Cifrado con ZFS en Linux

13

¿ZFS en Linux ya es compatible con el cifrado? Si no, ¿está planeado?

Encontré toneladas de información para ZFS + LUKS, pero eso no es nada interesante: quiero el cifrado ZFS para poder hacer la replicación mediante el envío de zfs a un servidor de respaldo "no confiable". Es decir, los fragmentos de envío zfs deben estar encriptados.

Si ZoL no es compatible con el cifrado, ¿hay alguna forma más elegante que no sea crear zVols y usar LUKS + EXT además (perdiendo muchas ventajas de ZFS)?

zfs encryption zfsonlinux divB
fuente
zfs send | gpgfunciona bien. No compliques las cosas más de lo necesario.
Michael Hampton
2
Probablemente no almacenaría mis copias de seguridad allí ...
ewwhite
@MichaelHampton: Tienes razón pero, por otro lado, no puedo recibirlo en el objetivo de respaldo. La idea sería hacer zfs enviar y trabajar completamente con instantáneas inkremental. A su vez, desde el servidor de respaldo, las instantáneas deben archivarse nuevamente en otra ubicación. ¿O esto todavía funciona con GPG también? (Por cierto: supongo que la tubería gpg no crea mucha sobrecarga, ¿verdad?)
divB
@ewwhite: Quizás pero no conoces mi configuración. En cualquier caso: es mi propio servidor con disco propio (es decir, sin WAN / internet). Todavía quiero que las cosas se cifren porque no se almacenan en el bastidor del servidor como lo está el servidor.
divB

Respuestas:

9

Aún no.

Trabajos en progreso

Soporte de Crypto de ZFS · Problema # 494 · zfsonlinux / zfs · GitHub ( 14/12/2011 )

Cifrado ZFS por tcaputi · Solicitud de extracción # 4329 · zfsonlinux / zfs (2016-02-11) - 593 partes de la conversación, "... demasiado grande para que Github lo maneje de manera efectiva ... moviéndolo a un nuevo PR ..."

Encriptación ZFS por tcaputi · Solicitud de extracción # 5769 · zfsonlinux / zfs (2017-02-09)

Referencias

Cómo administrar el cifrado de datos ZFS (Darren Moffat, Oracle, 2012-07-23)

Cifrado nativo ZFS por Tom Caputi - YouTube (10-10-2016)

¡El cifrado nativo llega a OpenZFS! zfs create -o encryption = activado. Gracias Tom Caputi@datto (Matthew Ahrens, 2017-03-17)

Alternativas a los trabajos en progreso.

Como otros han señalado, tiene la opción de LUKS - Configuración de clave unificada de Linux - en ZFS en Linux (ZoL).

bistec
fuente
Trabajo paralelo en progreso: cifrado de metadatos y datos nativos para zfs por lundman · Solicitud de extracción # 124 · openzfs / openzfs
Graham Perrin
1
Vale la pena señalar que la solicitud de extracción de Tom Caputi # 5769 vinculada anteriormente se fusionó para dominar el año pasado, pero no se espera que se lance hasta 0.8.0 (a pesar del hecho de que ha habido varias versiones 0.7.x desde que se fusionó: lanzamiento de punto incluye parches seleccionados por cereza que se consideran importantes y estables, y el cifrado se considera demasiado importante para ser incluido en uno)
Julio
7

Por lo general, para las personas que usan ZoL que desean cifrado, encryptfs no es deseable porque pierde tanto el rendimiento como la funcionalidad.

ZFS funciona mejor cuando se es el sistema de archivos, no cuando superponer a otros en la parte superior de la misma (de nuevo, se puede , pero es subóptima). Esto es lo que hace encryptfs (pone un sistema de archivos encriptado encima de ZFS), y exactamente por qué ves tanto sobre LUKS (que funciona al revés: puede configurar ZFS en la parte superior de un contenedor encriptado que es administrado por el núcleo) muy eficiente para lo que está haciendo y no pierde ninguna característica de ZFS.

Desafortunadamente, como otros han señalado, ZoL de hecho no incluye el cifrado del sistema de archivos nativo, como en la implementación de Oracle en este momento. Tienes que superponer tu encriptación arriba (encryptfs) o debajo (LUKS) de la magia ZFS.

Chris Tonkinson
fuente
5

No, ZFS en Linux no es compatible con el cifrado nativo. Otra opción es encryptfs , pero en este momento, no vas a encontrar una solución nativa.

ewwhite
fuente
La publicación indica que la razón es que Oracle no ha publicado la fuente. Pero, ¿FreeBSD no admite el cifrado? Entonces me pregunto por qué no se WoL ... En cualquier caso, gracias por los ecryptfs puntero voy a pensar en ello ...
divB
Ok, solo veo que ecryptfs no admite ACL desafortunadamente. Así que no hay opción :-(
divB
1
Pensé que había visto algo sobre el soporte ZFS cifrado de FreeNAS, pero no puedo encontrarlo fácilmente. Sin embargo, la conclusión fue que FreeNAS solo usa el equivalente de FreeBSD de ejecutar ZFS sobre LUKS. @divB
un CVn
2

En Arch Linux, zfs-dkms-gitusará actualmente los 0.8.0_rc1módulos del núcleo con nativecifrado. Ver Github 0.8.0 Milestone para el progreso.

  • Cuando crea los dispositivos encriptados, se usa la opción predeterminadaaes-256-ccm . Si no lo necesita deduplication, obtendrá un mejor rendimiento utilizando-o encryption=aes-256-gcm

  • Verifique el nativesoporte de cifrado con:

    grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h

Stuart Cardall
fuente
0

La confirmación se fusionó y ahora la versión 0.7.1 admite el cifrado nativo completo en Linux.

Ural
fuente
Acabo de probar 0.7.6, y definitivamente todavía no está incluido. Los comentarios en reddit sugieren que no se fusionará en la rama 0.7.x y, por lo tanto, no se lanzará hasta que se publique 0.8.0.
Jules