FreeBSD + ZFS + Encryption? Альтернативы? Предложения?

8

Я хотел бы создать выделенный физический сервер, который будет работать в качестве NAS и файлового сервера внутри моей локальной сети (а также через VPN).

Однако мне нужно полностью зашифровать диски (как системные, так и информационные, так как я думаю, что я буду использовать два zpools). Поскольку шифрование ZFS не поддерживается в версии 28, а это то, что поддерживает FreeBSD (и OpenIndiana, Nexenta, ...), похоже, единственная возможность - использовать GELI.

Теперь я думаю, что любое добавление слоя GELI поверх ZFS может привести к потере данных. Некоторые сообщения в Интернете (хотя и не многие), кажется, указывают на эту проблему. В частности, ZFS, похоже, является гораздо лучшей файловой системой, чем любая другая в мире Unix / Linux (например, ext4, xfs, а также btrfs), учитывая интеграцию RAID (Z) и контрольных сумм.

Теперь добавление GELI поверх этого кажется мне таким же, как добавление LUKS поверх установки RAID, хотя я никогда не испытывал Geli и не знаю его надежности. Производительность не является основной проблемой, хотя я бы предпочел не передавать 1 МБ / с в моей локальной сети (хотя> 20 МБ / с будет приемлемо).

Я никогда не выходил из своего мира Linux, поэтому у меня нет опыта работы с FreeBSD или производными от Solaris. Я бы предпочел не использовать Solaris Express 11 из-за проблемы с платной (дорогой) поддержкой. Это будет компьютер дома. Я буду готов выучить их при необходимости.
Сервер должен выполнять основные задачи NAS (в частности, общий доступ к файлам samba / cifs, мне не нужны те, которые интегрированы с более новыми версиями ZFS).

После рассмотрения уровня шифрования, будет ли GELI + ZFS более или менее надежным, чем LUKS + LVM + ext4 ? Я спросил в другом посте о суперпользователе, и они предложили FreeBSD / Solaris из-за ZFS, хотя мы не говорили о шифровании. Не знаю, поддерживают ли OpenIndiana и подобные им методы блочного шифрования, такие как LUKS или GELI.

Кроме того, будет ли легко добавить диск в массив, увеличить RAID (Z) и файловую систему, как мы это делаем в Linux (например, здесь )?

freebsd  encryption  zfs 
user51166
источник

Ответы:

1

Вы должны иметь возможность использовать один из поставщиков geom для шифрования с ZFS, но вы должны шифровать устройства ниже ZFS. Я бы, вероятно, настроил geli, а затем сделал бы раздел gpt внутри типа freebsd-zfs и затем пошел бы оттуда.

Я рекомендую вам на самом деле протестировать оба решения (freebsd и linux) и принять решение, основанное на времени и производительности системного администратора, которое имеет смысл для вас.

Люк
источник
С точки зрения администратора, прямо сейчас для меня Linux LUKS + LVM + RAID - это путь. Возможно, в конце я просто сделаю Virtualbox, чтобы попробовать, как вы предложили. Я настоящий новичок в FreeBSD, поэтому администрирование будет довольно сложным для меня (по крайней мере, на первый взгляд). Что я ищу, так это надежность (а не производительность). Это должен быть NAS, хотя я не ожидаю исключительных характеристик, таких как насыщение канала 1 Гбит / с. Медиафайлы также будут на другом сервере. Однако у меня уже есть несколько машин Linux (в основном, Debian GNU / Linux 64 bit), которые выполняют отдельные задачи.
user51166
Просто желая какой-то «избыточности» ОС в том смысле, что у меня могут возникнуть проблемы из-за того, что обновления делают что-то очень плохое, у меня все еще будет хорошая часть моих данных. Поскольку я также планирую создать сервер резервного копирования, возможно, будет лучше использовать NAS с Linux и сервер резервного копирования с FreeBSD / Solaris. Однако, будь то NAS или сервер резервного копирования, я хотел бы хранить данные на этом компьютере в ОС, отличной от Linux и использующей ZFS, но зашифрованной.
user51166
1

Solaris 11 поддерживает встроенное шифрование в ZFS. Если вы не привязаны к BSD, это то, что нужно учитывать. Это бесплатно для непроизводственного использования, поэтому вы можете использовать его дома, не покупая лицензию на поддержку.

