Crittografia con ZFS su Linux


13

ZFS su Linux supporta già la crittografia? In caso contrario, è previsto?

Ho trovato tonnellate di informazioni per ZFS + LUKS ma questo è assolutamente poco interessante: voglio la crittografia ZFS in modo da poter eseguire la replica utilizzando zfs inviando a un server di backup "non attendibile". Cioè, zfs invia frammenti devono essere crittografati.

Se ZoL non supporta la crittografia, esiste un modo più elegante oltre a creare zVols e utilizzare LUKS + EXT su di esso (perdendo molti vantaggi ZFS)?


zfs send | gpgfunziona bene. Non rendere le cose più complicate del necessario.
Michael Hampton

2
Probabilmente non memorizzerei i miei backup lì ...
ewwhite

@MichaelHampton: hai ragione, ma d'altra parte non riesco a riceverlo sulla destinazione di backup. L'idea sarebbe quella di fare in modo che zfs invii e funzioni completamente con istantanee di inchiostro. A sua volta dal server di backup, le istantanee devono essere nuovamente archiviate in un'altra posizione. O funziona ancora anche con GPG? (A proposito: suppongo che gpg pipe non crei molto overhead giusto?)
divB

@ewwhite: Forse ma non conosci la mia configurazione. In ogni caso: è il mio server con la propria unità (ovvero, nessuna WAN / Internet). Voglio ancora che le cose vengano crittografate perché non sono archiviate nel rack del server come lo è il server.
divB

Risposte:


9

Non ancora.

Lavori in corso

Supporto per ZFS Crypto · Numero 494 · zfsonlinux / zfs · GitHub (2011-12-14)

Crittografia ZFS di tcaputi · Richiesta pull # 4329 · zfsonlinux / zfs (11/02/2016) - 593 parti della conversazione, "... troppo grande per essere gestita efficacemente da github ... spostandola in un nuovo PR ..."

Crittografia ZFS di tcaputi · Richiesta pull # 5769 · zfsonlinux / zfs (2017-02-09)

Riferimenti

Come gestire la crittografia dei dati ZFS (Darren Moffat, Oracle, 23/07/2012)

Crittografia nativa ZFS di Tom Caputi - YouTube (10-10-2016)

Crittografia nativa in arrivo su OpenZFS! zfs create -o crittografia = attivo. Grazie Tom Caputi@datto (Matthew Ahrens, 17-03-2017)

Alternative ai lavori in corso

Come altri hanno sottolineato, hai l'opzione LUKS - Linux Unified Key Setup - su ZFS su Linux (ZoL).



1
Vale la pena notare che la richiesta pull # 5769 di Tom Caputi collegata sopra è stata unita al master lo scorso anno, ma non dovrebbe essere rilasciata fino alla 0.8.0 (nonostante il fatto che ci siano state diverse versioni 0.7.x da quando è stata unita: rilascio punto include patch selezionate dalla ciliegia che sono considerate importanti e stabili e la crittografia è considerata troppo importante per essere inclusa in una)
Jules

7

In genere per le persone che usano ZoL che desiderano la crittografia, le crittografie non sono desiderabili perché perdi sia le prestazioni che la funzionalità.

ZFS funziona al meglio quando si tratta del filesystem, non quando si sovrappongono gli altri su di esso (di nuovo, è possibile , ma non è ottimale). Questo è ciò che fa encryptfs (sovrappone un filesystem crittografato sopra ZFS), ed è esattamente il motivo per cui vedi così tanto su LUKS (che funziona al contrario - può configurare ZFS sopra un contenitore crittografato che è gestito dal kernel - molto performante per quello che sta facendo e non perdi alcuna funzionalità ZFS.

Purtroppo, come altri hanno notato, ZoL in realtà non include la crittografia nativa del filesystem come nell'implementazione Oracle in questo momento. Devi sovrapporre la tua crittografia sopra (encryptfs) o sotto (LUKS) la magia di ZFS.


5

No, ZFS su Linux non supporta la crittografia nativa. Un'altra opzione è encryptfs , ma in questo frangente non troverai una soluzione nativa.


Il post afferma che la ragione è che Oracle non ha rilasciato la fonte. Ma FreeBSD non supporta la crittografia? Quindi mi chiedo perché WoL non ... In ogni caso, grazie per il puntatore di ecryptfs ci penserò ...
divB

Ok, vedo solo che ecryptfs non supporta gli ACL purtroppo. Quindi nessuna opzione :-(
divB

1
Pensavo di aver visto qualcosa sul supporto ZFS crittografato di FreeNAS, ma non riesco a trovarlo facilmente. Il risultato è stato, tuttavia, che FreeNAS utilizza solo l'equivalente FreeBSD dell'esecuzione di ZFS su LUKS. @divB
un CVn

2

In Arch Linux l'utilizzo zfs-dkms-gitattualmente ti darà i 0.8.0_rc1moduli del kernel con la nativecrittografia. Vedere Github 0.8.0 Milestone per i progressi.

  • Quando si creano i dispositivi cifrati le opzioni predefinite usi aes-256-ccm. Se non hai bisogno deduplication, otterrai prestazioni migliori usando-o encryption=aes-256-gcm

  • Controlla il nativesupporto per la crittografia con:

    grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h


0

Il commit è stato unito e ora la versione 0.7.1 supporta la crittografia nativa completa su Linux.


Ho appena provato 0.7.6, e sicuramente non è ancora incluso. I commenti su reddit suggeriscono che non verrà unito nel ramo 0.7.xe quindi non verrà rilasciato fino al rilascio di 0.8.0.
Jules
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.