Enkripsi FreeBSD + ZFS +? Alternatif? Saran?

8

Saya ingin membuat server fisik khusus yang akan berfungsi sebagai NAS & server file di dalam LAN saya (dan juga melalui VPN).

Namun saya harus sepenuhnya mengenkripsi drive (baik yang sistem dan yang data, karena saya pikir saya akan menggunakan dua zpool). Karena enkripsi ZFS tidak didukung di versi 28 yang didukung FreeBSD (dan OpenIndiana, Nexenta, ...), satu-satunya kemungkinan adalah menggunakan GELI.

Sekarang saya berpikir kapan menambahkan lapisan GELI di atas ZFS dapat menyebabkan hilangnya data. Beberapa posting di internet (meskipun tidak banyak) tampaknya menunjukkan masalah ini. Secara khusus, ZFS tampaknya menjadi sistem file yang jauh lebih unggul daripada yang lain di dunia Unix / Linux (misalnya ext4, xfs dan juga btrfs) mempertimbangkan integrasi RAID (Z) dan checksumming.

Sekarang menambahkan GELI di atas yang menurut saya seperti menambahkan LUKS di atas pengaturan RAID, meskipun saya tidak pernah mengalami Geli dan tidak tahu keandalannya. Kinerja bukan masalah utama, meskipun saya lebih suka tidak memiliki transfer 1MB / s pada LAN saya (> 20MB / s akan dapat diterima).

Saya tidak pernah keluar dari dunia Linux saya jadi saya tidak punya pengalaman dengan FreeBSD atau turunan Solaris. Saya lebih suka tidak menggunakan Solaris Express 11 karena masalah dukungan berbayar (mahal). Ini akan menjadi komputer di rumah. Saya akan bersedia mempelajarinya jika perlu.
Server perlu melakukan tugas-tugas dasar NAS (khususnya berbagi file samba / cif, saya tidak perlu yang terintegrasi dengan versi ZFS yang lebih baru).

Setelah mempertimbangkan lapisan enkripsi, apakah GELI + ZFS akan lebih atau kurang dapat diandalkan daripada LUKS + LVM + ext4 ? Saya bertanya dalam posting lain tentang pengguna super dan mereka menyarankan FreeBSD / Solaris (es) karena ZFS, meskipun kami tidak berbicara tentang enkripsi. Tidak tahu apakah OpenIndiana dan sejenisnya mendukung metode enkripsi blok seperti LUKS atau GELI.

Lebih jauh lagi akan mudah untuk menambahkan disk ke array, menumbuhkan RAID (Z) dan sistem file seperti yang kita lakukan di Linux (misalnya di sini )?

freebsd encryption zfs pengguna51166
sumber

Jawaban:

1

Anda harus dapat menggunakan salah satu penyedia geom untuk enkripsi dengan ZFS, tetapi Anda harus mengenkripsi perangkat di bawah ZFS. Saya mungkin akan men-setup geli dan kemudian membuat partisi gpt di dalam tipe freebsd-zfs dan kemudian pergi dari sana.

Saya sarankan Anda benar-benar menguji kedua solusi (freebsd dan linux) dan memutuskan berdasarkan waktu dan kinerja sys admin yang masuk akal untuk Anda.

Luke
sumber
Dari sudut pandang admin tentunya saat ini bagi saya linux LUKS + LVM + RAID adalah cara untuk pergi. Mungkin pada akhirnya saya hanya akan melakukan Virtualbox untuk mencobanya seperti yang Anda sarankan. Saya seorang pemula FreeBSD nyata karena itu administrasi akan sangat sulit bagi saya (setidaknya pada awalnya). Yang saya cari adalah reliabilitas (bukan kinerja). Itu harus menjadi NAS, meskipun saya tidak mengharapkan kinerja yang luar biasa seperti menjenuhkan tautan 1Gbps. File media akan berada di server lain juga. Namun saya sudah memiliki banyak mesin Linux (kebanyakan Debian GNU / Linux 64 bit) yang melakukan tugas terpisah.
user51166
Hanya menginginkan semacam "redundansi" OS dalam arti yang seharusnya saya punya masalah karena pembaruan melakukan sesuatu yang sangat buruk saya masih memiliki sebagian data saya. Karena saya sedang merencanakan server cadangan juga mungkin akan lebih baik untuk melakukan NAS dengan Linux dan server cadangan dengan FreeBSD / Solaris. Namun baik itu NAS atau server Cadangan saya ingin menyimpan data pada mesin itu pada OS yang berbeda dari Linux dan menggunakan ZFS, tetapi dienkripsi.
user51166
1

Solaris 11 mendukung enkripsi asli dalam ZFS. Jika Anda tidak terikat dengan BSD, itu sesuatu yang perlu dipertimbangkan. Ini gratis untuk digunakan untuk penggunaan non-produksi, sehingga Anda dapat menggunakannya di rumah tanpa harus membeli lisensi dukungan.

