ZFS geli separate zpool encryption @boot

snn

Member
Hallo zusammen,

eine klassische & frische freebsd 12 mit zfs und encryption. Zur Bootzeit wird die Passphrase eingegeben und alles läuft. Nun möchte ich einen separaten zpool, natürlich mit neuen Discs, mit der identischen (oder neuen) Passphrase zur Bootzeit entschlüsseln lassen. Wie mache ich dies bzw. gibt es dafür ein how to?

Auf meinem Testsystem bekomme ich manuell im Nachgang einen zpool mit geli attach ... online.

runBSD :)
 
Du erstellst die neuen Devices mit einem Keyfile, oder zumindest mit einem Keyfile im zweiten Keyslot. Dannach trägst du in deiner rc.conf ein:

geli_devices="ada1p1 ada2p1"
geli_ada1p1_flags="-p -k /etc/keyfile"
geli_ada2p1_flags="-p -k /etc/keyfile"

wobei angenommen wird, dass die Festplatten für das neue ZPool auf ada1p1 und ada2p1 liegt und das Keyfile auf /etc/keyfile. Das musst du natürlich auf deine spezifischen Pfade anpassen.


//Edit:

Du brauchst womöglich auch noch ein

geli_ada1p1_autodetach="NO" bzw.
geli_ada2p1_autodetach="NO"

da es sonst zu unschönen Problemen kommen kann.
 
Das hört sich straight forward an. Werde es morgen bzw. die Tage gleich mal ausprobieren. Thx @medV2

Was können das für Probleme sein, bei fehlendem ..._autodetach=“NO”?
 
Das mit dem rc.conf einträgen funktioniert großartig und stabil. Thx
Ich verwende jedoch PW's. Deshalb kommt im boot prozess auch die Abfrage für die jeweiligen Devices.
 
Zurück
Oben