Crypt ZFS anlegen

Mardor

Mardor

Well-Known Member
Hallo,

ich würde mir gerne einen Container zpool/priv1 anlegen, welcher verschlüsselt sein sollte. Hier sollten meine privaten Daten drin liegen.

Was ist denn hier der beste Weg ?
Habt Ihr hierzu Erfahrungen ?

Geht dies überhaupt, da ich gelesen habe das dies erst ab V 30 gehen soll und FreeBSD V28 ausliefert.

Gruß Mardor
 
OpenZFS wird wahrscheinlich nie Datasets verschlüsseln können. Grund ist, dass der zugehörige Solaris-Code geleakt wurde und jede Entwicklung in die Richtung großen Ärger mit Oracle bedeuten könnte. Wenn es überhaupt jemals kommt, das inkomaptibel zu Oracle. Bis dahin kannst du entweder geli unter den Pool legen oder pefs darüber.
 
Hallo Yamagi,

vielen Dank für die Information.

Bevor ich pefs benutze wäre dann nicht truecrypt ratsamer oder sind hier irgendwelche Probleme bekannt.

Gruß Mardor
 
ich hab bei meinem Laptop das /home dataset auf eine geli partition gelegt. das funktioniert wunderbar, ist ab core i5 hardwarebschleunigt (Modul laden!) und transparent für mich.
 
Yamagi schrieb:
OpenZFS wird wahrscheinlich nie Datasets verschlüsseln können. Grund ist, dass der zugehörige Solaris-Code geleakt wurde und jede Entwicklung in die Richtung großen Ärger mit Oracle bedeuten könnte. Wenn es überhaupt jemals kommt, das inkomaptibel zu Oracle. Bis dahin kannst du entweder geli unter den Pool legen oder pefs darüber.
Zum Vergrößern anklicken....

Das ist ja so nicht ganz korrekt. Es gibt schon einige Komponenten die nach wie vor im SourceCode gezogen werden können.
Man müsste nur mal reinkucken was Oracle in den Source Tarballs/Zips alles freigibt und unter CDDL steht. Wie das juristisch zu bewerten ist, kann ich natürlich absolut nicht beurteilen.

Ob das Illumos Team, eine Variante mit Encryption entwickelt wissen wir auch nicht, aber möglich wär es, steht hinter Illumos doch auch erhebliches kommerzielles Interesse.
 
Es gibt übrigens einen inoffiziellen Zweig mit dem ZFS-Crypto drin: https://github.com/zfsrogue Er enthält den Code aus dem 2011 geleakten Solaris-Source. Einigen wir uns einfach darauf, dass man den Code ohne ein offizielles Statement von Oracle trotz CDDL-Header besser nicht mal mit der Kneifzange anfässt. Denn solange Oracle nicht klar bestätigt, dass dieser Code unter CDDL steht, kann er auch einfach geklaut und eigenmächtig unter CDDL lizensiert worden sein.
 
Hey Yamagi, lass mal auf die von dir verlinkte Lösung näher eingehen.
Dort steht es schwarz auf weiß:
To make it clear, this branch has nothing to do with Sun, Oracle, ZFSOnLinux, OpenSolaris, IllumOS, OpenIndiana, SmartOS, FreeBSD etc.
Zum Vergrößern anklicken....
Ich würde liebend gerne damit experimentieren :)
Meinst du man kriegt das mit der 9.2/10.0 gebacken?
 
Mardor schrieb:
Hallo,
Was ist denn hier der beste Weg ?
Habt Ihr hierzu Erfahrungen ?
Gruß Mardor
Zum Vergrößern anklicken....

Wenn du AESNI Unterstützung hast und das Teil nur selbst hochfährst, kannst du einfach den ganzen pool in ein geli device legen und gptboot verwenden.
Ansonsten mach dir zwei pools, einen unverschlüsselt mit allem drauf und einen, wo du verschlüsselte datasets drin hast.

Ich hab das auf meinem Desktop z.B. so, da ich den manchmal über WoL hochfahre. Mit gpt schaut ada0 bei mir so aus:
Code: 
# gpart list ada1
Geom name: ada1
...
scheme: GPT
Providers:
1. Name: ada1p1
  label: bootcode1
  type: freebsd-boot
...
2.
  label: sys1
  type: freebsd-zfs
...
3. Name: ada1p3
  label: grave1
  type: freebsd-zfs
...

sys1/2 sind bei mir unverschlüsselt und ein ZFS mirror.
grave1/2 sind jeweils einzeln geli devices, die entschlüsselten .eli devices sind dann wieder ein mirror.
Im pool grave liegt u.A. das Heim-Verzeichnis.

Performancenachteile durch die Verschlüsselung merke ich nicht. CPU Last ist im einstelligen Prozentbereich mit AESNI an, wenn ich den Pool auslaste.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben