Criptografia com o ZFS no linux

13

O ZFS no Linux já oferece suporte à criptografia? Se não, está planejado?

Eu encontrei toneladas de informações para o ZFS + LUKS, mas isso é absolutamente desinteressante: Eu quero a criptografia ZFS para que eu possa fazer a replicação usando o zfs para enviar a um servidor de backup "não confiável". Ou seja, zfs enviam fragmentos que devem ser criptografados.

Se o ZoL não suporta criptografia, existe uma maneira mais elegante além de criar zVols e usar o LUKS + EXT em cima dele (perdendo muitas vantagens do ZFS)?

    
por divB 01.07.2014 / 06:36

5 respostas

8

Ainda não.

O trabalho está em andamento

Suporte para o ZFS Crypto · Problema # 494 · zfsonlinux / zfs · GitHub (2011-12-14)

Criptografia ZFS por tcaputi · Solicitação de solicitação # 4329 · zfsonlinux / zfs (2016-02-11) - 593 partes da conversa, "… muito grande para o github lidar de forma eficaz ... movendo-a para um novo PR ..."

Criptografia ZFS por tcaputi · Pedido pull # 5769 · zfsonlinux / zfs (2017-02-09)

Referências

Como gerenciar a criptografia de dados do ZFS ( Darren Moffat, Oracle, 2012-07-23)

Criptografia nativa do ZFS por Tom Caputi - YouTube (2016-10-10)

Criptografia nativa chegando ao OpenZFS! zfs create -o encryption = on. Obrigado Tom Caputi @datto (Matthew Ahrens, 17/03/2017)

Alternativas para as obras em andamento

Como outros apontaram, você tem a opção de LUKS - Linux Unified Key Configuração - no ZFS no Linux (ZoL).

    
por 06.03.2016 / 22:42
7

Normalmente, para pessoas que usam o ZoL que desejam criptografia, o encryptfs não é desejável porque você perde tanto o desempenho quanto a funcionalidade.

O ZFS funciona melhor quando ele é o sistema de arquivos, não quando você coloca outros em cima dele (novamente, você pode , mas é sub-ótimo). Isto é o que o encryptfs faz (coloca um sistema de arquivos criptografado em cima do ZFS) e exatamente por que você vê tanto o LUKS (que funciona ao contrário - ele pode configurar o ZFS em cima de um contêiner criptografado gerenciado pelo kernel) com muito desempenho para o que está fazendo e você não perde nenhum recurso do ZFS.

Unforunately, como outros notaram, o ZoL de fato não inclui criptografia nativa do sistema de arquivos, como na implementação do Oracle no momento. Você precisa colocar em camadas sua criptografia acima (encryptfs) ou abaixo (LUKS) da mágica do ZFS.

    
por 09.07.2014 / 03:05
5

Não, o ZFS no Linux não suporta criptografia nativa. Outra opção é o encryptfs , mas neste momento você não vai para encontrar uma solução nativa.

    
por 01.07.2014 / 06:39
0

O commit foi fundido e agora a versão 0.7.1 suporta criptografia nativa completa no linux.

    
por 16.09.2017 / 04:26
0

No Arch Linux, que usa zfs-dkms-git , atualmente você terá os módulos do kernel 0.8.0_rc1 com native encryption. Veja o Marco do Github 0.8.0 para o progresso.

  • Quando você cria os dispositivos criptografados, o padrão opção usa aes-256-ccm . Se você não precisar de deduplication , receberá melhor desempenho usando -o encryption=aes-256-gcm

  • Verifique o native suporte de criptografia com:

    grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h

por 13.10.2018 / 15:41