Verschlüsselung

C

carsten2

Renowned Member
Mar 25, 2017
277
29
68
55
Ich möchte als Diebstahlschutz alle Platten verschlüsseln. Dazu bietet sich LUKS an, wie dies ja viele Distributionen schon im Standardinstallationsprogramm auch für die Systemplatten anbieten. Bei Proxmox wird das leider bislang nicht angeboten. Könnte das hinzugefügt werden oder gibt es eine Anleitung?

Ich habe bislang die ZFS-Datenplatten auf LUKS laufen und alle VMs auf manuellen Start gestellt. Beim Hochfahren des System gehe ich dann per SSH auf den Proxmox-Server, öffne die Verschlüsselten Platten und starte dann die VMs.

Fragen:
1) Gibt es eine Möglichkeit, einen automatischen Start einzustellen, so dass die VMs starten, sobald das ZFS-Volumen aktiv wird?
2) Gibt es eine Möglichkeit die Systemplatten zu verschlüsseln? Laufen sollte das möglichst auch auf ZFS, sonst wäre auch eine anderes ZFS möglich, aber warum wechseln, wenn man schon das beste hat?
3) Freischaltung der des Proxmoxsystem entweder über die Konsole (physikalisch oder de virtuelle Fernwartungskonsole der Serverhardware, dropbear oder per Mandos (https://wiki.recompile.se/wiki/Mandos)
 
carsten2 said:
Ich möchte als Diebstahlschutz alle Platten verschlüsseln. Dazu bietet sich LUKS an, wie dies ja viele Distributionen schon im Standardinstallationsprogramm auch für die Systemplatten anbieten. Bei Proxmox wird das leider bislang nicht angeboten. Könnte das hinzugefügt werden oder gibt es eine Anleitung?

Ich habe bislang die ZFS-Datenplatten auf LUKS laufen und alle VMs auf manuellen Start gestellt. Beim Hochfahren des System gehe ich dann per SSH auf den Proxmox-Server, öffne die Verschlüsselten Platten und starte dann die VMs.

Fragen:
1) Gibt es eine Möglichkeit, einen automatischen Start einzustellen, so dass die VMs starten, sobald das ZFS-Volumen aktiv wird?
2) Gibt es eine Möglichkeit die Systemplatten zu verschlüsseln? Laufen sollte das möglichst auch auf ZFS, sonst wäre auch eine anderes ZFS möglich, aber warum wechseln, wenn man schon das beste hat?
3) Freischaltung der des Proxmoxsystem entweder über die Konsole (physikalisch oder de virtuelle Fernwartungskonsole der Serverhardware, dropbear oder per Mandos (https://wiki.recompile.se/wiki/Mandos)
Click to expand...

1) Nein (aber das Entschlüsseln lässt sich z.B. mittels keyfiles oder keyscripts in /etc/crypttab weitgehend automatisieren bzw. in den Bootprozess integrieren)
2.) Manuell - ja (z.b. basierend auf einer Kombination von cryptsetup, https://github.com/zfsonlinux/zfs/wiki/Debian-Stretch-Root-on-ZFS und https://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Stretch ). ZFS unterstützt native Verschlüsselung nur in der Entwicklungsversion, also ist LUKS/dmcrypt hier noch notwendig.
3.) Alles möglich, aber erfordert entsprechendes manuelles Setup.
 
Hat jemand das schon mal ausprobiert, nachträglich in einer Proxmox-Installation gemacht und hat eine Anleitung?
Es wäre gut, wenn der Installer das auch vorsehen würde.
 
HI,
kurz nachgefragt, gibt's dazu was neues oder ein vereinfachtes Setup oder eben eine Anleitung zu Proxmox mit ZFS Raid und encrypted disks / pools / storages / datasets? Geht vielleicht in der Beta Version mehr?
Mich interessiert dabei weniger das root System als die Verschlüsselung der Pools oder Storages auf denen die VMs liegen (falls man beides überhaupt trennt).
Gerade bezüglich der EU-DSGVO überlege ich auch für meine nächsten Setups auf Verschlüsselung zu setzten.
Grüße,
maxprox
 
Last edited:
maxprox said:
HI,
kurz nachgefragt, gibt's dazu was neues oder ein vereinfachtes Setup oder eben eine Anleitung zu Proxmox mit ZFS Raid und encrypted disks / pools / storages / datasets? Geht vielleicht in der Beta Version mehr?
Mich interessiert dabei weniger das root System als die Verschlüsselung der Pools oder Storages auf denen die VMs liegen (falls man beides überhaupt trennt).
Gerade bezüglich der EU-DSGVO überlege ich auch für meine nächsten Setups auf Verschlüsselung zu setzten.
Grüße,
maxprox
Click to expand...

keine spezielle anleitung - wie oben erwähnt, einfach cryptsetup doku anschauen, gerade wenns um nicht / storage geht ist experimentieren ja leicht.
 
fabian said:
keine spezielle anleitung - wie oben erwähnt, einfach cryptsetup doku anschauen, gerade wenns um nicht / storage geht ist experimentieren ja leicht.
Click to expand...
Ja, das werde ich zunächst in einer Testumgebung möglichst ausgiebig testen, gerade weil ich mit Festplattenverschlüsslung noch nicht viel Erfahrung habe und ich mir denke, wenn man hier irgendwann im Laufe der Zeit mal einen Fehler macht.... :-(
Daher wäre es mir am liebsten es wäre schon bzw. bald fest integriert.
grüße,
maxprox
 
