Suche Verschlüsselung für VM / LXC

Q

Quad2000

New Member
Dec 25, 2024
24
5
3
Moin zusammen,
ich nutze Proxmox auf einem Heimserver und möchte eine VM bzw. LXC verschlüsseln weil darin wichtige Dokumente liegen. Ich habe auch einen Proxmox Backup Server laufen und dahin synchronisiere ich die Backups verschlüsselt. Was ist aber, wenn eine SSD / HDD in meinem Proxmox Server defekt ist und ich Sie entsorgen muss? Wenn der Proxmox Server gestohlen wird? Dann liegen die Daten unverschlüsselt auf der Festplatte und können von dritten eingesehen werden (zumindest ist das mein Verständnis).
Kann mir jemand helfen und eine Verschlüsselungsmethode empfehlen? Ich habe bei meiner Suche im Netz LUKS gelesen, dann soll ZFS das schon irgendwie unterstützen aber ich komme bei der Recherche nicht wirklich gut voran.
Vielen Dank schon mal für die Hilfe und ein schönes Wochenende
:breites_lächeln:
 
Kannst du denn beschreiben, welche Erfahrung du hast und welche Ausbildung für die Administration von Linux System vorhanden ist?
Des Weiteren ist denn schon die Installation der luks Verschlüsselungpakets auf dem Debian-System erfolgt? Dann könnte man mit Experimenten starten. Ich verweise mal auf die Hilfe man die einem so die Parameter und Anwendung erklären könnte.
Zu ZFS, als volume und Datei-System, auf ein dataset kann natürlich eine Verschlüsselung liegen, die nichts mit dem luxs-system zu tun hat, hier gibt es verschiedene Ansätze diese Verschlüsselung im laufenden Betrieb verwenden zu können. Man muss sich immer fragen, wo kommen die Schlüssel herk wer verwaltet diese und wie sicher werden diese denn gespeichert.
 
Last edited:
  • Like
Reactions: Johannes S and waltar
Vielen Dank @news für die schnelle Antwort.
Ich habe leider keine Ausbildung in dem Bereich. Ich habe 30 Jahre Erfahrung mit PC´s, Windows, Linux usw (Hardware und Software). Rudimentäres Wissen / Können in Programmieren (C und Phyton) kann ich auch bieten.
Bisher habe ich nichts verschlüsselt. Hier mal ein paar Infos zu meinem Setup:
  • Im Moment hat der Heimserver (Consumer Hardware) nur eine 1TB SSD und eine 1TB HDD (aktuell leer) verbaut (System befindet sich noch im Aufbau und läuft nun seit 1 Woche im Testbetrieb)
  • Auf der SSD läuft ein LXC mit Paperless-ngx, welches ich Verschlüsseln möchte. Die restlichen VM´s und LXC´s und das root müssen nicht verschlüsselt werden
  • Eventuell würde ich gerne 2 x 1TB HDD im Raid 1 einrichten und paperless-ngx darauf nutzen falls mal 1 HDD abraucht
  • Nur die paperless LXC soll verschlüsselt werden damit bei einem Abhandekommen der Hardware niemand auf die pdf´s zugreifen kann
Um die Schlüssel kümmere ich mich komplett. Der Server ist auch nicht aus dem Internet erreichbar.
 
Ok, ich möchte mir weitere Gedanken über das Wie machen.

Was ist das für eine Hardware?
CPU, Ram, NIC usw.

Im Moment also EXT4, LVM als Setup unter Proxmox VE.

ZFS mit HDDs im Mirror (Raid1) bitte nur mit VDEV ZFS Special Device als Mirror (2x) mit SSDs.
Die HDDs und die SSDs müssen den ZFS Anforderungen genügen.

Auf eine ZFS Special Device werden dann die Metadaten gespeichert.

HDDs haben angenommen 150 IOPs 4k random Read pro HDD (Seagate IronWolf Pro NAS 4 TB, CMR), auf den SSDs liegen dann die Metadaten, die über die SSDs mit ca. 90k IOPs lesend sind (Kingston DC600M 480 GB), schreibend etwas geringer, zu gegriffen werden.

Was sind nun die IOPs?

ich verweise der einfachheit halber auf den wiki Artikel:
# https://de.wikipedia.org/wiki/Input/Output_operations_Per_Second

Für ZFS gilt IOPs ist der Maßstab für die Nutzbarkeit einen ZFS Pools.

Starte bitte mal mit LUKS und installiere Dir dies über:

Luks
# https://wiki.ubuntuusers.de/LUKS/

fallocate
# https://manpages.ubuntu.com/manpages/xenial/de/man1/fallocate.1.html

loop device
# https://linuxconfig.org/how-to-create-loop-devices-on-linux
# https://askubuntu.com/questions/599044/luks-and-loop-device

Versuche bitte damit ein Script (bash) zu erstellen, dass Dir eine 1 GByte verschlüsseltes Loop-Device anlegt, das mit ext4 formatiert und in /mnt/luks/loop mounted.
 
Last edited:
  • Like
Reactions: UdoB
Noch ein Gedanke, denn Du bestimmt noch nicht hattest.

