Шифрование с ZFS на Linux

13

ZFS в Linux уже поддерживает шифрование? Если нет, планируется ли это?

Я нашел тонны информации для ZFS + LUKS, но это абсолютно неинтересно: я хочу шифрование ZFS, чтобы я мог выполнять репликацию с помощью отправки zfs на «ненадежный» сервер резервного копирования. Т.е. отправляемые фрагменты zfs должны быть зашифрованы.

Если ZoL не поддерживает шифрование, есть ли более элегантный способ, кроме создания zVols и использования поверх него LUKS + EXT (теряя многие преимущества ZFS)?

zfs encryption zfsonlinux DIVB
источник
zfs send | gpgработает хорошо. Не усложняй вещи, чем нужно.
Майкл Хэмптон
2
Я , наверное , просто не будет хранить мои подпорки там ...
ewwhite
@MichaelHampton: Вы правы, но с другой стороны, я не могу получить его по резервной цели. Идея состоит в том, чтобы zfs отправлял и работал полностью с инкрементальными снимками. С сервера резервного копирования, в свою очередь, снимки должны быть снова заархивированы в другое место. Или это все еще работает с GPG тоже? (Кстати: я полагаю, что gpg pipe не создает больших накладных расходов, верно?)
divB
@ewwhite: Может быть, но вы не знаете мои настройки. В любом случае: это мой собственный сервер с собственным диском (т.е. без WAN / интернета). Я все еще хочу, чтобы материал был зашифрован, потому что он не хранится в стойке сервера, как сервер.
DivB

Ответы:

9

Еще нет.

Работа в процессе

Поддержка ZFS Crypto · Выпуск № 494 · zfsonlinux / zfs · GitHub (2011-12-14)

Шифрование ZFS от tcaputi · Запрос на получение # 4329 · zfsonlinux / zfs (2016-02-11) - 593 части к разговору: «… слишком большой, чтобы github мог справиться эффективно… перенести его на новый PR…»

Шифрование ZFS от tcaputi · Запрос извлечения # 5769 · zfsonlinux / zfs (2017-02-09)

Ссылки

Как управлять шифрованием данных ZFS (Даррен Моффат, Oracle, 2012-07-23)

Собственное шифрование ZFS Тома Капути - YouTube (2016-10-10)

Собственное шифрование в OpenZFS! zfs create -o encryption = on. Спасибо, Том Капути@datto (Мэтью Аренс, 2017-03-17)

Альтернативы незавершенным работам

Как уже отмечали другие, у вас есть опция LUKS - Настройка унифицированного ключа Linux - на ZFS в Linux (ZoL).

steakunderscore
источник
Параллельная работа в процессе: собственное шифрование данных и метаданных для zfs от lundman · Запрос на извлечение # 124 · openzfs / openzfs
Грэм Перрин,
1
Стоит отметить, что запрос на извлечение Тома Капути № 5769, связанный выше, был объединен с master в прошлом году, но ожидается, что он не будет выпущен до 0.8.0 (несмотря на то, что с момента объединения было выпущено несколько версий 0.7.x: точечный выпуск включают выбранные вишневые патчи, которые считаются важными и стабильными, а шифрование считается слишком важным, чтобы включать его в один)
Жюль
7

Обычно для пользователей, использующих ZoL, которым требуется шифрование, encryptfs нежелателен, поскольку вы теряете как производительность, так и функциональность.

ZFS работает лучше всего, когда это файловая система, а не когда вы накладываете поверх нее другие слои (опять же, вы можете , но это неоптимально). Это то, что делает encryptfs (слои зашифрованной файловой системы поверх ZFS), и именно поэтому вы так много видите о LUKS (который работает наоборот - он может настроить ZFS поверх зашифрованного контейнера, который управляется ядром). очень эффективно для того, что он делает, и вы не теряете никаких функций ZFS.

К сожалению, как уже отмечали другие, ZoL фактически не включает встроенное шифрование файловой системы, такое как в реализации Oracle в настоящее время. Вы должны наложить слой шифрования выше (encryptfs) или ниже (LUKS) магии ZFS.

Крис Тонкинсон
источник
5

Нет, ZFS в Linux не поддерживает встроенное шифрование. Другой вариант - encryptfs , но на данном этапе вы не найдете собственного решения.

ewwhite
источник
В сообщении говорится, что причина в том, что Oracle не выпустил источник. Но разве FreeBSD не поддерживает шифрование? Тогда мне интересно, почему WoL не ... В любом случае, спасибо за указатель ecryptfs, я подумаю об этом ...
divB
Хорошо, я просто вижу, что ecryptfs не поддерживает ACL, к сожалению. Так что без вариантов :-(
divB
1
Я думал, что видел что-то о поддержке FreeFS в зашифрованном ZFS, но не могу с готовностью найти это. Однако он взял тот факт, что FreeNAS просто использует FreeBSD, эквивалентный запуску ZFS поверх LUKS. @divB
CVn
2

В Arch Linux использование в zfs-dkms-gitнастоящее время даст вам 0.8.0_rc1модули ядра с nativeшифрованием. См. Github 0.8.0 Milestone для прогресса.

Стюарт Кардалл
источник
0

Коммит был объединен, и теперь версия 0.7.1 поддерживает полное встроенное шифрование в Linux.

Урал
источник
Я только что попробовал 0.7.6, и он пока точно не включен. Комментарии к reddit предполагают, что он не будет объединен с веткой 0.7.x и поэтому не будет выпущен до выпуска 0.8.0.
Жюль