FreeBSD + ZFS + Cifrado? ¿Alternativas? Sugerencias?

8

Me gustaría crear un servidor físico dedicado que funcione como NAS y servidor de archivos dentro de mi LAN (así como a través de VPN).

Sin embargo, necesito cifrar completamente las unidades (tanto las del sistema como las de datos, ya que creo que usaré dos zpools). Dado que el cifrado ZFS no es compatible con la versión 28, que es lo que admite FreeBSD (y OpenIndiana, Nexenta, ...), la única posibilidad parece ser utilizar GELI.

Ahora estoy pensando que agregar una capa GELI encima de ZFS podría conducir a la pérdida de datos. Algunas publicaciones en Internet (aunque no muchas) parecen señalar este problema. En particular, ZFS parece ser un sistema de archivos muy superior a cualquier otro en el mundo Unix / Linux (por ejemplo, ext4, xfs y btrfs) considerando la integración de RAID (Z) y suma de comprobación.

Ahora agregar GELI encima de eso me parece igual que agregar LUKS encima de una configuración RAID, aunque nunca experimenté Geli y no sé su confiabilidad. El rendimiento no es un problema principal, aunque prefiero no tener una transferencia de 1 MB / s en mi LAN (sin embargo,> 20 MB / s serán aceptables).

Nunca salí de mi mundo Linux, así que no tengo experiencia con FreeBSD o los derivados de Solaris. Prefiero no usar Solaris Express 11 debido al problema de soporte pagado (costoso). Esta será una computadora en casa. Estaré dispuesto a aprenderlos si es necesario.
El servidor deberá realizar tareas básicas de NAS (en particular, compartir archivos samba / cifs, no necesito las integradas con las versiones más recientes de ZFS).

Después de considerar la capa de cifrado, ¿ será GELI + ZFS más o menos confiable que LUKS + LVM + ext4 ? Pregunté en otra publicación sobre superusuario y sugirieron FreeBSD / Solaris (s) debido a ZFS, aunque no hablamos sobre cifrado. No sé si OpenIndiana y otros similares admiten un método de cifrado de bloque como LUKS o GELI.

Además, ¿será fácil agregar un disco a la matriz, hacer crecer el RAID (Z) y el sistema de archivos como lo hacemos en Linux (por ejemplo, aquí )?

freebsd encryption zfs usuario51166
fuente

Respuestas:

1

Debería poder utilizar uno de los proveedores de geom para el cifrado con ZFS, pero debe cifrar los dispositivos debajo del ZFS. Probablemente configuraría geli y luego haría una partición gpt dentro del tipo freebsd-zfs y luego iría desde allí.

Le recomiendo que pruebe ambas soluciones (freebsd y linux) y decida según el tiempo de administración del sistema y el rendimiento que tenga sentido para usted.

Luke
fuente
Desde el punto de vista del administrador seguramente ahora mismo para mí, Linux LUKS + LVM + RAID es el camino a seguir. Tal vez al final solo haga un Virtualbox para probarlo como sugirió. Soy un verdadero novato de FreeBSD, por lo tanto, la administración será bastante difícil para mí (al menos al principio). Lo que busco es confiabilidad (no rendimiento). Tiene que ser un NAS, aunque no espero actuaciones excepcionales como saturar un enlace de 1 Gbps. Los archivos multimedia también estarán en otro servidor. Sin embargo, ya tengo un montón de máquinas Linux (principalmente Debian GNU / Linux 64 bits) que realizan tareas separadas.
user51166
Solo queriendo algún tipo de "redundancia" del sistema operativo en el sentido de que si alguna vez tuviera un problema debido a que las actualizaciones hacen algo muy malo, todavía tendría una buena parte de mis datos. Como también estoy planeando un servidor de respaldo, tal vez sea mejor hacer el NAS con Linux y el servidor de respaldo con FreeBSD / Solaris. Sin embargo, ya sea el NAS o el servidor de respaldo, me gustaría almacenar datos en esa máquina en un sistema operativo diferente a Linux y usando ZFS, pero cifrado.
user51166
1

Solaris 11 admite el cifrado nativo dentro de ZFS. Si no está atado a BSD, es algo a considerar. Es de uso gratuito para usos que no son de producción, por lo que puede usarlo en casa sin tener que comprar una licencia de soporte.

