Linux에서 ZFS를 사용한 암호화


13

Linux의 ZFS는 이미 암호화를 지원합니까? 그렇지 않은 경우 계획되어 있습니까?

ZFS + LUKS에 대한 수많은 정보를 찾았지만 전혀 흥미롭지 않습니다. zfs 암호화를 사용하여 "신뢰할 수없는"백업 서버로 전송하기 위해 ZFS 암호화를 원합니다. 즉, zfs 전송 조각은 암호화되어야합니다.

ZoL이 암호화를 지원하지 않는 경우 zVol을 작성하고 그 위에 LUKS + EXT를 사용하는 것 (보다 많은 ZFS 이점을 잃음) 이외의 다른 방법이 있습니까?


zfs send | gpg잘 작동합니다. 필요한 것보다 더 복잡하게 만들지 마십시오.
마이클 햄튼

2
아마 거기에 내 백업을 저장하지 않을 것입니다 ...
ewwhite

@MichaelHampton : 당신 말이 맞지만 백업 대상에서받을 수 없습니다. zfs는 inkremental 스냅 샷을 전송하고 완전히 작동하도록하는 것이 좋습니다. 백업 서버에서 다시 스냅 샷을 다른 위치에 보관해야합니다. 아니면 여전히 GPG에서도 작동합니까? (BTW : gpg 파이프가 많은 오버 헤드를 생성하지 않는다고 가정합니까?)
divB

@ewwhite : 어쩌면 당신은 내 설정을 모른다. 어쨌든 : 자체 드라이브 (즉, WAN / 인터넷 없음)가있는 자체 서버입니다. 서버와 같이 서버 랙에 저장되어 있지 않기 때문에 여전히 물건을 암호화하고 싶습니다.
divB

답변:


9

아직.

작업이 진행 중입니다

ZFS 암호화 지원 · 문제 # 494 · zfsonlinux / zfs · GitHub (2011-12-14)

tcaputi의 ZFS 암호화 · 풀 요청 # 4329 · zfsonlinux / zfs (2016-02-11) – 대화의 593 개 부분 "github이 효과적으로 처리하기에는 너무 큽니다… 새로운 PR로 옮기기…"

tcaputi의 ZFS 암호화 · 풀 요청 # 5769 · zfsonlinux / zfs (2017-02-09)

참고 문헌

ZFS 데이터 암호화를 관리하는 방법 (Darren Moffat, Oracle, 2012-07-23)

Tom Caputi의 ZFS 기본 암호화-YouTube (2016-10-10)

OpenZFS에 기본 암호화가 제공됩니다! zfs는 -o encryption = on을 만듭니다. 감사합니다. Tom Caputi@datto (Matthew Ahrens, 2017-03-17)

진행중인 작품에 대한 대안

다른 사람들이 지적했듯이 Linux ZoL (ZoL) 에는 LUKS ( Linux Unified Key Setup) 옵션이 있습니다.



1
위에 링크 된 Tom Caputi의 풀 요청 # 5769가 작년에 마스터로 병합되었지만 0.8.0까지 릴리스 될 것으로 예상되지는 않습니다 (합병 된 이후 0.7.x 릴리스가 여러 개 있다는 사실에도 불구하고 포인트 릴리스). 중요하고 안정적인 것으로 간주되는 체리 선택 패치를 포함하며 암호화는 너무 중요하여 하나에 포함되지 않습니다)
Jules

7

일반적으로 암호화를 원하는 ZoL을 사용하는 사람들의 경우 성능과 기능을 모두 잃기 때문에 encryptfs는 바람직하지 않습니다.

때 ZFS는 잘 작동 그것은 당신이 (다시, 당신은 그 위에 다른 레이어를하지 않을 경우, 파일 시스템입니다 있지만, 그것의 차선). 이것은 encryptfs가하는 일이며 (ZFS 위에 암호화 된 파일 시스템을 계층화) 정확히 LUKS에 대해 많은 것을 보는 이유는 다른 방식으로 작동합니다. 커널이 관리하는 암호화 된 컨테이너 위에 ZFS를 구성 할 수 있습니다. 수행중인 작업에 매우 뛰어나며 ZFS 기능을 잃지 않습니다.

불행히도 다른 사람들이 지적했듯이 ZoL은 현재 Oracle 구현과 같은 기본 파일 시스템 암호화를 포함 하지 않습니다 . ZFS 매직의 위 (encryptfs) 또는 아래 (LUKS)에 암호화를 계층화해야합니다.


5

아니요, Linux의 ZFS는 기본 암호화를 지원하지 않습니다. 또 다른 옵션은 encryptfs 이지만이 시점에서 기본 솔루션을 찾지 못할 것입니다.


포스트는 오라클이 소스를 공개하지 않았기 때문이라고 설명합니다. 그러나 FreeBSD는 암호화를 지원하지 않습니까? 그렇다면 왜 WoL이 그렇지 않은지 궁금합니다. 어쨌든 ecryptfs 포인터를 사용해 주셔서 감사합니다.
divB

자, ecryptfs가 불행히도 ACL을 지원하지 않는 것을 보았습니다. 따라서 옵션이 없습니다 :-(
divB

1
FreeNAS의 암호화 된 ZFS 지원에 대한 내용을 보았지만 쉽게 찾을 수 없다고 생각했습니다. 그러나 FreeNAS는 FreeBSD가 LUKS 위에서 ZFS를 실행하는 것과 동등한 FreeBSD를 사용한다는 것입니다. @divB
CVn

2

Arch Linux에서 사용 zfs-dkms-git하면 현재 암호화 된 0.8.0_rc1커널 모듈이 제공됩니다 native. 진행 상황 은 Github 0.8.0 이정표 를 참조하십시오 .

  • 암호화 된 장치를 만들 때 기본 옵션이를 사용합니다 aes-256-ccm. 필요하지 않으면 deduplication다음을 사용하여 더 나은 성능 을 얻을 수 있습니다-o encryption=aes-256-gcm

  • 다음을 사용하여 native암호화 지원을 확인하십시오 .

    grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h


0

커밋이 병합되었으며 이제 버전 0.7.1은 Linux에서 전체 기본 암호화를 지원합니다.


방금 0.7.6을 시도했지만 아직 포함되어 있지 않습니다. reddit에 대한 의견은 0.7.x 분기에 병합되지 않으므로 0.8.0이 릴리스 될 때까지 릴리스되지 않는다고 제안합니다.
Jules
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.