengeführt wurde, aber erst mit 0.8.0 veröffentlicht werden soll (trotz der Tatsache, dass es seit dem Zusammenführen mehrere 0.7.x-Releases gegeben hat: point release
Jules
7

In der Regel ist es für Benutzer von ZoL, die eine Verschlüsselung wünschen, nicht wünschenswert, die Dateien zu verschlüsseln, da Sie sowohl an Leistung als auch an Funktionalität verlieren.

ZFS funktioniert am besten, wenn es sich um das Dateisystem handelt, und nicht, wenn Sie andere darüber legen (Sie können es wieder , aber es ist suboptimal). Dies ist, was encryptfs macht (schichtet ein verschlüsseltes Dateisystem auf ZFS) und genau, warum Sie so viel über LUKS sehen (was umgekehrt funktioniert - es kann ZFS auf einem verschlüsselten Container konfigurieren, der vom Kernel verwaltet wird - Sehr performant für das, was es tut und Sie verlieren keine ZFS-Funktionen.

Unforunately haben wie andere bereits erwähnt, hat zol in der Tat nicht enthält nativen Dateisystem - Verschlüsselung wie in der Oracle - Implementierung zu diesem Zeitpunkt. Sie müssen Ihre Verschlüsselung über (encryptfs) oder unter (LUKS) der ZFS-Magie legen.

Chris Tonkinson
quelle
5

Nein, ZFS unter Linux unterstützt keine native Verschlüsselung. Eine andere Option ist encryptfs , aber zu diesem Zeitpunkt werden Sie keine native Lösung finden.

ewwhite
quelle
Der Beitrag gibt den Grund dafür an, dass Oracle die Quelle nicht freigegeben hat. Aber unterstützt FreeBSD die Verschlüsselung nicht? Dann frage ich mich, warum WoL nicht ... Auf jeden Fall danke für den ecryptfs-Zeiger, ich werde darüber nachdenken ...
divB
Ok, ich sehe nur, dass ecryptfs leider keine ACLs unterstützt. Also keine Option :-(
DivB
1
Ich dachte, ich hätte etwas über die Unterstützung von FreeNAS für verschlüsseltes ZFS gesehen, kann es aber nicht ohne weiteres finden. Das Problem war jedoch, dass FreeNAS nur das FreeBSD-Äquivalent zum Ausführen von ZFS über LUKS verwendet. @divB
ein CVn
2

Unter Arch Linux erhalten zfs-dkms-gitSie derzeit die 0.8.0_rc1Kernel-Module mit nativeVerschlüsselung. Weitere Informationen finden Sie unter Meilenstein für Github 0.8.0 .

  • Beim Erstellen der verschlüsselten Geräte wird die Standardoption verwendet aes-256-ccm. Wenn Sie nicht brauchen, erhalten deduplicationSie eine bessere Leistung mit-o encryption=aes-256-gcm

  • Überprüfen Sie die nativeVerschlüsselungsunterstützung mit:

    grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h

Stuart Cardall
quelle
0

Das Commit wurde zusammengeführt und jetzt unterstützt Version 0.7.1 die native Verschlüsselung unter Linux.

Ural
quelle
Ich habe gerade versucht 0.7.6, und es ist definitiv noch nicht enthalten. Kommentare zu reddit deuten darauf hin, dass es nicht in den 0.7.x-Zweig aufgenommen wird und daher erst freigegeben wird, wenn 0.8.0 freigegeben ist.
Jules