Backup verschluesseltes ZFS-Dataset

midnight

OpenBSD & FreeBSD
Hallo,

ich habe auf meinem Server ein paar verschluesselte ZFS-Datasets mit Jails angelegt. Im laufenden Betrieb sind diese natuerlich entsperrt und gemounted. Wenn ich nun snapshots davon erstelle, sind diese dann auch verschluesselt? Wie sieht es mit zfs send auf einen externen Backupserver aus?

EDIT: Die lokalen snaptshots und die remote backups nach einem zfs send sind scheinbar auch verschluesselt:

Code:
# zfs get encryption zroot/jails/www@2021-04-12_14.51.00--1w
NAME                                     PROPERTY    VALUE        SOURCE
zroot/jails/www@2021-04-12_14.51.00--1w  encryption  aes-256-gcm  -

Siehe auch Example 35: https://docs.oracle.com/cd/E53394_01/html/E54801/gkkih.html#SVZFSgkkof
 
Zuletzt bearbeitet:

Andy_m4

Well-Known Member
Wie sieht es mit zfs send auf einen externen Backupserver aus?
Ich nehme an, wir sprechen hier von OpenZFS.
So wie ich es verstanden hab, geht beides.
Du kannst also ein Dataset direkt verschlüsselt via zfs send rausschreiben ohne den Key zu haben mit Hilfe der Option --raw (-w).
Also zfs send -w mypool/myencrypteddataset@mysnapshot
bzw. zfs send -wR mypool/myencrypteddataset@mysnapshot

siehe auch: https://openzfs.github.io/openzfs-docs/man/8/zfs-send.8.html
 

midnight

OpenBSD & FreeBSD
Ich nehme an, wir sprechen hier von OpenZFS.

Ich denke schon:
Code:
# uname -or
FreeBSD 13.0-RELEASE
# zfs version
zfs-2.0.0-FreeBSD_gf11b09dec
zfs-kmod-2.0.0-FreeBSD_gf11b09dec

So wie ich es verstanden hab, geht beides.
Du kannst also ein Dataset direkt verschlüsselt via zfs send rausschreiben ohne den Key zu haben mit Hilfe der Option --raw (-w).
Also zfs send -w mypool/myencrypteddataset@mysnapshot
bzw. zfs send -wR mypool/myencrypteddataset@mysnapshot

siehe auch: https://openzfs.github.io/openzfs-docs/man/8/zfs-send.8.html

Interessant. Vielen Dank. Das werde ich mal mit der Hetzner-Storagebox ausprobieren. Diese laeuft ja scheinbar auch auf ZFS... hoffentlich auf OpenZFS. ;-)

 

Rakor

Administrator
Teammitglied
Wobei man natürlich wieder darauf hinweisen muss, dass zunächst nur die Nutzdaten verschlüsselt sind und nicht die Metadaten. Datasetname und ähnliches ist natürlich unverschlüsselt. Wenngleich für die meisten Anwendungsfälle sicherlich unkritisch dennoch erwähnenswert.
 
Oben