Untuk menumbuhkan kumpulan Anda, Anda perlu menambahkan lebih banyak vdev, Anda tidak bisa menumbuhkan raidz tunggal atau tipe vdev lainnya dengan menambahkan lebih banyak disk ke dalamnya. Namun, begitu Anda mulai menambahkan lebih banyak vdevs ZFS akan menghapus data di dalamnya dan Anda akan mendapatkan beberapa kinerja tambahan.

Brennan
sumber
Terima kasih atas jawaban Anda. Saya tidak terikat dengan BSD (sebenarnya belum pernah menggunakannya). Hanya saja seandainya saya memiliki masalah dengan Solaris 11 saya harus membeli lebih dari $ 1000 setahun untuk dukungan. Selain itu saya pikir Anda mengacu pada Solaris 11 Express. Saya seorang siswa , saya tidak punya banyak uang.
user51166
1
Ini bukan Solaris Express lagi, setelah 11 keluar itu semua Solaris 11 sekarang. Saya tidak akan khawatir tentang kontrak dukungan, jika Anda mengalami masalah dengan FreeBSD atau Linux apakah Anda akan mendapatkan bantuan? Hal yang sama berlaku untuk Solaris.
Brennan
1
Dengan Linux dan FreeBSD saya bisa mendapatkan bantuan (di sini) atau di forum. Dengan Solaris 11, saya harus menghubungi dan membayar Oracle (atau apa yang orang katakan di Internet). Atau adakah dukungan komunitas (gratis) di Solaris?
user51166
1

Saya tidak berpikir Anda perlu terlalu khawatir tentang dataloss. Geli di FreeBSD sudah matang dan menurut pengalaman saya anti peluru. Pertama Geli, lalu ZFS di atas . Anda kemudian dapat menggunakan zpool untuk membangun kumpulan dalam konfigurasi apa pun yang Anda suka - drive tunggal, mirror, RAID-Z, apa pun.

Pengalaman saya sendiri:

Saya memiliki server rumah FreeBSD 9 dengan pengaturan serupa - dua drive, satu zpool di masing-masing. Ini adalah pengaturan ZFS-on-root - tanpa UFS. Satu drive adalah sistem, yang lainnya adalah data. Drive data memiliki enkripsi disk penuh, drive sistem tidak (walaupun saya percaya tidak ada alasan mengapa tidak bisa - saya hanya ingin menghindari komplikasi tambahan).

Saya menggunakan geli untuk mengenkripsi drive data telanjang. ZFS (tepatnya, zpool) melihat ini sama seperti perangkat blok lainnya dan Anda cukup memanggil "zpool create ..." dengan cara biasa, dan dari sana Anda membuat dataset zfs di pool sesuai keinginan Anda.

Kinerja belum menjadi masalah dalam kasus penggunaan saya. Milik saya bekerja dengan sangat baik pada Atom D520 4GB. Mungkin tidak cepat kilat (disk hanya 5200rpm 2,5 ", untuk daya rendah / noise) tetapi baik untuk melayani jaringan rumah.

Pengaturan ini telah berjalan tanpa masalah selama beberapa tahun sekarang.

sim303
sumber
1

Jika Anda menjatuhkan enkripsi disk penuh (FDE) seperti LUKS atau Geli di ZFS, Anda tidak akan memanfaatkan sebanyak set fitur ZFS. Namun, jika Anda meletakkan ZFS di FDE itu akan berfungsi.

Saya telah mendengar diskusi dari para ahli FreeBSD ZFS akhir-akhir ini di mana mereka merekomendasikan PEFS pada ZFS karena ini memungkinkan ZFS untuk tetap melihat file individual. Dimungkinkan bahwa PEFS yang dapat dikonfigurasi untuk folder dan file dapat dikonfigurasi dan digabungkan dalam pustaka FreeBSD ZFS di masa depan.

Meskipun ada ahli kriptografi merekomendasikan agar kita tidak bergantung pada enkripsi disk penuh, saya pikir pada FreeBSD atau Linux, bahwa rantai strategi enkripsi yang berbeda mungkin merupakan strategi yang masuk akal.

Sebagai contoh: Raw Disk -> FDE (Geli / LUKS) -> ZFS -> (untuk / home) Enkripsi Userland menggunakan PEFS atau EncFS. Dengan model ini, jika enkripsi disk penuh terganggu, dan dari apa yang saya pahami tidak sulit jika seseorang memiliki sumber daya dan motivasi, Anda masih akan memiliki PEFS / EncFS untuk melindungi file terpenting Anda yang akan jauh lebih sulit untuk dilakukan. retak.

Timothy C. Quinn
sumber