web-dev-qa-db-fra.com

Ubuntu avec ZOL et LUKS

J'essaie d'installer ZOL avec LUKS et je ne sais pas trop comment procéder. J'ai beaucoup de matériel sur la façon d'installer ZOL à la racine de mon média cible. Cependant, il n'y a pas grand-chose pour faire fonctionner ZOL en combinaison avec LUKS.

Quelqu'un peut me diriger dans la bonne direction?

1
Casey Weed

ZFS sous Linux n'offre pas de cryptage intégré. Vous pouvez utiliser des volumes chiffrés LUKS en tant que disques dans un pool ZFS.

Le module du noyau DMCrypt sous Linux fournit un chiffrement au niveau du périphérique de bloc et LUKS facilite la configuration et la gestion des clés, avec l'outil cryptsetup.

En gros, vous superposez ZFS au-dessus de DMCrypt, donc tout ce que ZFS écrit sur le disque sera réellement chiffré à la volée. Même chose lorsque ZFS lit, les données seront lues à partir du disque, non chiffrées et transmises à ZFS. Vous devriez toujours obtenir tout ce que ZFS a à offrir en termes de gestion des volumes et tout le reste, uniquement au-dessus des volumes chiffrés. Sonne bien, mais:

  • Je ne suis pas entièrement sûr de la performance. Ce n'est peut-être pas trop mal, si votre CPU prend en charge le cryptage.
  • De plus, je pense que l'entretien sera plus difficile. En cas de rupture de disque, ZFS vous indiquera que le pool est en état défectueux et vous devrez remplacer le lecteur. Avant de pouvoir connecter le nouveau lecteur au pool, vous devrez configurer le cryptage pour ce lecteur particulier.

Je dois dire (et je sais que vous ne l'avez pas demandé, mais je pense que c'est pertinent) que je ne suis pas un grand fan des volumes chiffrés en ligne/montés sur les disques durs, car le chiffrement ne protégera les données que lorsque les disques être démonté et détaché du système. Tant que le système est allumé et que la partition chiffrée est montée, les données sont disponibles non chiffrées . Je pense qu'il y a un compromis à faire ici: des données chiffrées et plus sécurisées, en échange de performances inférieures et d'une maintenance plus difficile. Maintenant, si vous craignez que quelqu'un ne vous prenne vos disques, vous avez peut-être un bon cas d'utilisation de ZFS sur LUKS.

J'utilise normalement LUKS pour les supports amovibles et je n'utilise pas ZFS sur les lecteurs USB, donc le compromis est plus facile à faire dans ce cas.

Personnellement, je n'ai jamais utilisé LUKS en combinaison avec ZFS, mais d'autres l'ont fait. Par exemple, vous pouvez jeter un œil à cet article pour vous inspirer: ZFS crypté avec Ubunt .

1
Daniele Barresi