Чтобы увеличить свой пул, вам нужно будет добавить больше vdevs, вы не можете увеличить один raidz или другой тип vdev, добавив в него больше дисков. Однако, как только вы начнете добавлять больше vdevs, ZFS распределит по ним данные, и вы получите дополнительную производительность.

Бреннан
источник
Спасибо за ваш ответ. Я не привязан к BSD (на самом деле никогда не использовал его). Просто если у меня возникнет проблема с Solaris 11, мне придется покупать более 1000 долларов в год на поддержку. Кроме того, я думаю, что вы имеете в виду Solaris 11 Express. Я студент , у меня не так много денег.
user51166
1
Это больше не Solaris Express, после выхода 11 это теперь всего лишь Solaris 11. Я бы не стал беспокоиться о контракте на поддержку, если у вас возникнут проблемы с FreeBSD или Linux, вам нужна помощь? То же самое относится и к солярису.
Бреннан
1
С Linux и FreeBSD я мог бы получить помощь (здесь) или на форумах. С Solaris 11 я должен связаться с Oracle и заплатить за него (или так или иначе говорят люди в Интернете). Или есть что-то вроде бесплатной поддержки сообщества в Solaris?
user51166
1

Я не думаю, что вам нужно чрезмерно беспокоиться о потере данных. Гели на FreeBSD является зрелым и по моему опыту был пуленепробиваемым. Сначала гели, потом ZFS сверху . Затем вы можете использовать zpool для создания пулов в любой конфигурации, которая вам нравится - один диск, зеркала, RAID-Z и так далее.

Мой собственный опыт:

У меня есть домашний сервер FreeBSD 9 с аналогичной настройкой - два диска, по одному zpool на каждом. Это установка ZFS-on-root - без UFS. Один диск - это система, другой - данные. Накопитель данных имеет полнодисковое шифрование, а системный - нет (хотя я считаю, что нет причин, по которым он не мог это сделать - я просто хотел избежать дополнительных сложностей).

Я использовал гели для шифрования чистого диска с данными. ZFS (строго говоря, zpool) видит это так же, как и любое другое блочное устройство, и вы просто вызываете «zpool create ...» обычным образом, и оттуда вы создаете наборы данных zfs в пуле, как вам нравится.

Производительность не была проблемой в моем случае использования. Мой работает отлично на 4GB Atom D520. Вероятно, не молниеносно (диски только 5200 об / мин 2.5 ", для низкой мощности / шума), но хорошо для обслуживания домашней сети.

Эта установка работает без проблем в течение нескольких лет.

sim303
источник
1

Если вы удалите полное шифрование диска (FDE), такое как LUKS или Geli, в ZFS, вы не будете использовать большую часть набора функций ZFS. Однако, если вы положите ZFS на FDE, это будет работать.

В последнее время я слышал дискуссии от экспертов FreeBSD ZFS, где они рекомендуют PEFS для ZFS, поскольку это позволяет ZFS по-прежнему видеть отдельные файлы. Вполне возможно, что PEFS, который можно настроить для папок и файлов, можно будет настроить и связать в библиотеке FreeBSD ZFS в будущем.

Хотя есть эксперты по криптографии, которые рекомендуют, чтобы мы не зависели от полного шифрования диска, я думаю, что во FreeBSD или Linux, объединение различных стратегий шифрования может быть разумной стратегией.

Например: Raw Disk -> FDE (Geli / LUKS) -> ZFS -> (для / home) Шифрование пользовательского пространства с использованием PEFS или EncFS. С этой моделью, если полное шифрование диска скомпрометировано, и, насколько я понимаю, это не так сложно, если у кого-то есть ресурсы и мотивация, у вас все равно будет PEFS / EncFS для защиты ваших самых важных файлов, что будет намного сложнее трещина.

Тимоти К. Куинн
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.