Mã hóa FreeBSD + ZFS +? Lựa chọn thay thế? Gợi ý?

8

Tôi muốn tạo một máy chủ vật lý chuyên dụng hoạt động như một máy chủ NAS & tệp trong mạng LAN của tôi (cũng như thông qua VPN).

Tuy nhiên tôi cần mã hóa đầy đủ các ổ đĩa (cả ổ đĩa hệ thống và dữ liệu, vì tôi nghĩ rằng tôi sẽ sử dụng hai zpool). Vì mã hóa ZFS không được hỗ trợ trong phiên bản 28, đó là những gì FreeBSD hỗ trợ (và OpenIndiana, Nexenta, ...) nên khả năng duy nhất là sử dụng GELI.

Bây giờ tôi đang suy nghĩ bất cứ khi nào thêm một lớp GELI trên ZFS có thể dẫn đến mất dữ liệu. Một số bài đăng trên internet (mặc dù không nhiều) dường như chỉ ra vấn đề này. Cụ thể, ZFS dường như là một hệ thống tệp vượt trội hơn nhiều so với bất kỳ hệ thống nào khác trong thế giới Unix / Linux (ví dụ ext4, xfs cũng như btrfs) khi xem xét việc tích hợp RAID (Z) và kiểm tra.

Bây giờ việc thêm GELI lên trên đó dường như đối với tôi giống như thêm LUKS trên đầu cài đặt RAID, mặc dù tôi chưa bao giờ trải nghiệm Geli và không biết độ tin cậy của nó. Hiệu suất không phải là vấn đề chính, mặc dù tôi không muốn chuyển 1MB / s trên mạng LAN của mình (mặc dù> 20MB / s sẽ được chấp nhận).

Tôi chưa bao giờ ra khỏi thế giới Linux của mình vì vậy tôi không có kinh nghiệm với các dẫn xuất FreeBSD hoặc Solaris. Tôi không muốn sử dụng Solaris Express 11 vì vấn đề hỗ trợ phải trả tiền (đắt tiền). Đây sẽ là một máy tính ở nhà. Tôi sẽ sẵn sàng học chúng nếu cần thiết.
Máy chủ sẽ cần thực hiện các tác vụ NAS cơ bản (cụ thể là chia sẻ tệp samba / cifs, tôi không cần các tác vụ được tích hợp với các phiên bản ZFS mới hơn).

Sau khi xem xét lớp mã hóa, GELI + ZFS sẽ đáng tin cậy hơn hoặc ít hơn LUKS + LVM + ext4 ? Tôi đã hỏi trong một bài đăng khác về superuser và họ đề xuất FreeBSD / Solaris (es) vì ZFS, mặc dù chúng tôi không nói về mã hóa. Không biết liệu OpenIndiana và lượt thích có hỗ trợ phương thức mã hóa khối như LUKS hoặc GELI không.

Hơn nữa, thật dễ dàng để thêm một đĩa vào mảng, phát triển RAID (Z) và hệ thống tập tin như chúng ta làm trong Linux (ví dụ ở đây )?

freebsd  encryption  zfs 
người dùng51166
nguồn

Câu trả lời:

1

Bạn sẽ có thể sử dụng một trong những nhà cung cấp geom để mã hóa bằng ZFS, nhưng bạn nên mã hóa các thiết bị bên dưới ZFS. Tôi có thể thiết lập geli và sau đó tạo một phân vùng gpt bên trong kiểu freebsd-zfs và sau đó đi từ đó.

Tôi khuyên bạn nên thực sự kiểm tra cả hai giải pháp (freebsd và linux) và quyết định dựa trên thời gian và hiệu suất quản trị viên sys có ý nghĩa đối với bạn.

Luke
nguồn
Từ quan điểm quản trị viên chắc chắn ngay bây giờ đối với tôi linux LUKS + LVM + RAID là con đường để đi. Có lẽ cuối cùng tôi sẽ chỉ làm một Virtualbox để dùng thử như bạn đề xuất. Tôi là một người mới chơi FreeBSD thực sự do đó việc quản trị sẽ khá khó khăn với tôi (ít nhất là lúc đầu). Những gì tôi tìm kiếm là độ tin cậy (không phải hiệu suất). Nó phải là một NAS, mặc dù tôi không mong đợi các màn trình diễn đặc biệt như bão hòa liên kết 1Gbps. Các tập tin phương tiện cũng sẽ ở trên một máy chủ khác. Tuy nhiên, tôi đã có một loạt các máy Linux (chủ yếu là Debian GNU / Linux 64 bit) thực hiện các tác vụ riêng biệt.
dùng51166
Chỉ muốn một số loại "dự phòng" hệ điều hành theo nghĩa là tôi sẽ gặp sự cố do các bản cập nhật làm điều gì đó rất tệ Tôi vẫn có một phần dữ liệu tốt. Vì tôi đang lên kế hoạch cho một máy chủ dự phòng, có lẽ sẽ tốt hơn nếu làm NAS với Linux và máy chủ Sao lưu với FreeBSD / Solaris. Tuy nhiên, có thể là NAS hoặc máy chủ Sao lưu tôi muốn lưu trữ dữ liệu trên máy đó trên HĐH khác với Linux và sử dụng ZFS, nhưng được mã hóa.
dùng51166
1

Solaris 11 hỗ trợ mã hóa riêng trong ZFS. Nếu bạn không bị ràng buộc với BSD, đó là điều cần xem xét. Nó được sử dụng miễn phí cho các mục đích phi sản xuất, vì vậy bạn có thể sử dụng nó tại nhà mà không phải mua giấy phép hỗ trợ.

