Criptografia FreeBSD + ZFS +? Alternativas? Sugestões?

8

Gostaria de criar um servidor físico dedicado que funcione como um servidor de arquivos e NAS dentro da minha LAN (assim como através de VPN).

No entanto, eu preciso criptografar completamente as unidades (tanto as do sistema quanto as de dados, pois acho que vou usar dois zpools). Como a criptografia ZFS não é suportada na versão 28, suportada pelo FreeBSD (e pelo OpenIndiana, Nexenta, ...), a única possibilidade parece ser o uso do GELI.

Agora, estou pensando que a adição de uma camada GELI no ZFS poderia levar à perda de dados. Algumas postagens na internet (embora não muitas) parecem apontar esse problema. Em particular, o ZFS parece ser um sistema de arquivos muito superior ao de qualquer outro no mundo Unix / Linux (por exemplo, ext4, xfs e btrfs), considerando a integração de RAID (Z) e soma de verificação.

Agora, adicionar GELI em cima disso me parece apenas adicionar LUKS em cima de uma configuração de RAID, embora eu nunca tenha experimentado Geli e não conheça sua confiabilidade. O desempenho não é um problema principal, embora eu prefira não ter uma transferência de 1 MB / s na minha LAN (>> 20 MB / s será aceitável).

Eu nunca saí do meu mundo Linux, portanto não tenho experiências com o FreeBSD ou os derivados Solaris. Prefiro não usar o Solaris Express 11 por causa do problema de suporte pago (caro). Este será um computador em casa. Estarei disposto a aprendê-los, se necessário.
O servidor precisará executar tarefas básicas do NAS (em particular o compartilhamento de arquivos samba / cifs, não preciso dos integrados às versões mais recentes do ZFS).

Depois de considerar a camada de criptografia, o GELI + ZFS será mais ou menos confiável que o LUKS + LVM + ext4 ? Eu perguntei em outro post sobre superusuário e eles sugeriram o FreeBSD / Solaris (s) por causa do ZFS, apesar de não falarmos sobre criptografia. Não sei se o OpenIndiana e os similares suportam um método de criptografia de bloco como LUKS ou GELI.

Além disso, será fácil adicionar um disco à matriz, aumentar o RAID (Z) e o sistema de arquivos como fazemos no Linux (por exemplo, aqui )?

freebsd encryption zfs user51166
fonte

Respostas:

1

Você deve poder usar um dos provedores geom para criptografia com o ZFS, mas deve criptografar os dispositivos abaixo do ZFS. Provavelmente, eu configuraria o geli e, em seguida, faria uma partição gpt dentro do tipo freebsd-zfs e depois partir daí.

Eu recomendo que você teste as duas soluções (freebsd e linux) e decida com base no tempo e no desempenho do administrador do sistema, o que faz sentido para você.

Lucas
fonte
Do ponto de vista do administrador, certamente agora para mim o linux LUKS + LVM + RAID é o caminho a percorrer. Talvez no final eu apenas faça um Virtualbox para testá-lo como você sugeriu. Eu sou um novato de verdade no FreeBSD, portanto, a administração será bem difícil para mim (pelo menos no começo). O que procuro é confiabilidade (não desempenho). Tem que ser um NAS, embora eu não espere performances excepcionais, como saturar um link de 1Gbps. Os arquivos de mídia também estarão em outro servidor. No entanto, eu já tenho várias máquinas Linux (principalmente Debian GNU / Linux 64 bits) que fazem tarefas separadas.
user51166
Apenas querendo algum tipo de "redundância" no SO, no sentido de que algum dia eu tenha um problema devido a atualizações que fazem algo muito ruim, eu ainda teria uma boa parte dos meus dados. Como também estou planejando um servidor de backup, talvez seja melhor fazer o NAS com Linux e o servidor de Backup com FreeBSD / Solaris. No entanto, seja no servidor NAS ou Backup, eu gostaria de armazenar dados nessa máquina em um sistema operacional diferente do Linux e usando o ZFS, mas criptografado.
user51166
1

O Solaris 11 suporta criptografia nativa no ZFS. Se você não está ligado ao BSD, é algo a considerar. É gratuito para uso não relacionado à produção, para que você possa usá-lo em casa sem precisar adquirir uma licença de suporte.

