Szyfrowanie za pomocą ZFS na Linuksie

13

Czy ZFS w systemie Linux już obsługuje szyfrowanie? Jeśli nie, czy jest to planowane?

Znalazłem mnóstwo informacji na temat ZFS + LUKS, ale to absolutnie nieciekawe: chcę szyfrowania ZFS, aby móc wykonywać replikację za pomocą wysyłania zfs na „niezaufany” serwer kopii zapasowych. To znaczy, fragmenty wysyłane przez ZFS powinny być szyfrowane.

Jeśli ZoL nie obsługuje szyfrowania, czy istnieje bardziej elegancki sposób niż tworzenie zVols i używanie na nim LUKS + EXT (tracąc wiele zalet ZFS)?

zfs encryption zfsonlinux divB
źródło
zfs send | gpgdziała dobrze. Nie komplikuj rzeczy bardziej niż musisz.
Michael Hampton
2
Prawdopodobnie po prostu nie przechowałbym tam swoich kopii zapasowych ...
ewwhite
@MichaelHampton: Masz rację, ale z drugiej strony nie mogę go odebrać w celu tworzenia kopii zapasowych. Pomysł polegałby na tym, aby ZFs wysyłał i działał całkowicie z inkrementalnymi migawkami. Z kolei z serwera kopii zapasowych migawki powinny być ponownie zarchiwizowane w innej lokalizacji. Czy to też działa z GPG? (BTW: Zakładam, że rura gpg nie powoduje dużego obciążenia, prawda?)
divB
@ewwhite: Może, ale nie znasz mojej konfiguracji. W każdym razie: To mój własny serwer z własnym dyskiem (tzn. Brak sieci WAN / Internetu). Nadal chcę, aby rzeczy były szyfrowane, ponieważ nie są przechowywane w szafie serwerowej tak jak serwer.
divB

Odpowiedzi:

9

Jeszcze nie.

Prace w toku

Obsługa szyfrowania ZFS · Numer 494 · zfsonlinux / zfs · GitHub ( 14.12.2011 )

Szyfrowanie ZFS przez tcaputi · Pull Request # 4329 · zfsonlinux / zfs (2016-02-11) - 593 części do rozmowy, „… zbyt duże, aby github mógł skutecznie sobie poradzić… przeniesienie go do nowego PR…”

Szyfrowanie ZFS przez tcaputi · Pull Request # 5769 · zfsonlinux / zfs (2017-02-09)

Bibliografia

Jak zarządzać szyfrowaniem danych ZFS (Darren Moffat, Oracle, 2012-07-23)

ZFS Native Encryption by Tom Caputi - YouTube (10.10.2016)

Natywne szyfrowanie w OpenZFS! zfs create -o encryption = on. Dziękuję Tom Caputi@datto (Matthew Ahrens, 17.03.2017)

Alternatywy dla trwających prac

Jak zauważyli inni, masz opcję LUKS - Linux Unified Key Setup - na ZFS na Linux (ZoL).

steakunderscore
źródło
Równoległe prace w toku: natywne szyfrowanie danych i metadanych dla zfs przez lundman · Pull Request # 124 · openzfs / openzfs
Graham Perrin
1
Warto zauważyć, że żądanie ściągnięcia Toma Caputi nr 5769 połączone powyżej zostało połączone w master w zeszłym roku, ale nie powinno zostać wydane do wersji 0.8.0 (pomimo faktu, że od czasu połączenia było kilka wersji 0.7.x: wydanie punktowe obejmują wybrane przez siebie łatki, które są uważane za ważne i stabilne, a szyfrowanie jest uważane za zbyt duże, aby mogło zostać uwzględnione w jednym)
Jules,
7

Zwykle dla osób używających ZoL, które chcą szyfrować, szyfrowanie nie jest pożądane, ponieważ tracisz zarówno wydajność, jak i funkcjonalność.

ZFS działa najlepiej, gdy to jest system plików, a nie innym, kiedy warstwa na wierzchu (ponownie, to może , ale to suboptimal). To właśnie robi encryptfs (nakłada zaszyfrowany system plików na ZFS) i właśnie dlatego tak dużo widzisz o LUKS (który działa na odwrót - może skonfigurować ZFS na zaszyfrowanym kontenerze zarządzanym przez jądro - bardzo wydajny pod względem tego, co robi i nie tracisz żadnych funkcji ZFS.

Na nieszczęście, jak zauważyli inni, ZoL w rzeczywistości nie obejmuje natywnego szyfrowania systemu plików, takiego jak obecnie w implementacji Oracle. Musisz warstwować swoje szyfrowanie powyżej (encryptfs) lub poniżej (LUKS) magii ZFS.

Chris Tonkinson
źródło
5

Nie, ZFS w systemie Linux nie obsługuje natywnego szyfrowania. Inną opcją jest encryptfs , ale w tym momencie nie znajdziesz natywnego rozwiązania.

ewwhite
źródło
W poście podano przyczynę tego, że Oracle nie opublikowało źródła. Ale czy FreeBSD nie obsługuje szyfrowania? Zastanawiam się, dlaczego WoL nie ... W każdym razie dzięki za wskaźnik ecryptfs pomyślę o tym ...
divB
Ok, po prostu widzę, że ecryptfs nie obsługuje ACL niestety. Więc nie ma opcji :-(
divB
1
Myślałem, że widziałem coś o obsłudze szyfrowanego ZFS FreeNAS, ale nie mogę tego łatwo znaleźć. Odmowa była jednak taka, że ​​FreeNAS po prostu korzysta z odpowiednika FreeBSD uruchamiania ZFS na LUKS. @divB
CVn
2

W Arch Linux przy użyciu zfs-dkms-gitdaje obecnie 0.8.0_rc1moduły jądra z nativeszyfrowaniem. Postępy znajdziesz w punkcie kontrolnym Github 0.8.0 .

  • Podczas tworzenia zaszyfrowanych urządzeń używana jest domyślna opcjaaes-256-ccm . Jeśli nie potrzebujesz deduplication, uzyskasz lepszą wydajność przy użyciu-o encryption=aes-256-gcm

  • Sprawdź nativeobsługę szyfrowania za pomocą:

    grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h

Stuart Cardall
źródło
0

Zatwierdzenie zostało scalone, a teraz wersja 0.7.1 obsługuje pełne natywne szyfrowanie w systemie Linux.

Ural
źródło
Właśnie próbowałem 0.7.6 i na pewno nie jest jeszcze uwzględniony. Komentarze do reddit sugerują, że nie zostanie on scalony z gałęzią 0.7.x, a zatem nie zostanie wydany do czasu wydania wersji 0.8.0.
Jules