Để phát triển nhóm của bạn, bạn sẽ cần thêm nhiều vdev hơn, bạn không thể phát triển một loại raidz hoặc loại vdev khác bằng cách thêm nhiều đĩa vào đó. Tuy nhiên, khi bạn bắt đầu thêm nhiều vdevs ZFS sẽ sọc dữ liệu trên chúng và bạn sẽ đạt được một số hiệu suất bổ sung.

Brennan
nguồn
Cảm ơn câu trả lời của bạn. Tôi không bị ràng buộc với BSD (thực tế chưa bao giờ sử dụng nó). Chỉ là tôi gặp vấn đề với Solaris 11, tôi sẽ phải mua hơn 1000 đô la một năm để được hỗ trợ. Hơn nữa, tôi nghĩ rằng bạn đang đề cập đến Solaris 11 Express. Tôi là một sinh viên , tôi không có nhiều tiền như vậy.
user51166
1
Nó không phải là Solaris Express nữa, sau khi 11 xuất hiện, tất cả chỉ là Solaris 11. Tôi sẽ không lo lắng về hợp đồng hỗ trợ, nếu bạn gặp rắc rối với FreeBSD hoặc Linux, bạn sẽ nhận được trợ giúp chứ? Điều tương tự áp dụng cho Solaris.
Brennan
1
Với Linux và FreeBSD tôi có thể nhận trợ giúp (tại đây) hoặc trong các diễn đàn. Với Solaris 11 tôi nên liên hệ và trả tiền cho Oracle (hoặc đó là những gì mọi người nói trên Internet). Hoặc có một cái gì đó là hỗ trợ cộng đồng (miễn phí) trong Solaris?
dùng51166
1

Tôi không nghĩ rằng bạn cần phải lo lắng quá mức về dataloss. Geli trên FreeBSD đã trưởng thành và theo kinh nghiệm của tôi đã được chống đạn. Geli đầu tiên, sau đó ZFS trên đầu trang . Sau đó, bạn có thể sử dụng zpool để xây dựng các nhóm trong bất kỳ cấu hình nào bạn thích - ổ đĩa đơn, gương, RAID-Z, bất cứ thứ gì.

Kinh nghiệm của riêng tôi:

Tôi có một máy chủ gia đình FreeBSD 9 với thiết lập tương tự - hai ổ đĩa, mỗi ổ một zpool. Đó là thiết lập ZFS-on-root - không có UFS. Một ổ đĩa là hệ thống, ổ đĩa kia là dữ liệu. Ổ đĩa dữ liệu có mã hóa toàn bộ đĩa, ổ đĩa hệ thống thì không (mặc dù tôi tin rằng không có lý do gì mà nó không thể - tôi chỉ muốn tránh các biến chứng bổ sung).

Tôi đã sử dụng geli để mã hóa ổ dữ liệu trần. ZFS (đúng, zpool) thấy điều này giống như bất kỳ thiết bị khối nào khác và bạn chỉ cần gọi "zpool tạo ..." theo cách thông thường, và từ đó bạn tạo các bộ dữ liệu zfs trên nhóm theo cách bạn muốn.

Hiệu suất không phải là một vấn đề trong trường hợp sử dụng của tôi. Tôi đang chạy hoàn toàn tốt trên 4GB Atom D520. Có thể không nhanh như chớp (các đĩa chỉ 5200 vòng / phút 2,5 ", cho công suất / tiếng ồn thấp) nhưng tốt cho việc phục vụ mạng gia đình.

Thiết lập này đã chạy mà không có vấn đề trong một vài năm nay.

sim303
nguồn
1

Nếu bạn bỏ mã hóa toàn bộ đĩa (FDE) như LUKS hoặc Geli trên ZFS, bạn sẽ không tận dụng nhiều bộ tính năng của ZFS. Tuy nhiên, nếu bạn đặt ZFS trên FDE, nó sẽ hoạt động.

Gần đây tôi đã được nghe các cuộc thảo luận từ các chuyên gia ZFS của FreeBSD nơi họ đang đề xuất PEFS trên ZFS vì điều này cho phép ZFS vẫn nhìn thấy các tệp riêng lẻ. Có thể các PEFS có thể định cấu hình cho các thư mục và tệp có thể được cấu hình và được đóng gói trong thư viện ZBS FreeBSD trong tương lai.

Mặc dù có các chuyên gia về mật mã khuyến cáo rằng chúng ta không nên phụ thuộc vào mã hóa toàn bộ đĩa, tôi nghĩ trên FreeBSD hoặc Linux, rằng một chiến lược mã hóa khác nhau có thể là một chiến lược hợp lý.

Ví dụ: Đĩa thô -> FDE (Geli / LUKS) -> ZFS -> (cho / nhà) Mã hóa vùng người dùng bằng PEFS hoặc EncFS. Với mô hình này, nếu mã hóa toàn bộ đĩa bị xâm phạm và theo những gì tôi hiểu thì không khó nếu ai đó có tài nguyên và động lực, bạn vẫn sẽ có PEFS / EncFS để bảo vệ các tệp quan trọng nhất của bạn, sẽ khó hơn nhiều nứt.

Timothy C. Quinn
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.