Enkripsi dengan ZFS di linux

13

Apakah ZFS di Linux sudah mendukung Enkripsi? Jika tidak, apakah sudah direncanakan?

Saya menemukan banyak info untuk ZFS + LUKS tetapi itu sama sekali tidak menarik: Saya ingin enkripsi ZFS sehingga saya dapat melakukan replikasi menggunakan zfs yang dikirim ke server cadangan "yang tidak dipercaya". Yaitu, zfs mengirim fragmen harus dienkripsi.

Jika Zool tidak mendukung enkripsi, adakah cara yang lebih elegan selain membuat zVols dan menggunakan LUKS + EXT di atasnya (kehilangan banyak keunggulan ZFS)?

zfs encryption zfsonlinux divB
sumber
zfs send | gpgbekerja dengan baik. Jangan membuat hal-hal lebih rumit dari yang seharusnya.
Michael Hampton
2
Saya mungkin tidak akan menyimpan cadangan saya di sana ...
ewwhite
@MichaelHampton: Anda benar tetapi kemudian di sisi lain saya tidak dapat menerimanya pada target cadangan. Idenya adalah untuk melakukan zfs mengirim dan bekerja sepenuhnya dengan snapshot inkremental. Dari server cadangan pada gilirannya, foto-foto itu harus diarsipkan lagi ke lokasi lain. Atau apakah ini masih bekerja dengan GPG juga? (BTW: Saya berasumsi untuk pipa gpg tidak membuat banyak overhead kan?)
divB
@ewwhite: Mungkin tetapi Anda tidak tahu pengaturan saya. Dalam hal apapun: Ini adalah server saya sendiri dengan drive sendiri (yaitu, tidak ada WAN / internet). Saya masih ingin barang dienkripsi karena tidak disimpan di rak server seperti server.
divB

Jawaban:

9

Belum.

Pekerjaan sedang berlangsung

Dukungan ZFS Crypto · Edisi # 494 · zfsonlinux / zfs · GitHub (2011-12-14)

Enkripsi ZFS oleh tcaputi · Tarik Permintaan # 4329 · zfsonlinux / zfs (2016-02-11) - 593 bagian dalam percakapan, "... terlalu besar untuk ditangani github secara efektif ... memindahkannya ke PR baru ..."

Enkripsi ZFS oleh tcaputi · Permintaan Tarik # 5769 · zfsonlinux / zfs (2017-02-09)

Referensi

Cara Mengelola Enkripsi Data ZFS (Darren Moffat, Oracle, 2012-07-23)

Enkripsi Asli ZFS oleh Tom Caputi - YouTube (2016-10-10)

Enkripsi asli datang ke OpenZFS! zfs create -o encryption = on. Terima kasih Tom Caputi@datto (Matthew Ahrens, 2017-03-17)

Alternatif untuk karya yang sedang berlangsung

Seperti yang telah ditunjukkan orang lain, Anda memiliki opsi LUKS - Linux Unified Key Setup - di ZFS di Linux (ZoL).

steakunderscore
sumber
Pekerjaan paralel yang sedang berjalan: Data asli dan enkripsi metadata untuk zfs oleh lundman · Permintaan Tarik # 124 · openzfs / openzfs
Graham Perrin
1
Patut dicatat bahwa permintaan tarik Tom Caputi # 5769 yang ditautkan di atas telah digabungkan untuk dikuasai tahun lalu, tetapi tidak diharapkan akan dirilis hingga 0.8.0 (meskipun faktanya ada beberapa rilis 0.7.x sejak digabung: titik rilis termasuk patch yang dipetik cherry yang dianggap penting dan stabil, dan enkripsi dianggap terlalu utama untuk dimasukkan dalam satu)
Jules
7

Biasanya untuk orang-orang yang menggunakan ZOL yang menginginkan enkripsi, enkripsi tidak diinginkan karena Anda kehilangan kinerja dan fungsionalitas.

ZFS bekerja paling baik ketika itu adalah sistem file, bukan ketika Anda melapisi orang lain di atasnya (sekali lagi, Anda bisa , tapi itu di bawah optimal). Inilah yang dilakukan oleh enkripsi (melapisi sistem file terenkripsi di atas ZFS), dan persis mengapa Anda melihat begitu banyak tentang LUKS (yang bekerja sebaliknya - ia dapat mengonfigurasi ZFS di atas wadah terenkripsi yang dikelola oleh kernel - sangat performan untuk apa yang dilakukannya dan Anda tidak kehilangan fitur ZFS.

Sayangnya, seperti yang telah dicatat oleh orang lain, ZoL sebenarnya tidak memasukkan enkripsi sistem file asli seperti dalam implementasi Oracle saat ini. Anda harus melapisi enkripsi Anda di atas (enkripsi) atau di bawah (LUKS) sihir ZFS.

Chris Tonkinson
sumber
5

Tidak, ZFS di Linux tidak mendukung enkripsi asli. Pilihan lain adalah enkripsi , tetapi pada saat ini, Anda tidak akan menemukan solusi asli.

putih
sumber
Pos menyatakan alasannya adalah bahwa Oracle belum merilis sumbernya. Tetapi bukankah FreeBSD mendukung enkripsi? Maka saya bertanya-tanya mengapa WoL tidak ... Dalam hal apapun, terima kasih untuk pointer ecryptfs saya akan memikirkannya ...
divB
Ok, saya hanya melihat ecryptfs tidak mendukung ACL sayangnya. Jadi tidak ada pilihan :-(
divB
1
Saya pikir saya telah melihat sesuatu tentang dukungan terenkripsi-ZFS FreeNAS, tetapi tidak dapat dengan mudah menemukannya. Namun, yang diambil adalah FreeNAS hanya menggunakan setara FreeBSD menjalankan ZFS di atas LUKS. @divB
a CVn
2

Di Arch Linux using zfs-dkms-gitsaat ini akan memberi Anda 0.8.0_rc1modul kernel dengan nativeenkripsi. Lihat Github 0.8.0 Milestone untuk kemajuan.

  • Saat Anda membuat perangkat terenkripsi, opsi default akan digunakan aes-256-ccm. Jika Anda tidak perlu, deduplicationAnda akan mendapatkan kinerja yang lebih baik menggunakan-o encryption=aes-256-gcm

  • Periksa nativedukungan enkripsi dengan:

    grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h

Stuart Cardall
sumber
0

Komit telah digabung dan sekarang versi 0.7.1 mendukung enkripsi asli penuh di linux.

Ural
sumber
Saya baru saja mencoba 0.7.6, dan sudah pasti belum termasuk. Komentar pada reddit menunjukkan bahwa itu tidak akan digabung ke cabang 0.7.x, dan karena itu tidak akan dirilis sampai 0.8.0 dirilis.
Jules