Para hacer crecer su grupo, necesitará agregar más vdevs, no puede hacer crecer un solo raidz u otro tipo de vdev agregando más discos. Sin embargo, una vez que comience a agregar más vdevs, ZFS distribuirá datos entre ellos y obtendrá un rendimiento adicional.

Brennan
fuente
Gracias por tu respuesta No estoy atado a BSD (de hecho, nunca lo usé todavía). Es solo que si tuviera un problema con Solaris 11, tendría que comprar más de 1000 $ al año para obtener asistencia. Además, creo que te refieres a Solaris 11 Express. Soy estudiante , no tengo tanto dinero.
user51166
1
Ya no es Solaris Express, después de que salió 11, ahora es solo Solaris 11. No me preocuparía el contrato de soporte, si te encuentras con problemas con FreeBSD o Linux ¿vas a obtener ayuda? Lo mismo se aplica a Solaris.
Brennan
1
Con Linux y FreeBSD podría obtener ayuda (aquí) o en foros. Con Solaris 11 debo contactar y pagar a Oracle (o eso es lo que la gente dice en Internet de todos modos). ¿O hay algo como soporte comunitario (gratuito) en Solaris?
user51166
1

No creo que debas preocuparte demasiado por los datos. Geli en FreeBSD es maduro y en mi experiencia ha sido a prueba de balas. Geli primero, luego ZFS en la parte superior . Luego puede usar zpool para construir grupos en la configuración que desee: unidad única, espejos, RAID-Z, lo que sea.

Mi propia experiencia:

Tengo un servidor doméstico FreeBSD 9 con una configuración similar: dos unidades, una zpool en cada una. Es una configuración de ZFS en la raíz, sin UFS. Una unidad es el sistema, la otra son los datos. La unidad de datos tiene encriptación de disco completo, la unidad del sistema no (aunque creo que no hay razón para que no pueda hacerlo, solo quería evitar la complicación adicional).

Usé geli para cifrar la unidad de datos desnuda. ZFS (estrictamente, zpool) ve esto como cualquier otro dispositivo de bloque y simplemente llama "zpool create ..." de la manera normal, y desde allí crea conjuntos de datos zfs en el pool como desee.

El rendimiento no ha sido un problema en mi caso de uso. El mío funciona perfectamente bien en un Atom D520 de 4GB. Probablemente no a la velocidad del rayo (los discos son solo 5200 rpm 2.5 ", para baja potencia / ruido) pero están bien para el servicio de red doméstica.

Esta configuración se ha estado ejecutando sin problemas durante un par de años.

sim303
fuente
1

Si coloca un cifrado de disco completo (FDE) como LUKS o Geli en ZFS, no aprovechará la mayor parte del conjunto de características de ZFS. Sin embargo, si pones ZFS en FDE funcionará.

Últimamente he estado escuchando discusiones de expertos de FreeBSD ZFS donde recomiendan PEFS en ZFS ya que esto permite que ZFS siga viendo archivos individuales. Es posible que PEFS que es configurable para carpetas y archivos sea configurable y esté incluido en la biblioteca FreeBSD ZFS en el futuro.

Aunque hay expertos en criptografía que recomiendan que no dependamos del cifrado completo del disco, creo que en FreeBSD o Linux, encadenar diferentes estrategias de cifrado puede ser una estrategia razonable.

Por ejemplo: Raw Disk -> FDE (Geli / LUKS) -> ZFS -> (for / home) Userland Encryption usando PEFS o EncFS. Con este modelo, si el cifrado de disco completo se ve comprometido, y por lo que entiendo, no es tan difícil si alguien tiene los recursos y la motivación, todavía tendrá el PEFS / EncFS para proteger sus archivos más importantes, lo que será mucho más difícil de manejar. grieta.

Timothy C. Quinn
fuente