Mã hóa với ZFS trên linux

13

ZFS trên Linux đã hỗ trợ Mã hóa chưa? Nếu không, nó có kế hoạch không?

Tôi đã tìm thấy vô số thông tin cho ZFS + LUKS nhưng điều đó hoàn toàn không thú vị: Tôi muốn mã hóa ZFS để tôi có thể sao chép bằng cách sử dụng zfs gửi đến máy chủ sao lưu "không tin cậy". Tức là, zfs gửi các đoạn nên được mã hóa.

Nếu ZoL không hỗ trợ mã hóa, có cách nào thanh lịch hơn ngoài việc tạo zVols và sử dụng LUKS + EXT trên đầu trang (mất nhiều lợi thế của ZFS) không?

zfs  encryption  zfsonlinux 
divB
nguồn
zfs send | gpghoạt động tốt Đừng làm mọi thứ phức tạp hơn bạn phải làm.
Michael Hampton
2
Tôi có lẽ sẽ không lưu trữ các bản sao lưu của mình ở đó ...
ewwhite
@MichaelHampton: Bạn nói đúng nhưng mặt khác tôi không thể nhận được nó trên mục tiêu dự phòng. Ý tưởng sẽ là gửi zfs và làm việc hoàn toàn với các ảnh chụp nhanh. Từ máy chủ dự phòng lần lượt, các ảnh chụp nhanh sẽ được lưu trữ đến một vị trí khác. Hay điều này vẫn còn hoạt động với GPG? (BTW: Tôi cho rằng ống gpg không tạo ra nhiều chi phí phải không?)
divB
@ewwhite: Có thể nhưng bạn không biết thiết lập của tôi. Trong mọi trường hợp: Đó là máy chủ của riêng tôi với ổ đĩa riêng (nghĩa là không có mạng WAN / internet). Tôi vẫn muốn các công cụ được mã hóa bởi vì nó không được lưu trữ trong giá máy chủ như máy chủ.
divB

Câu trả lời:

9

Chưa.

Đang trong quá trình hoàn thiện

Hỗ trợ tiền điện tử ZFS · Vấn đề # 494 · zfsonlinux / zfs · GitHub (2011-12-14)

Mã hóa ZFS bởi tcaputi · Yêu cầu kéo # 4329 · zfsonlinux / zfs (2016/02/11) - 593 phần cho cuộc trò chuyện, " Trò chuyện quá lớn để github xử lý hiệu quả cách di chuyển nó sang PR PR mới"

Mã hóa ZFS bởi tcaputi · Yêu cầu kéo # 5769 · zfsonlinux / zfs (2017 02-09)

Người giới thiệu

Cách quản lý mã hóa dữ liệu ZFS (Darren Moffat, Oracle, 2012-07-23)

Mã hóa bản địa ZFS của Tom Caputi - YouTube (2016-10-10)

Mã hóa bản địa đến với OpenZFS! zfs tạo -o mã hóa = bật. Cảm ơn Tom Caputi@datto (Matthew Ahrens, 2017/03/17)

Giải pháp thay thế cho công trình đang tiến hành

Như những người khác đã chỉ ra, bạn có tùy chọn LUKS - Linux Unified Key Setup - trên ZFS trên Linux (ZoL).

bít tết
nguồn
Graham Perrin
1
Đáng chú ý là yêu cầu kéo của Tom Caputi # 5769 được liên kết ở trên đã được hợp nhất thành chủ năm ngoái, nhưng dự kiến ​​sẽ không được phát hành cho đến 0.8.0 (mặc dù thực tế đã có một số bản phát hành 0.7.x kể từ khi được sáp nhập: phát hành điểm bao gồm các bản vá được chọn bằng cherry được coi là quan trọng và ổn định và mã hóa được coi là quá lớn để được đưa vào một)
Jules
7

Thông thường đối với những người sử dụng ZoL muốn mã hóa, mã hóa không thể mong muốn vì bạn mất cả hiệu suất và tính giả tưởng.

ZFS hoạt động tốt nhất khi là hệ thống tập tin, không phải khi bạn đặt lớp khác lên trên nó (một lần nữa, bạn có thể , nhưng nó không tối ưu). Đây là những gì mã hóa thực hiện (đặt một hệ thống tệp được mã hóa lên trên ZFS) và chính xác lý do tại sao bạn thấy rất nhiều về LUKS (hoạt động theo cách khác - nó có thể định cấu hình ZFS trên một thùng chứa được mã hóa được quản lý bởi kernel - rất hiệu quả cho những gì nó đang làm và bạn không mất bất kỳ tính năng ZFS nào.

Thật không may , như những người khác đã lưu ý, trên thực tế, ZoL không bao gồm mã hóa hệ thống tập tin gốc như trong triển khai Oracle tại thời điểm này. Bạn đã phải mã hóa lớp mã hóa của mình ở trên (mã hóa) hoặc bên dưới (LUKS) phép thuật ZFS.

Chris Tonkinson
nguồn
5

Không, ZFS trên Linux không hỗ trợ mã hóa riêng. Một tùy chọn khác là mã hóa , nhưng tại thời điểm này, bạn sẽ không tìm thấy giải pháp gốc.

ewwhite
nguồn
Bài đăng nêu lý do là Oracle đã không phát hành nguồn. Nhưng FreeBSD không hỗ trợ mã hóa? Sau đó, tôi tự hỏi tại sao WoL không ... Trong mọi trường hợp, cảm ơn con trỏ ecryptfs tôi sẽ nghĩ về nó ...
divB
Ok, tôi chỉ thấy ecryptfs không hỗ trợ ACL không may. Vì vậy, không có tùy chọn :-(
divB
1
Tôi nghĩ rằng tôi đã thấy một cái gì đó về hỗ trợ ZFS được mã hóa của FreeNAS, nhưng không thể tìm thấy nó. Tuy nhiên, điều đáng nói là FreeNAS chỉ sử dụng FreeBSD tương đương với việc chạy ZFS trên LUKS. @divB
CVn
2

Trong Arch Linux, zfs-dkms-githiện tại sẽ cung cấp cho bạn các 0.8.0_rc1mô-đun hạt nhân có nativemã hóa. Xem cột mốc Github 0.8.0 để biết tiến trình.

  • Khi bạn tạo các thiết bị được mã hóa, tùy chọn mặc định sẽ sử dụng aes-256-ccm. Nếu bạn không cần, deduplicationbạn sẽ có hiệu suất tốt hơn bằng cách sử dụng-o encryption=aes-256-gcm

  • Kiểm tra nativehỗ trợ mã hóa với:

    grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h

Stuart Cardall
nguồn
0

Cam kết đã được hợp nhất và hiện tại phiên bản 0.7.1 hỗ trợ mã hóa hoàn toàn trên linux.

Ural
nguồn
Tôi mới thử 0.7.6 và chắc chắn nó chưa được bao gồm. Nhận xét trên reddit đề xuất rằng nó sẽ không được sáp nhập vào nhánh 0.7.x và do đó sẽ không được phát hành cho đến khi 0.8.0 được phát hành.
Jules
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.