[SOLVED] Verschlüsseltes Dataset auf rpool, macht das System unbootable

fireon

Distinguished Member
Oct 25, 2010
4,502
476
153
Austria/Graz
deepdoc.at
Hallo Leute,

experimentiere hier gerade mit ZFS-Verschlüsselung. Hab das auf einem Server schon mit verschlüsselten Datasets am laufen, und das funktioniert sehr gut (extra Pool, kein Rpool). Nun hab ich hier einen Proxmox leer geräumt und hab dort mit der ZFS Verschlüsselung experimentiert. Die Experimente waren nach dem ersten Dataset vorbei.

Code:
zfs create rpool/testsecure -o encryption=on -o  keyformat=passphrase

Nach dem reboot kam der Server nicht wieder. Am Bildschirm stand dann die Meldung:
Screenshot_20210916_203413.jpg

Danach fährt man mit nem Ubuntu 20.04.3 Livestick hoch, löscht das Dataset und dann bootet Proxmox wieder. Auch ein Proxmox Rescue findet keinen ZFS Pool mehr an. Ich hab das Spiel 3 mal durch gespielt.

Bedeutet dies das man kein verschlüsseltes Dataset am Rpool anlegen kann?
pve-manager/7.0-11/63d82f4e (running kernel: 5.11.22-4-pve)
 
Gerade noch in einer virtuellen Maschine getestet. Dort funktioniert es :confused:
 
Hallo Leute,

experimentiere hier gerade mit ZFS-Verschlüsselung. Hab das auf einem Server schon mit verschlüsselten Datasets am laufen, und das funktioniert sehr gut (extra Pool, kein Rpool). Nun hab ich hier einen Proxmox leer geräumt und hab dort mit der ZFS Verschlüsselung experimentiert. Die Experimente waren nach dem ersten Dataset vorbei.

Code:
zfs create rpool/testsecure -o encryption=on -o  keyformat=passphrase

Nach dem reboot kam der Server nicht wieder. Am Bildschirm stand dann die Meldung:
View attachment 29529

Danach fährt man mit nem Ubuntu 20.04.3 Livestick hoch, löscht das Dataset und dann bootet Proxmox wieder. Auch ein Proxmox Rescue findet keinen ZFS Pool mehr an. Ich hab das Spiel 3 mal durch gespielt.

Bedeutet dies das man kein verschlüsseltes Dataset am Rpool anlegen kann?
pve-manager/7.0-11/63d82f4e (running kernel: 5.11.22-4-pve)
Das ist recht kompliziert und geht erst ab OpenZFS 0.84 oder 0.85. Da gibt es irgendwo hier im Forum ein Tutorial-Thread zu, wo das wohl klappte. Ich kann den mal raussuchen wenn ich wieder daheim bin.

Edit:
Guck mal hier.
 
Nach dem reboot kam der Server nicht wieder. Am Bildschirm stand dann die Meldung:
sieht sehr danach aus als wäre grub konfiguriert direkt vom ZFS zu booten? - dann funktioniert das mit der Verschlüsselung nicht (da die grub zfs implementation nur ein eingeschränktes subset an features kann (uA keine Verschlüsselung))

ich würde annehmen, dass encryption bei systemen die mit proxmox-boot-tool booten (legacy+grub, oder uefi+systemd-boot) kein Problem darstellt

siehe: https://pve.proxmox.com/wiki/ZFS:_Switch_Legacy-Boot_to_Proxmox_Boot_Tool

Ich hoffe das hilft!
 
  • Like
Reactions: fireon
proxmox-boot-tool booten
Gut, da muss ich mich einlesen. Kann aber schon sein. Der Server wurde mal vor Jahren (noch PVE4) als ZFS Single Disk installiert, später kam eine Disk dazu und es wurde ein Spiegel. Dann wurde auch mit der PVE Version immer brav mit aktualisiert.

2 Testgeräte laufen hier verschlüsselt (mit VM's) tut normal.

Das ist recht kompliziert und geht erst ab OpenZFS 0.84 oder 0.85. Da gibt es irgendwo hier im Forum ein Tutorial-Thread zu, wo das wohl klappte. Ich kann den mal raussuchen wenn ich wieder daheim bin.
Sollte kein Thema sein, PVE verwendet die Version 2.0.5.
 
Hab das nun mal geprüft. Keiner der Server fährt hier mit proxmox-boot-tool. Die aktuell installieren an den anderen Standorten schon. Ich möchte es jetzt an den funktionierenden nicht testen, da ich (wenns nicht bootet) gerade keinen Livestick zur Hand hab. Aber das würde es erklären, weil bei den anderen Servern am rpool kein verschlüsseltes Dataset existiert. Ich versuche es mal bei dem einen Server nächste Woche (wenn ich meine Sticks wieder hab) auf das neue Proxmox-boot-tool umzustellen.
 
Nach Umstellung auf das Proxmox-Boot-Tool, funktioniert dies nun vom feinsten :) Danke.
 
  • Like
Reactions: Dunuin
Was mich persönlich noch interessieren würde wäre, was da genau mit nativer ZFS Verschlüsselung passiert, wenn man ein Special Device einsetzt.
So wie ich das jetzt bisher verstanden habe verschlüsselt ZFS ja nur Daten aber keine Metadaten, also müsste das Special Device eigentlich unverschlüsselt sein.
Wie sieht es dann z.B. bei verschlüsselten Datasets mit den Dateinamen aus? Liegen die dann auch immer unverschlüsselt vor oder nur die Namen und Eigenschaften des Datasets selbst.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!