Deine Daten soll erhalten bleiben -- Datenintegrität -- also Bedarf kann ZFS, das bit-rot erkennen kann.
Das sind kippende Bits, die bei Festplatten im Mittel alle 10^14 pro 1 Bit auftreten können.
Dazu muss man den ZFS Poll auch passenden designen, s.o.

Bei den Seagate IronWolf Pro NAS liegt der Wert bei 10^15 pro 1 Bit. Also bei rund 113,69 TB Schreibrate.

# https://www.seagate.com/content/dam...b/ironwolf-pro-20tb-DS2129-4-2311US-de_DE.pdf

Dann haben wir noch viele andere Eigenschaften, die andere Datei- und File-Systeme nicht bieten.
ZFS Snapshot, ZFS crypt, ZFS Dataset, ZFS Volume, ZFS Send und Receive.
Mit ZFS Replication kann man einfach und effizient ZFS Datapool auf weitere Datenträger übertragen und Ausfälle korrigieren.
Ich nutze dies z.B. um einen zu kleinen ZFS Datapool mit z.B. 500 GB SSDs auf 1 TB SDDs zu übertragen.
Das geht, nachdem die SSD einbaut und vorbereitet wurde, im laufenden Betrieb.
PowerOff nur bei Hardwarewechsel im privaten Bereich.
 
Last edited:
  • Like
Reactions: Johannes S and UdoB
Fazit: JA.

Es kostet Geld und Know how für Hardware, CPU Wahl, Datenspeicher (HDD, SSD), Ram, Strom und Wartung.

So kann ich z.B. nicht verstehen, dass andere Homeanwender weiter an ihrer WinOS Erfahrungen stehen bleiben und mit 1x SSD und 1x HDD starten wollen.

Die CPU Rechenleistung meistens zu gering ist und auf lange Sicht eine Erweiterbarkeit nicht gegeben ist.
Eine Verschlüsselung benöigt hohe single Coreleistung.

Z.B. mein Tipp in Sachen guter Home Hardware ist das
a) Mainboard: Biostar B760MX2-E Pro D4
# 4x SATA3 + 4x SATA3
# 2x PCIe 4.0 x4 M.2
# 4x DDR4 128 GB
# NIC: 2.5 GBit/s
# 4x PCIe Erweiterungsslots
# Intel B760 LGA 1700
z.B. Intel Core-I3 12100 bis 14100, Core-I5 12400 bis 14400, Intel Core-i5 12600k, Core-i7 12700k usw.

Eine genauere Auflistung liefert Geizhals zu dem Mainboard.

b) Gehäuse:
# Aerocool Cipher S-BK-v1

Für weitere HDDs, die man an den bestehenden ZFS Datapool binden kann, bestenst aufgestellt.

c) DDR4 Ram:
Ist heute mir 2x 32 GB CL16, 3200 MT/s verfügbar und preiswert.

# Kingston FURY DIMM 64 GB DDR4-3200 (2x 32 GB) Dual-Kit
* KF432C16BBK2/64, Beast
* KF432C16RB2K2/64, FURY Renegade
 
Last edited:
  • Like
Reactions: Johannes S
Zu meiner Hardware (schon recht alt war aber schon vorhanden):
  • Xeon e3-1231 v3
  • ASUS H97 Pro Gamer
  • 24GB DDR3 RAM
  • 1 TB Intenso 2,5" SSD SATA III Top1 => Lesen (4KB) 133120 IOPS / Schreiben (4KB) 128000 IOPS
  • 1 TB Western Digital Red WD10EFRX SATAIII 64MB 5400U/min 3,5 Zoll
Ich nutze die alte Hardware, um Erfahrungen mit Proxmox usw. zu sammeln bevor ich in ordentliche Hardware investiere. Erst wenn ich weiß, auf was es ankommt und was ich benötige, macht eine Neuanschaffung für mich Sinn. Deshalb wende ich mich auch hier an das Forum :D
Aktuell läuft auf dem Proxmox VE die folgenden VM bzw. LXC:
- Home Assistant
- Sterling pdf
- paperless-ngx
- Windows10 als Sandbox
Aktuell reicht die Performance von diesem System für diese Anwendungen für mich. Ob das mit LUKS dann auch noch so ist, werde ich sehen.

Vielen Dank für deine ganzen Tipps zu ZFS, Hardware und zu der Singel Core Performance bei Verschlüsselung.
Da meine Hardware die ZFS Anforderungen nicht erfüllt, teste ich einfach mal LUKS. ZFS setze ich dann erst auf dem neuen System um.
 
  • Like
Reactions: Johannes S and news
Quad2000 said:
Da meine Hardware die ZFS Anforderungen nicht erfüllt, teste ich einfach mal LUKS. ZFS setze ich dann erst auf dem neuen System um.
Click to expand...

Nur zum Testen reicht auch deine Hardware locker, also um ein Gefühl für zfs zu kriegen. Es werden halt nicht alle Features gehen, aber andere schon.
 
You must log in or register to reply here.
Top Bottom