FreeBSD 11: ZFS-Pool mit GELI verschlüsseln

[Sickboy]

Hallo allerseits,

ich hatte meine Workstation platt gemacht, um von UFS2 nach ZFS wechseln zu können. Bei der Installation von FreeBSD 11 habe ich ZFS mit Full Encryption auf der SSD ausgewählt. Funktioniert einwandfrei. Nun habe ich aber noch zwei HDDs in der Workstation, die ich gerne mit einem verschlüsselten Mirror-Pool betreiben möchte -- am besten mit dem Key der SSD, so dass ich bei Booten nur 1x Passphrase eingeben muss.

Hat da jemand schon Erfahrungen mit?

 

[Rakor]

Afaik versucht das System den Key, den du beim booten eingibst, auf allen Geli Devices anzuwenden. Wenn du den selben Key vergibst sollte das also funktionieren.

 

[Sickboy]

Wie kann ich bei GELI denn festlegen, dass nur eine Passphrase und kein Key File benutzt werden soll?

Edit: … in dem man einfach kein Key File angibt. Warum kompliziert, wenn es auch einfach geht. Die Man Page hätte aber auch drauf hinweisen können.

Edit 2: Man sollte das -b bei GELI nicht vergessen … Funktioniert jetzt problemlos.

 

[max_1A]

Hallo Sickboy !

Ich bin neu hier und glaube, das vor dem gleichen Problem zu stehen ...

Kannst Du mir mal bitte, Schritt für Schritt angeben, wie ich, nach der Installation von freeBSD eine zusätzliche Platte per zpool initialisieren und zusätzlich verschlüsseln kann?

Vielen Dank für Deine Hilfe!
Beste Grüße,
Max.

 

[Sickboy]

Aus dem Gedächtnis (ungetestet):

# gpart create -s gpt da0
# gpart add -t freebsd-zfs -a 4096 da0
# kldload geom_eli
# geli init -b -s 4096 /dev/da0
# geli attach /dev/da0
# zpool create storage /dev/da0.eli

Device noch in /etc/rc.conf eintragen:

geli_devices="da0"

 

[kira12]

Hallo,

in die rc.conf sollte rein:

geli_devices="da0"
geli_da0_flags="-p da0.key"

wobei ich dir empfehle da0 per gpt o.ä. Label anzusprechen. Es kann sein das bei flags -p oder -k benutzt wird.

Gruß ré

UPDATE: ganz wichtig noch geli_autodetach="NO" in die rc.conf zu setzen.

 

[max_1A]

... vielen Dank - werde ich so versuchen ...

Beste Grüße,
Max.

 

[max_1A]

... sensationell - Ihr seid die grössten ... !!!

Damit habe ich mich den ganzen Tag herumschlagen - in Zukunft frage ich lieber gleich ...

Seid Ihr bitte auch noch so freundlich, das ganze, für einen BSD Einsteiger, wie mich, auszukommentieren?
Ich will ja schließlich was dabei lernen ... :

1. Laufwerk auswählen:
**********************
- hier im Beispiel: ada0


gpart create -s gpt ada0

gpart add -t freebsd-zfs -a 4096 ada0

geli init -b -s 4096 /dev/ada0

geli attach /dev/ada0

zpool create satabackup /dev/ada0.eli



nano /etc/rc.conf:
******************
geli_autodetach="NO"
geli_devices="ada0"
geli_ada0_flags="-p ada0.key"


Vielen Dank & beste Grüße,
Max.

 

[max_1A]

Hallo Freunde !

Gibt es eine Möglichkeit, die so, unter freeBSD erzeugten Zpool, in ARCH Linux einzubinden und zu mounten ?

Danke für Eure Hilfe,
Max.

 

[holgerw]

Hallo,

so herum ja, ich habe aber mal unter Antergos neulich einen zpool erstellt, der war wegen Inkompatibilitäten unter FreeBSD 11.1 noch nicht einmal lesbar zu importieren.

 

[max_1A]

Das ist ja interresant ... bist du auch bitte so freundlich, mir zu erklären, wie genau ich das anstellen kann ?
Konkret habe ich ein externes USB drive, dass ich in freeBSD mit einem verschlüsselten zpool konfiguriert habe - dieses muss ich nun in ARCH Linux einbinden, aber leider binb ich noch zu grün hinter den Ohren, um das zu realisieren ...

Aber mit Eurer tatkräftigen Hilfe lerne ich ja jeden Tag mächtig dazu !!!

Vielen Dank & beste Grüße,
Max.

 

[Rakor]

Gibt es denn geli in der Linuxwelt?! Is mir neu.

 

[max_1A]

... deswegen tue ich mich ja so schwer - ich hab keinen schimmer, wie das gehen soll ...

Aber was weis ich denn schon - hier sind die Experten versammelt ...

Danke & Gruß,
Max.

 

[Yamagi]

Nein, Linux kann kein GELI und FreeBSD kein LUKS. Damit kann man verschlüsselte Medien nicht austauschen. Leider ist das noch immer noch ein schwieriges Thema, auch da FreeBSD und Linux sich aus Nutzersicht als unixoide Systeme recht ähnlich, unter der Haube aber doch sehr unterschiedlich sind. Am besten funktioniert ext2, gefolgt von FAT und NTFS (per ntfs-3g). Auch ZFS kann man nehmen, darf dann aber auf dem Pool nur von beiden Seiten unterstützte Features aktivieren.

 

[max_1A]

Vielen Dank für die fundierte Antwort. Nun verstehe ich endlich, wie das zusammen hängt ...

Danke & Gruß,
Max.

 

[max_1A]

Hallo Feunde !

Nachdem ich, mit Eurer Hilfe, nun in der Lage bin, neue Laufwerke zu initialisieren und einzubinden, stehe ich nun vor einem neuen Problem;
wie kann ich dies mit einem Raid1 - GELI verschlüsselt, realisieren ... ?

- ich habe 2 Platten, da0 und da1, die gespiegelt werden sollen und mit GELI verschlüsselt sein müssen
- im Ergebnis soll dies dann einen zpool mirror ergeben.

Könnt Ihr mir damit auch noch auf die Sprünge helfen ?

Vielen Dank & beste Grüße,
Max.

 

[Rakor]

Du initialisierst auf beiden Platten ein Geli mit dem selben Passwort und machst aus denen dann einen zpool im mirror. Sollte eigentlich recht geradlinig sein.