FreeBSD + ZFS + Encryption? Alternative? Suggerimenti?

8

Vorrei creare un server fisico dedicato che funzionerà come NAS e fileserver all'interno della mia LAN (oltre che tramite VPN).

Tuttavia ho bisogno di crittografare completamente le unità (sia quelle di sistema che quelle dei dati, poiché penso che userò due zpool). Poiché la crittografia ZFS non è supportata nella versione 28, che è ciò che supporta FreeBSD (e OpenIndiana, Nexenta, ...) l'unica possibilità sembra essere quella di usare GELI.

Ora sto pensando che l'aggiunta di un livello GELI sopra ZFS potrebbe portare alla perdita di dati. Alcuni post su Internet (anche se non molti) sembrano evidenziare questo problema. In particolare, ZFS sembra essere un filesystem di gran lunga superiore rispetto a qualsiasi altro nel mondo Unix / Linux (ad esempio ext4, xfs e btrfs) considerando l'integrazione di RAID (Z) e checksumming.

Ora aggiungere GELI oltre a questo mi sembra proprio come aggiungere LUKS sopra un'impostazione RAID, anche se non ho mai provato Geli e non ne conosco l'affidabilità. Le prestazioni non sono un problema principale, anche se preferirei non avere un trasferimento di 1 MB / s sulla mia LAN (> 20 MB / s saranno comunque accettabili).

Non sono mai uscito dal mio mondo Linux, quindi non ho esperienze con FreeBSD o i derivati ​​Solaris. Preferirei non usare Solaris Express 11 a causa del problema di supporto pagato (costoso). Questo sarà un computer a casa. Sarò disposto a impararli se necessario.
Il server dovrà eseguire le attività di base del NAS (in particolare la condivisione di file samba / cifs, non ho bisogno di quelle integrate con le nuove versioni di ZFS).

Dopo aver considerato il livello di crittografia, GELI + ZFS sarà più o meno affidabile di LUKS + LVM + ext4 ? Ho chiesto in un altro post su superutente e hanno suggerito FreeBSD / Solaris (es) a causa di ZFS, anche se non abbiamo parlato di crittografia. Non so se OpenIndiana e simili supportano un metodo di crittografia a blocchi come LUKS o GELI.

Inoltre sarà facile aggiungere un disco all'array, far crescere il RAID (Z) e il filesystem come facciamo in Linux (per esempio qui )?

freebsd  encryption  zfs 
user51166
fonte

Risposte:

1

Dovresti essere in grado di utilizzare uno dei provider di geom per la crittografia con ZFS, ma devi crittografare i dispositivi sotto lo ZFS. Probabilmente installerei geli e poi creerei una partizione gpt all'interno di tipo freebsd-zfs e poi vado da lì.

Ti consiglio di testare entrambe le soluzioni (freebsd e linux) e decidere in base al tempo e alle prestazioni dell'amministratore di sistema che ha senso per te.

Luca
fonte
Da un punto di vista amministrativo sicuramente in questo momento per me Linux LUKS + LVM + RAID è la strada da percorrere. Forse alla fine farò semplicemente un Virtualbox per provarlo come mi hai suggerito. Sono un vero principiante di FreeBSD quindi l'amministrazione sarà piuttosto difficile per me (almeno all'inizio). Quello che cerco è l'affidabilità (non le prestazioni). Deve essere un NAS, anche se non mi aspetto prestazioni eccezionali come saturare un collegamento a 1 Gbps. I file multimediali saranno anche su un altro server. Tuttavia ho già un sacco di macchine Linux (principalmente Debian GNU / Linux 64 bit) che svolgono compiti separati.
user51166,
Volevo solo una sorta di "ridondanza" del sistema operativo, nel senso che dovrei mai avere un problema a causa degli aggiornamenti che fanno qualcosa di molto brutto, avrei comunque una buona porzione dei miei dati. Dato che sto pianificando anche un server di backup, forse sarà meglio fare il NAS con Linux e il server di backup con FreeBSD / Solaris. Comunque sia che sia il NAS o il server di backup, vorrei archiviare i dati su quella macchina su un sistema operativo diverso da Linux e utilizzando ZFS, ma crittografato.
user51166,
1

Solaris 11 supporta la crittografia nativa all'interno di ZFS. Se non sei legato a BSD è qualcosa da considerare. È gratuito per usi non produttivi, quindi puoi utilizzarlo a casa senza dover acquistare una licenza di supporto.

