Fórum Root.cz

Hlavní témata => Software => Téma založeno: aigor.net 27. 12. 2022, 19:33:31

Název: Šifrování pomocí LUKS, nebo přes ZFS?
Přispěvatel: aigor.net 27. 12. 2022, 19:33:31
Ahoj, kdysi jsem na tohle téma viděl nějakou delší diskusi, ještě v době, kdy ZFS poprvé šifrování umožnilo. Nemůžu to zpětně najít, ale pamatuju si, že to mělo nějaká omezení. Nicméně vývoj pokračuje a rád bych slyšel názor od někoho kdo řešil podobnou otázku.

Plně šifrovaná instalace, výkonový dopad na IOPS předpokládám bude nepodstatný. Zatím se kloním ke konzervativní klasice LUKS + ZFS, jsou nějaké benefity pro šifrování v ZFS?
Název: Re:šifrování LUKS, nebo přes ZFS
Přispěvatel: Mmmartan 27. 12. 2022, 22:12:40
Dokud nebudou vyřešené bugy a nebudou přibývat nové, tak tomu nebudu věřit:

https://github.com/openzfs/zfs/issues/12594#issuecomment-929941596
Název: Re:Šifrování pomocí LUKS, nebo přes ZFS?
Přispěvatel: rokk42 29. 12. 2022, 07:00:44
Výhoda šifrování na úrovni filesystemu je v případě použití více disků. Pak se buď šifruje každý disk a data se pak šifrují zbytečně vícekrát a nebo se udělá sw raid a ten se pak zašifruje, ale pak se zase přijde o možnost upravit data z druhé kopie když zfs detekuje chybu.

Druhá výhoda je že zfs podporuje raw send. Tedy se pošlou přímo šifrovaná data. Takže můžu mít data uložená na serveru kterému úplně nevěřím, můžu tam dělat kontrolu konzistence scrubem a posílat si inkrementálně další snapshoty ale přitom šifrovací klíč nikdy neopustí můj počítač.
Název: Re:Šifrování pomocí LUKS, nebo přes ZFS?
Přispěvatel: aigor.net 30. 12. 2022, 17:38:10
Prohledáno a nejvíc problémů se řeší právě při posílání raw exportu ze šifrovaného ZFS. Navíc pro mě je tohle celkem nepodstatná feature. Tedy rozhodnuto, zůstávám u tradičního LUKS, které je ověřeno a díky za názory.