Gostaria de criar um servidor físico dedicado que funcionasse como NAS & fileserver dentro da minha LAN (assim como através de VPN).
No entanto, preciso criptografar totalmente as unidades (as do sistema e as de dados, pois acho que vou usar dois zpools). Como a criptografia ZFS não é suportada na versão 28, que é compatível com o FreeBSD (e OpenIndiana, Nexenta, ...), a única possibilidade parece ser usar o GELI.
Agora estou pensando em adicionar uma camada GELI no topo do ZFS pode levar à perda de dados. Alguns posts na internet (embora não muitos) parecem apontar esse problema. Em particular, o ZFS parece ser um sistema de arquivos muito superior a qualquer outro no mundo Unix / Linux (por exemplo, ext4, xfs e btrfs) considerando a integração de RAID (Z) e checksum.
Agora, adicionando GELI em cima disso parece-me apenas adicionar LUKS em cima de uma configuração RAID, embora eu nunca tenha experimentado Geli e não sei sua confiabilidade. O desempenho não é um problema principal, embora eu prefira não ter uma transferência de 1MB / s na minha LAN (> 20MB / s será aceitável).
Eu nunca saí do meu mundo Linux, então não tenho experiências com o FreeBSD ou com os derivados do Solaris. Prefiro não usar o Solaris Express 11 por causa do problema de suporte pago (caro). Este será um computador em casa. Eu estarei disposto a aprendê-las se necessário.
O servidor precisará executar as tarefas básicas do NAS (em particular o compartilhamento de arquivos samba / cifs, não preciso dos integrados com as versões mais recentes do ZFS).
Após considerar a camada de criptografia, o GELI + ZFS será mais ou menos confiável do que o LUKS + LVM + ext4 ? Eu perguntei em outro post sobre o superusuário e eles sugeriram o FreeBSD / Solaris (es) por causa do ZFS, apesar de não termos falado sobre criptografia. Não sei se o OpenIndiana e os likes suportam um método de criptografia de bloco como o LUKS ou o GELI.
Além disso, será fácil adicionar um disco ao array, aumentar o RAID (Z) e o sistema de arquivos, como fazemos no Linux (por exemplo,
Você deve ser capaz de usar um dos provedores geométricos para criptografia com o ZFS, mas você deve criptografar os dispositivos abaixo do ZFS. Eu provavelmente configuraria o geli e então faria uma partição gpt dentro do tipo freebsd-zfs e depois iria de lá.
Eu recomendo que você realmente teste ambas as soluções (freebsd e linux) e decida com base no tempo e desempenho do administrador do sistema que faz sentido para você.
O Solaris 11 suporta criptografia nativa no ZFS. Se você não está preso ao BSD, é algo a considerar. É grátis para uso em não produção, assim você pode usá-lo em casa sem ter que comprar uma licença de suporte.
Para aumentar seu pool, você precisará adicionar mais vdevs, não poderá desenvolver um único raidz ou outro tipo de vdev adicionando mais discos a ele. No entanto, assim que você começar a adicionar mais vdevs, o ZFS irá distribuir dados entre eles e você ganhará algum desempenho adicional.
Eu não acho que você precise se preocupar com dataloss. Geli no FreeBSD é maduro e na minha experiência tem sido à prova de balas. Geli primeiro, depois ZFS no topo . Você pode então usar zpool para construir pools em qualquer configuração que desejar - single drive, espelhos, RAID-Z, qualquer coisa.
Minha própria experiência:
Eu tenho um servidor home do FreeBSD 9 com uma configuração similar - duas unidades, uma zpool em cada. É uma configuração ZFS-on-root - sem UFS. Uma unidade é o sistema, a outra é dados. A unidade de dados tem criptografia de disco completo, a unidade do sistema não (embora eu acredite que não há motivo para isso não ser possível - eu só queria evitar a complicação adicional).
Eu usei geli para criptografar a unidade de dados nua. O ZFS (estritamente, zpool) vê isso como qualquer outro dispositivo de bloco e você simplesmente chama "zpool create ..." da maneira normal, e a partir daí você cria conjuntos de dados zfs no conjunto da maneira que quiser.
O desempenho não tem sido um problema no meu caso de uso. O meu está funcionando perfeitamente bem em um Atom D520 de 4GB. Provavelmente não muito rápido (os discos são apenas 5200rpm de 2,5 ", para baixo consumo de energia / ruído), mas bom para a rede doméstica.
Esta configuração está funcionando sem problemas há alguns anos.
Se você descartar uma criptografia de disco completa (FDE), como LUKS ou Geli, no ZFS, não estará aproveitando o máximo do conjunto de recursos do ZFS. No entanto, se você colocar o ZFS no FDE, funcionará.
Eu tenho ouvido discussões de especialistas em ZFS do FreeBSD ultimamente onde eles estão recomendando o PEFS no ZFS, já que isso permite que o ZFS ainda veja arquivos individuais. Pode ser possível que o PEFS que é configurável para pastas e arquivos seja configurável e empacotado na biblioteca ZFS do FreeBSD no futuro.
Embora haja especialistas em criptografia recomendando que não dependamos da criptografia completa do disco, acho que no FreeBSD ou no Linux, um encadeamento de diferentes estratégias de criptografia pode ser uma estratégia razoável.Por exemplo: disco bruto - > FDE (Geli / LUKS) - > ZFS - > (para / home) Criptografia de Userland usando PEFS ou EncFS. Com este modelo, se a criptografia completa do disco for comprometida, e pelo que entendi não é tão difícil se alguém tem os recursos e motivação, você ainda terá o PEFS / EncFS para proteger seus arquivos mais importantes, que será muito mais difícil crack.
Tags encryption zfs freebsd