Per far crescere il tuo pool dovrai aggiungere più vdev, non puoi far crescere un singolo raidz o un altro tipo di vdev aggiungendo più dischi. Tuttavia, una volta che inizi ad aggiungere altri vdevs ZFS eseguirà lo striping dei dati su di essi e otterrai prestazioni aggiuntive.

Brennan
fonte
Grazie per la tua risposta Non sono legato a BSD (in realtà non l'ho ancora usato). È solo che se dovessi avere un problema con Solaris 11 dovrei comprare oltre 1000 $ all'anno per il supporto. Inoltre penso che ti riferisci a Solaris 11 Express. Sono uno studente , non ho tanti soldi.
user51166,
1
Non è più Solaris Express, dopo che 11 è uscito è solo tutto Solaris 11 ora. Non mi preoccuperei del contratto di supporto, se avessi problemi con FreeBSD o Linux avresti bisogno di aiuto? La stessa cosa vale per Solaris.
Brennan,
1
Con Linux e FreeBSD ho potuto ottenere aiuto (qui) o nei forum. Con Solaris 11 dovrei contattare e pagare Oracle (o questo è quello che la gente dice comunque su Internet). O esiste qualcosa come supporto della community (gratuito) in Solaris?
user51166,
1

Non penso che ti debba preoccupare indebitamente della perdita di dati. Geli su FreeBSD è maturo e nella mia esperienza è stato a prova di proiettile. Prima Geli, poi ZFS in cima . È quindi possibile utilizzare zpool per creare pool in qualsiasi configurazione desiderata: unità singola, mirror, RAID-Z, qualunque cosa.

La mia esperienza:

Ho un server di casa FreeBSD 9 con una configurazione simile - due dischi, uno zpool su ciascuno. È un'installazione ZFS-on-root - nessun UFS. Un'unità è il sistema, l'altra sono i dati. L'unità dati ha la crittografia dell'intero disco, mentre l'unità di sistema no (anche se credo non ci sia motivo per cui non sia possibile - volevo solo evitare l'ulteriore complicazione).

Ho usato Geli per crittografare l'unità di dati nudo. ZFS (rigorosamente, zpool) vede questo come qualsiasi altro dispositivo a blocchi e tu chiami semplicemente "zpool create ..." nel modo normale, e da lì in poi crei set di dati zfs sul pool come preferisci.

Le prestazioni non sono state un problema nel mio caso d'uso. Il mio funziona perfettamente su un Atom D520 da 4 GB. Probabilmente non fulmineo (i dischi sono solo 5200 giri / min 2,5 ", per bassa potenza / rumore) ma vanno bene per servire la rete domestica.

Questo set-up funziona senza problemi da un paio d'anni ormai.

sim303
fonte
1

Se si rilascia una crittografia del disco completo (FDE) come LUKS o Geli su ZFS, non si sfrutterà gran parte del set di funzionalità di ZFS. Tuttavia, se metti ZFS su FDE funzionerà.

Ho ascoltato discussioni di esperti di FreeBSD ZFS di recente in cui stanno raccomandando PEFS su ZFS in quanto ciò consente a ZFS di vedere ancora i singoli file. Potrebbe essere possibile che PEFS configurabile per cartelle e file sia configurabile e in bundle nella libreria ZFS di FreeBSD in futuro.

Sebbene ci siano esperti di crittografia che raccomandano di non dipendere dalla crittografia completa del disco, penso su FreeBSD o Linux, che concatenare diverse strategie di crittografia potrebbe essere una strategia ragionevole.

Ad esempio: Raw Disk -> FDE (Geli / LUKS) -> ZFS -> (per / home) Userland Encryption usando PEFS o EncFS. Con questo modello, se la crittografia dell'intero disco è compromessa e da quello che capisco non è così difficile se qualcuno ha le risorse e la motivazione, avrai ancora PEFS / EncFS per proteggere i tuoi file più importanti che saranno molto più difficili da crepa.

Timothy C. Quinn
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.