Criptografia com ZFS no Linux

13

O ZFS no Linux já suporta criptografia? Caso contrário, está planejado?

Encontrei muitas informações sobre o ZFS + LUKS, mas isso é absolutamente desinteressante: quero a criptografia ZFS para poder replicar usando o zfs send para um servidor de backup "não confiável". Ou seja, os fragmentos do zfs send devem ser criptografados.

Se o ZoL não suporta criptografia, existe uma maneira mais elegante de criar zVols e usar LUKS + EXT em cima dele (perdendo muitas vantagens do ZFS)?

zfs encryption zfsonlinux divB
fonte
zfs send | gpgfunciona bem. Não torne as coisas mais complicadas do que você precisa.
Michael Hampton
2
Eu provavelmente só não iria armazenar meus backups lá ...
ewwhite
@ MichaelHampton: Você está certo, mas, por outro lado, não posso recebê-lo no destino de backup. A idéia seria fazer o zfs enviar e trabalhar completamente com instantâneos adicionais de tinta. Por sua vez, no servidor de backup, os instantâneos devem ser arquivados novamente em outro local. Ou isso ainda funciona com o GPG também? (BTW: Eu assumo a gpg tubulação não cria muita sobrecarga certo?)
divB
@whwhite: Talvez, mas você não conheça minha configuração. De qualquer forma: é meu próprio servidor com unidade própria (ou seja, sem WAN / internet). Eu ainda quero que o material seja criptografado porque não está armazenado no rack do servidor como o servidor.
divB

Respostas:

9

Ainda não.

Trabalhos em andamento

Suporte ao ZFS Crypto · Edição # 494 · zfsonlinux / zfs · GitHub (2011-12-14)

Criptografia ZFS por tcaputi · Solicitação Pull # 4329 · zfsonlinux / zfs (11-02-2016) - 593 partes da conversa: "... grande demais para o github lidar com eficácia ... movendo-o para um novo PR…"

Criptografia ZFS por tcaputi · Pull Request # 5769 · zfsonlinux / zfs (09-02-2017)

Referências

Como gerenciar a criptografia de dados do ZFS (Darren Moffat, Oracle, 2012-07-23)

Criptografia nativa do ZFS por Tom Caputi - YouTube (10-10-2016)

Criptografia nativa chegando ao OpenZFS! zfs create -o encryption = ativado. Obrigado Tom Caputi@datto (Matthew Ahrens, 17/03/2017)

Alternativas aos trabalhos em andamento

Como outros já apontaram, você tem a opção LUKS - Linux Unified Key Setup - no ZFS no Linux (ZoL).

steakunderscore
fonte
Trabalho paralelo em andamento: criptografia nativa de dados e metadados para zfs por lundman · Solicitação Pull # 124 · openzfs / openzfs
Graham Perrin #
1
Vale ressaltar que a solicitação pull de Tom Caputi # 5769 vinculada acima foi mesclada para master no ano passado, mas não se espera que seja lançada até 0.8.0 (apesar do fato de ter havido várias versões 0.7.x desde que foi mesclada: point release incluir remendos escolhidos a cereja que são considerados importantes e estável, e a encriptação é considerado demasiado grande para ser incluída em um)
Jules
7

Normalmente, para as pessoas que usam o ZoL que desejam criptografia, o encryptfs não é desejável porque você perde desempenho e funcionalidade.

ZFS funciona melhor quando ele é o sistema de arquivos, não quando você camada outros em cima dele (mais uma vez, você pode , mas é abaixo do ideal). É isso que o encryptfs faz (coloca um sistema de arquivos criptografado no ZFS) e exatamente por que você vê tanto o LUKS (que funciona ao contrário - ele pode configurar o ZFS no topo de um contêiner criptografado que é gerenciado pelo kernel - muito bom desempenho pelo que está fazendo e você não perde nenhum recurso do ZFS.

Infelizmente, como outros observaram, o ZoL de fato não inclui a criptografia nativa do sistema de arquivos, como na implementação do Oracle no momento. Você precisa colocar sua criptografia em camadas acima (encryptfs) ou abaixo (LUKS) da mágica do ZFS.

Chris Tonkinson
fonte
5

Não, o ZFS no Linux não suporta criptografia nativa. Outra opção é encryptfs , mas, neste momento, você não encontrará uma solução nativa.

ewwhite
fonte
A publicação afirma que o motivo é que a Oracle não divulgou a fonte. Mas o FreeBSD não suporta a criptografia? Então eu me pergunto por WoL não ... Em qualquer caso, obrigado pela ecryptfs ponteiro vou pensar sobre isso ...
divB
Ok, vejo que o ecryptfs infelizmente não suporta ACLs. Portanto, nenhuma opção :-(
divB 01/07/2014
1
Eu pensei ter visto algo sobre o suporte a ZFS criptografado do FreeNAS, mas não consigo encontrá-lo facilmente. O ponto principal, no entanto, foi que o FreeNAS apenas usa o equivalente do FreeBSD para rodar o ZFS em cima do LUKS. @divB
a CVn
2

No Arch Linux, o uso zfs-dkms-gitatualmente fornece os 0.8.0_rc1módulos do kernel com nativecriptografia. Consulte Github 0.8.0 Milestone para obter progresso.

  • Quando você cria os dispositivos criptografados, a opção padrão usa aes-256-ccm. Se você não precisar deduplication, obterá melhor desempenho usando-o encryption=aes-256-gcm

  • Verifique o nativesuporte à criptografia com:

    grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h

Stuart Cardall
fonte
0

O commit foi mesclado e agora a versão 0.7.1 suporta criptografia nativa completa no linux.

Ural
fonte
Eu apenas tentei 0.7.6, e definitivamente ainda não está incluído. Comentários no reddit sugerem que ele não será mesclado no ramo 0.7.x e, portanto, não será lançado até que o 0.8.0 seja lançado.
Jules