Cryptage avec ZFS sur Linux

13

ZFS sur Linux prend-il déjà en charge le chiffrement? Sinon, est-ce prévu?

J'ai trouvé des tonnes d'informations pour ZFS + LUKS mais c'est absolument inintéressant: je veux le cryptage ZFS pour pouvoir faire la réplication en utilisant zfs send sur un serveur de sauvegarde "non fiable". C'est-à-dire que les fragments d'envoi zfs doivent être chiffrés.

Si ZoL ne prend pas en charge le chiffrement, existe-t-il une manière plus élégante que de créer des zVols et d'utiliser LUKS + EXT par dessus (en perdant de nombreux avantages ZFS)?

zfs encryption zfsonlinux divB
la source
zfs send | gpgfonctionne bien. Ne compliquez pas les choses.
Michael Hampton
2
Je ne voudrais probablement pas y stocker mes sauvegardes ...
ewwhite
@MichaelHampton: Vous avez raison mais d'un autre côté, je ne peux pas le recevoir sur la cible de sauvegarde. L'idée serait de faire des envois zfs et de travailler complètement avec des instantanés incrémentiels. À partir du serveur de sauvegarde, les instantanés doivent à nouveau être archivés vers un autre emplacement. Ou cela fonctionne-t-il également avec GPG? (BTW: Je suppose que le tuyau gpg ne crée pas beaucoup de frais généraux non?)
divB
@ewwhite: Peut-être, mais vous ne connaissez pas ma configuration. Dans tous les cas: c'est mon propre serveur avec son propre lecteur (c'est-à-dire, pas de WAN / Internet). Je veux toujours que le contenu soit crypté car il n'est pas stocké dans le rack du serveur comme le serveur.
divB

Réponses:

9

Pas encore.

Travail en cours

Prise en charge de ZFS Crypto · Numéro 494 · zfsonlinux / zfs · GitHub (2011-12-14)

Cryptage ZFS par tcaputi · Demande de tirage # 4329 · zfsonlinux / zfs (2016-02-11) - 593 parties de la conversation, "... trop gros pour que github gère efficacement ... le déplacer vers un nouveau PR ..."

Chiffrement ZFS par tcaputi · Pull Request # 5769 · zfsonlinux / zfs (2017-02-09)

Les références

Comment gérer le chiffrement des données ZFS (Darren Moffat, Oracle, 2012-07-23)

Chiffrement natif ZFS par Tom Caputi - YouTube (2016-10-10)

Le cryptage natif arrive sur OpenZFS! zfs create -o encryption = on. Merci Tom Caputi@datto (Matthew Ahrens, 2017-03-17)

Alternatives aux travaux en cours

Comme d'autres l'ont souligné, vous avez l'option de LUKS - Linux Unified Key Setup - sur ZFS sur Linux (ZoL).

steakunderscore
la source
Travail parallèle en cours: chiffrement natif des données et des métadonnées pour zfs par lundman · Pull Request # 124 · openzfs / openzfs
Graham Perrin
1
Il convient de noter que la demande de tir # 5769 de Tom Caputi liée ci-dessus a été fusionnée pour maîtriser l'année dernière, mais ne devrait pas être publiée avant la version 0.8.0 (malgré le fait qu'il y ait eu plusieurs versions 0.7.x depuis sa fusion: libération ponctuelle comprennent des correctifs sélectionnés par les cerises qui sont considérés comme importants et stables, et le cryptage est considéré comme trop important pour être inclus dans l'un)
Jules
7

En général, pour les personnes utilisant ZoL qui souhaitent le cryptage, encryptfs n'est pas souhaitable car vous perdez à la fois les performances et la fonctionnalité.

ZFS fonctionne mieux quand il s'agit du système de fichiers, pas lorsque vous en superposez d'autres (encore une fois, vous pouvez , mais ce n'est pas optimal). C'est ce que fait encryptfs (superpose un système de fichiers crypté au-dessus de ZFS), et exactement pourquoi vous voyez tant de choses sur LUKS (qui fonctionne dans l'autre sens - il peut configurer ZFS au-dessus d'un conteneur crypté qui est géré par le noyau - très performant pour ce qu'il fait et vous ne perdez aucune fonctionnalité ZFS.

Malheureusement, comme d'autres l'ont remarqué, ZoL n'inclut en fait pas le cryptage natif du système de fichiers comme dans l'implémentation Oracle pour le moment. Vous devez superposer votre cryptage au-dessus (encryptfs) ou en dessous (LUKS) de la magie ZFS.

Chris Tonkinson
la source
5

Non, ZFS sous Linux ne prend pas en charge le cryptage natif. Une autre option est le cryptage , mais à ce stade, vous n'allez pas trouver de solution native.

ewwhite
la source
Le message indique que la raison en est qu'Oracle n'a pas publié la source. Mais FreeBSD ne prend-il pas en charge le cryptage? Alors je me demande pourquoi WoL ne le fait pas ... En tout cas, merci pour le pointeur ecryptfs j'y penserai ...
divB
Ok, je vois juste qu'ecryptfs ne supporte malheureusement pas les ACL. Donc pas d'option :-(
divB
1
Je pensais avoir vu quelque chose sur la prise en charge de ZFS chiffré par FreeNAS, mais je ne le trouve pas facilement. Cependant, FreeNAS utilise simplement l'équivalent FreeBSD de l'exécution de ZFS sur LUKS. @divB
un CVn le
2

Dans Arch Linux, l'utilisation zfs-dkms-gitvous donnera actuellement les 0.8.0_rc1modules du noyau avec nativecryptage. Voir Github 0.8.0 Milestone pour les progrès.

  • Lorsque vous créez les appareils chiffrés, l' option par défaut utilise aes-256-ccm. Si vous n'en avez pas besoin, deduplicationvous obtiendrez de meilleures performances en utilisant-o encryption=aes-256-gcm

  • Vérifiez la nativeprise en charge du chiffrement avec:

    grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h

Stuart Cardall
la source
0

La validation a été fusionnée et la version 0.7.1 prend désormais en charge le cryptage natif complet sur Linux.

Ural
la source
Je viens d'essayer la 0.7.6, et elle n'est certainement pas encore incluse. Les commentaires sur reddit suggèrent qu'il ne sera pas fusionné dans la branche 0.7.x, et ne sera donc pas publié avant la sortie de 0.8.0.
Jules