Para aumentar seu pool, você precisará adicionar mais vdevs, não poderá aumentar um único raidz ou outro tipo de vdev adicionando mais discos a ele. No entanto, quando você começar a adicionar mais vdevs, o ZFS distribuirá os dados por eles e você obterá um desempenho adicional.

Brennan
fonte
Obrigado pela sua resposta. Não estou ligado ao BSD (na verdade, nunca o usei ainda). Só que, se eu tiver um problema com o Solaris 11, precisaria comprar mais de 1000 dólares por ano para suporte. Além disso, acho que você está se referindo ao Solaris 11 Express. Sou estudante , não tenho muito dinheiro.
user51166
1
Não é mais o Solaris Express, depois que o 11 foi lançado, agora são todos os Solaris 11. Eu não me preocuparia com o contrato de suporte, se você tiver algum problema com o FreeBSD ou Linux, precisará de ajuda? O mesmo se aplica ao Solaris.
Brennan
1
Com o Linux e o FreeBSD eu poderia obter ajuda (aqui) ou em fóruns. Com o Solaris 11, devo entrar em contato e pagar a Oracle (ou é o que as pessoas dizem na Internet). Ou existe algo como suporte comunitário (gratuito) no Solaris?
user51166
1

Eu não acho que você precise se preocupar indevidamente com o dataloss. Geli no FreeBSD é maduro e, na minha experiência, foi à prova de balas. Geli primeiro, depois ZFS por cima . Você pode usar o zpool para criar pools na configuração que desejar - unidade única, espelhos, RAID-Z, qualquer que seja.

Minha própria experiência:

Eu tenho um servidor doméstico FreeBSD 9 com uma configuração semelhante - duas unidades, um zpool em cada uma. É uma configuração do ZFS na raiz - sem UFS. Uma unidade é o sistema, a outra são os dados. A unidade de dados possui criptografia de disco completo, a unidade do sistema não (embora eu acredite que não há motivo para isso não acontecer - eu só queria evitar a complicação adicional).

Eu usei geli para criptografar a unidade de dados nua. O ZFS (estritamente, zpool) vê isso como qualquer outro dispositivo de bloco e você simplesmente chama "zpool create ..." da maneira normal e, a partir daí, cria conjuntos de dados zfs no pool da maneira que desejar.

O desempenho não foi um problema no meu caso de uso. O meu está funcionando perfeitamente bem em um Atom D520 de 4 GB. Provavelmente não é muito rápido (os discos são de apenas 5200rpm 2,5 ", para baixo consumo de energia / ruído), mas são adequados para a rede doméstica.

Esta configuração está sendo executada sem problemas há alguns anos.

sim303
fonte
1

Se você descartar uma criptografia de disco completo (FDE) como LUKS ou Geli no ZFS, não aproveitará tanto o conjunto de recursos do ZFS. No entanto, se você colocar o ZFS no FDE, ele funcionará.

Ultimamente, tenho ouvido discussões de especialistas em ZFS do FreeBSD sobre onde eles recomendam o PEFS no ZFS, pois isso permite que o ZFS ainda veja arquivos individuais. Pode ser possível que o PEFS configurável para pastas e arquivos seja configurável e empacotado na biblioteca ZFS do FreeBSD no futuro.

Embora haja especialistas em criptografia recomendando que não dependamos da criptografia completa do disco, penso no FreeBSD ou Linux, que um encadeamento de diferentes estratégias de criptografia pode ser uma estratégia razoável.

Por exemplo: Disco Bruto -> FDE (Geli / LUKS) -> ZFS -> (para / home) Criptografia de Usuário usando PEFS ou EncFS. Com esse modelo, se a criptografia completa do disco estiver comprometida e, pelo que entendi, não é tão difícil se alguém tiver os recursos e a motivação, você ainda terá o PEFS / EncFS para proteger seus arquivos mais importantes, que serão muito mais difíceis de executar. crack.

Timothy C. Quinn
fonte