Czy ZFS w systemie Linux już obsługuje szyfrowanie? Jeśli nie, czy jest to planowane?
Znalazłem mnóstwo informacji na temat ZFS + LUKS, ale to absolutnie nieciekawe: chcę szyfrowania ZFS, aby móc wykonywać replikację za pomocą wysyłania zfs na „niezaufany” serwer kopii zapasowych. To znaczy, fragmenty wysyłane przez ZFS powinny być szyfrowane.
Jeśli ZoL nie obsługuje szyfrowania, czy istnieje bardziej elegancki sposób niż tworzenie zVols i używanie na nim LUKS + EXT (tracąc wiele zalet ZFS)?
zfs
encryption
zfsonlinux
divB
źródło
źródło
zfs send | gpg
działa dobrze. Nie komplikuj rzeczy bardziej niż musisz.Odpowiedzi:
Jeszcze nie.
Prace w toku
Obsługa szyfrowania ZFS · Numer 494 · zfsonlinux / zfs · GitHub ( 14.12.2011 )
Szyfrowanie ZFS przez tcaputi · Pull Request # 4329 · zfsonlinux / zfs (2016-02-11) - 593 części do rozmowy, „… zbyt duże, aby github mógł skutecznie sobie poradzić… przeniesienie go do nowego PR…”
Szyfrowanie ZFS przez tcaputi · Pull Request # 5769 · zfsonlinux / zfs (2017-02-09)
Bibliografia
Jak zarządzać szyfrowaniem danych ZFS (Darren Moffat, Oracle, 2012-07-23)
ZFS Native Encryption by Tom Caputi - YouTube (10.10.2016)
Natywne szyfrowanie w OpenZFS! zfs create -o encryption = on. Dziękuję Tom Caputi
@datto
(Matthew Ahrens, 17.03.2017)Alternatywy dla trwających prac
Jak zauważyli inni, masz opcję LUKS - Linux Unified Key Setup - na ZFS na Linux (ZoL).
źródło
Zwykle dla osób używających ZoL, które chcą szyfrować, szyfrowanie nie jest pożądane, ponieważ tracisz zarówno wydajność, jak i funkcjonalność.
ZFS działa najlepiej, gdy to jest system plików, a nie innym, kiedy warstwa na wierzchu (ponownie, to może , ale to suboptimal). To właśnie robi encryptfs (nakłada zaszyfrowany system plików na ZFS) i właśnie dlatego tak dużo widzisz o LUKS (który działa na odwrót - może skonfigurować ZFS na zaszyfrowanym kontenerze zarządzanym przez jądro - bardzo wydajny pod względem tego, co robi i nie tracisz żadnych funkcji ZFS.
Na nieszczęście, jak zauważyli inni, ZoL w rzeczywistości nie obejmuje natywnego szyfrowania systemu plików, takiego jak obecnie w implementacji Oracle. Musisz warstwować swoje szyfrowanie powyżej (encryptfs) lub poniżej (LUKS) magii ZFS.
źródło
Nie, ZFS w systemie Linux nie obsługuje natywnego szyfrowania. Inną opcją jest encryptfs , ale w tym momencie nie znajdziesz natywnego rozwiązania.
źródło
W Arch Linux przy użyciu
zfs-dkms-git
daje obecnie0.8.0_rc1
moduły jądra znative
szyfrowaniem. Postępy znajdziesz w punkcie kontrolnym Github 0.8.0 .Podczas tworzenia zaszyfrowanych urządzeń używana jest domyślna opcja
aes-256-ccm
. Jeśli nie potrzebujeszdeduplication
, uzyskasz lepszą wydajność przy użyciu-o encryption=aes-256-gcm
Sprawdź
native
obsługę szyfrowania za pomocą:grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h
źródło
Zatwierdzenie zostało scalone, a teraz wersja 0.7.1 obsługuje pełne natywne szyfrowanie w systemie Linux.
źródło