Шифрування за допомогою ZFS на Linux

13

Чи підтримує ZFS в Linux вже шифрування? Якщо ні, то планується?

Я знайшов багато інформації для ZFS + LUKS, але це абсолютно нецікаво: я хочу шифрування ZFS, щоб я міг робити реплікацію, використовуючи zfs, надісланий на "ненадійний" резервний сервер. Тобто, zfs відправляють фрагменти повинні бути зашифровані.

Якщо ZoL не підтримує шифрування, чи є більш елегантний спосіб, крім створення zVols та використання LUKS + EXT поверх нього (втрачаючи багато переваг ZFS)?

zfs  encryption  zfsonlinux 
divB
джерело
zfs send | gpgпрацює добре. Не робіть справи складнішими, ніж вам доведеться.
Майкл Хемптон
2
Я, певно, просто не хотів би зберігати там свої резервні копії ...
ewwhite
@MichaelHampton: Ви маєте рацію, але тоді, з іншого боку, я не можу отримати це на резервну ціль. Ідея полягала б у тому, щоб zfs надсилала та працювала повністю з інкрементальними знімками. По черзі з резервного сервера знімки знову потрібно архівувати в інше місце. Або це все ще працює з GPG? (BTW: Я припускаю, що gpg труба не створює великих накладних прав?)
divB
@ewwhite: Можливо, але ти не знаєш моїх налаштувань. У будь-якому випадку: це мій власний сервер із власним накопичувачем (тобто без WAN / Інтернету). Я все ще хочу, щоб цей матеріал був зашифрований, оскільки він не зберігається в серверній стійці, як це сервер.
divB

Відповіді:

9

Ще ні.

Робота триває

Підтримка криптофайлів ZFS · Випуск № 494 · zfsonlinux / zfs · GitHub (2011-12-14)

Шифрування ZFS від tcaputi · Затягніть запит № 4329 · zfsonlinux / zfs (2016-02-11) - 593 частини до розмови, "... занадто великий для того, щоб Github міг ефективно працювати ... переміщуючи його до нового PR ..."

Шифрування ZFS від tcaputi · Затягнути запит № 5769 · zfsonlinux / zfs (2017-02-09)

Список літератури

Як керувати шифруванням даних ZFS (Даррен Моффат, Oracle, 2012-07-23)

Нативне шифрування ZFS від Тома Капуті - YouTube (2016-10-10)

Рідне шифрування, що надходить до OpenZFS! zfs створює -o шифрування = увімкнено. Дякую Тому Капуті@datto (Matthew Ahrens, 2017-03-17)

Альтернативи незавершеним роботам

Як зазначали інші, у вас є можливість LUKS - Linux Unified Key Setup - на ZFS в Linux (ZoL).

steakunderscore
джерело
Грем Перрін
1
Варто зауважити, що запит на виклик Тома Капуті № 5769, пов'язаний вище, був об'єднаний у минулий рік, але не очікується, що він буде випущений до 0.8.0 (незважаючи на те, що з моменту об'єднання було кілька версій 0.7.x: точковий реліз включіть вишневі патчі, які вважаються важливими та стабільними, а шифрування вважається занадто важливим, щоб його можна було включити в один)
Жюль
7

Зазвичай для людей, які використовують ZoL, які хочуть шифрувати, шифрування не бажано, оскільки ви втрачаєте як продуктивність, так і працездатність.

ZFS найкраще працює, коли це файлова система, а не коли ви накладаєте інші поверх неї (знову ж, ви можете , але це неоптимально). Це те, що шифрує (шари зашифрованої файлової системи поверх ZFS), і саме тому ви бачите так багато про LUKS (що працює навпаки - він може налаштувати ZFS поверх шифрованого контейнера, яким керує ядро ​​- дуже вдосконалює те, що робить, і ви не втрачаєте жодних функцій ZFS.

Як не зазначають інші, ZoL насправді не включає шифрування файлової системи, наприклад, у реалізацію Oracle. Ви повинні розшаровувати ваше шифрування вище (encryptfs) або нижче (LUKS) магія ZFS.

Кріс Тонкінсон
джерело
5

Ні, ZFS в Linux не підтримує нативне шифрування. Інший варіант - це шифрування , але на цьому етапі ви не збираєтеся знайти власне рішення.

ewwhite
джерело
У публікації зазначено, що причина в тому, що Oracle не випустив джерело. Але чи не підтримує FreeBSD шифрування? Тоді мені цікаво, чому WoL не робить ... У будь-якому випадку, дякую за вказівник ecryptfs, я подумаю про це ...
divB
Гаразд, я просто бачу, що ecryptfs, на жаль, не підтримує ACL. Тож жодного варіанту :-(
divB
1
Я думав, що бачив щось про зашифровану підтримку ZFS від FreeNAS, але не можу її легко знайти. Однак його захист полягав у тому, що FreeNAS просто використовує FreeBSD-еквівалент запуску ZFS поверх LUKS. @divB
CVn
2

В Arch Linux використання на zfs-dkms-gitданий момент надасть вам 0.8.0_rc1модулі ядра з nativeшифруванням. Дивіться про Github 0.8.0 віху про прогрес.

  • При створенні зашифрованих ПРИСТРОЇВ параметрів по замовчуванням використовує aes-256-ccm. Якщо вам це не потрібно, deduplicationви отримаєте кращі показники використання-o encryption=aes-256-gcm

  • Перевірте nativeпідтримку шифрування за допомогою:

    grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h

Стюарт Кардалл
джерело
0

Комітет був об'єднаний і тепер версія 0.7.1 підтримує повне нативне шифрування на Linux.

Уральський
джерело
Я тільки що спробував 0.7.6, і він точно не входить ще. Коментарі щодо reddit дозволяють припустити, що він не буде об'єднаний у відділення 0.7.x, а тому не буде випущений доти, доки не буде випущено 0.8.0.
Жуль
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.