Proxmox ist ja Debian basiert, wo eine Verschlüsselung vom Setup möglich ist. Es wäre also gut, wenn diese LUKS-Verschlüsselungmöglichkeit in das Setup und die Boot-CD von Proxmox zu integrieren, denn die manuellen Installationsmöglichkeiten sind mehr als anwändig, da es nicht so einfach ist ein Standardebian auf die Proxmox-ZFS-Version zu heben und dann das root-FS darauf umzuziehen und umgekeht in ein Promox-Root nachträglich ein LUKS-Umgebung für Root einzuziehen.

Daher sollte die Installations-CD die Möglichkeit Bieten die ganze root-Disk per LUKS zu verschlüsseln und darauf das root-ZFS in der aktuellen Version aufzusehen.

Das wäre wirklich ein immenser Vorteil.
 
  • Like
Reactions: Lockslay
Der abstrakte Hinweis nützt nichts, denn

1) Ubuntu kann wie auch Debian inzwischen bereits vom Installer her ein LUKS-Verschlüsseltes System erstellen allerdings nicht auf ZFS.
2) Wenn man ZFS installiert, bekommt man nicht die Versionen die Proxmox braucht.

Es wäre also schön, wenn jemand mal wirklich eine Schritt für Schritt Anleitung erstellt, wie man ein LUKS-veschlüssltes ROOT mit ZFS unter Proxmox hinbekommen. Ich fürchte allerdings, dass dies eine große Anzeile von manuell Schritten erfordert.

Noch viel besser wäre, wenn das in den Installert integriert würde. Dann hätte man auch eine Rettungs-CD
 
Ja, wenn ich diesen Thread überfliege:
https://forum.proxmox.com/threads/remote-unlocking-luks-drive-at-boot.38745/
denke ich auch, dass für den produktiven Einsatz, das "Verschlüsselungs-Setup" sauber und langfristig gut geplant und ausgiebig getestet sein sollte. Ich werde auf jeden Fall im Auge behalten was hier für die nächsten Releases geplant ist...
Eine so gute Verschlüsslung, die auch den Admin selbst nicht mehr an die Daten lässt, wird schwierig dem Kunden als Sicherheit-Gewinn zu vermitteln sein, wenn dadurch sein Betrieb still steht ;-)
 
ZFS unterstützt native encryption erst in version 0.8, die noch nicht (final) released ist. Grub als Bootloader unterstützt ZFS native encryption gar nicht. Insofern ist die einzige momentan gangbare Variante nach wie vor LUKS/cryptsetup als encryption layer zwischen ZFS und physische Platten zu hängen - das geht relativ einfach und problemlos, sofern die notwendigen Kenntnisse vorhanden sind (ZFS on Root Tutorial vom ZFS on Linux Wiki einfach um cryptsetup Einrichtung und Erstellen von /etc/crypttab Einträgen erweitern). Ohne diese Kenntnisse lässt sich das aber auch im Fehlerfall nicht vernünftig warten, daher wird das auch sobald vermutlich nicht automatisch im Installer unterstützt werden.
 
hey,

ich komm da nicht richtig weiter. ich hab wie in dem link oben es hingekriegt alles zu verschlüsseln. Mein problem ist nur das ich mit dieser methode es so verschlüssel das ich den master key vor grub eingeben muss (lokal ok aber nicht bei einem server der im rechenzentrum steht).

ich würde halt gerne zfs raid 1 auf 2 SSD bzw hdds installieren und per ssh connecten um ihn beim boot oder nach dem boot freizuschalten.

kann ich nicht grub und initramfs auf eine andere partition machen die nicht verschlüsselt ist?
 
Last edited:
janosch1337 said:
kann ich nicht grub und initramfs auf eine andere partition machen die nicht verschlüsselt ist?
Click to expand...
Proxmox auf 2 SSD's unverschlüsselt. Dann weitere Platten/SSD's hinzufügen und diese dann verschlüsselt behandeln. PVE am besten immer auf eigene SSD's installieren. Das macht das Leben einfacher. Naja, du könntest Grub auch auf nen USBstick drauf geben. Davon würde ich dir aber dringends abraten.
 
janosch1337 said:
hey,

ich komm da nicht richtig weiter. ich hab wie in dem link oben es hingekriegt alles zu verschlüsseln. Mein problem ist nur das ich mit dieser methode es so verschlüssel das ich den master key vor grub eingeben muss (lokal ok aber nicht bei einem server der im rechenzentrum steht).

ich würde halt gerne zfs raid 1 auf 2 SSD bzw hdds installieren und per ssh connecten um ihn beim boot oder nach dem boot freizuschalten.

kann ich nicht grub und initramfs auf eine andere partition machen die nicht verschlüsselt ist?
Click to expand...

versteh nicht ganz warum das nicht okay sein sollte bei einem server im rechenzentrum - da gibts ja hoffentlich ikvm/.. und das passwort kann einfach eingegeben werden?
 
  • Like
Reactions: fireon
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back