Verschlüsselung

Discussion in 'Proxmox VE (Deutsch)' started by carsten2, Jan 26, 2018.

  1. carsten2

    carsten2 Member

    Joined:
    Mar 25, 2017
    Messages:
    52
    Likes Received:
    3
    Ich möchte als Diebstahlschutz alle Platten verschlüsseln. Dazu bietet sich LUKS an, wie dies ja viele Distributionen schon im Standardinstallationsprogramm auch für die Systemplatten anbieten. Bei Proxmox wird das leider bislang nicht angeboten. Könnte das hinzugefügt werden oder gibt es eine Anleitung?

    Ich habe bislang die ZFS-Datenplatten auf LUKS laufen und alle VMs auf manuellen Start gestellt. Beim Hochfahren des System gehe ich dann per SSH auf den Proxmox-Server, öffne die Verschlüsselten Platten und starte dann die VMs.

    Fragen:
    1) Gibt es eine Möglichkeit, einen automatischen Start einzustellen, so dass die VMs starten, sobald das ZFS-Volumen aktiv wird?
    2) Gibt es eine Möglichkeit die Systemplatten zu verschlüsseln? Laufen sollte das möglichst auch auf ZFS, sonst wäre auch eine anderes ZFS möglich, aber warum wechseln, wenn man schon das beste hat?
    3) Freischaltung der des Proxmoxsystem entweder über die Konsole (physikalisch oder de virtuelle Fernwartungskonsole der Serverhardware, dropbear oder per Mandos (https://wiki.recompile.se/wiki/Mandos)
     
  2. fabian

    fabian Proxmox Staff Member
    Staff Member

    Joined:
    Jan 7, 2016
    Messages:
    3,199
    Likes Received:
    496
    1) Nein (aber das Entschlüsseln lässt sich z.B. mittels keyfiles oder keyscripts in /etc/crypttab weitgehend automatisieren bzw. in den Bootprozess integrieren)
    2.) Manuell - ja (z.b. basierend auf einer Kombination von cryptsetup, https://github.com/zfsonlinux/zfs/wiki/Debian-Stretch-Root-on-ZFS und https://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Stretch ). ZFS unterstützt native Verschlüsselung nur in der Entwicklungsversion, also ist LUKS/dmcrypt hier noch notwendig.
    3.) Alles möglich, aber erfordert entsprechendes manuelles Setup.
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
  3. carsten2

    carsten2 Member

    Joined:
    Mar 25, 2017
    Messages:
    52
    Likes Received:
    3
    Hat jemand das schon mal ausprobiert, nachträglich in einer Proxmox-Installation gemacht und hat eine Anleitung?
    Es wäre gut, wenn der Installer das auch vorsehen würde.
     
  4. maxprox

    maxprox Member
    Proxmox Subscriber

    Joined:
    Aug 23, 2011
    Messages:
    288
    Likes Received:
    11
    HI,
    kurz nachgefragt, gibt's dazu was neues oder ein vereinfachtes Setup oder eben eine Anleitung zu Proxmox mit ZFS Raid und encrypted disks / pools / storages / datasets? Geht vielleicht in der Beta Version mehr?
    Mich interessiert dabei weniger das root System als die Verschlüsselung der Pools oder Storages auf denen die VMs liegen (falls man beides überhaupt trennt).
    Gerade bezüglich der EU-DSGVO überlege ich auch für meine nächsten Setups auf Verschlüsselung zu setzten.
    Grüße,
    maxprox
     
    #4 maxprox, Aug 13, 2018
    Last edited: Aug 13, 2018
  5. fabian

    fabian Proxmox Staff Member
    Staff Member

    Joined:
    Jan 7, 2016
    Messages:
    3,199
    Likes Received:
    496
    keine spezielle anleitung - wie oben erwähnt, einfach cryptsetup doku anschauen, gerade wenns um nicht / storage geht ist experimentieren ja leicht.
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
  6. maxprox

    maxprox Member
    Proxmox Subscriber

    Joined:
    Aug 23, 2011
    Messages:
    288
    Likes Received:
    11
    Ja, das werde ich zunächst in einer Testumgebung möglichst ausgiebig testen, gerade weil ich mit Festplattenverschlüsslung noch nicht viel Erfahrung habe und ich mir denke, wenn man hier irgendwann im Laufe der Zeit mal einen Fehler macht.... :-(
    Daher wäre es mir am liebsten es wäre schon bzw. bald fest integriert.
    grüße,
    maxprox
     
  7. carsten2

    carsten2 Member

    Joined:
    Mar 25, 2017
    Messages:
    52
    Likes Received:
    3
    Proxmox ist ja Debian basiert, wo eine Verschlüsselung vom Setup möglich ist. Es wäre also gut, wenn diese LUKS-Verschlüsselungmöglichkeit in das Setup und die Boot-CD von Proxmox zu integrieren, denn die manuellen Installationsmöglichkeiten sind mehr als anwändig, da es nicht so einfach ist ein Standardebian auf die Proxmox-ZFS-Version zu heben und dann das root-FS darauf umzuziehen und umgekeht in ein Promox-Root nachträglich ein LUKS-Umgebung für Root einzuziehen.

    Daher sollte die Installations-CD die Möglichkeit Bieten die ganze root-Disk per LUKS zu verschlüsseln und darauf das root-ZFS in der aktuellen Version aufzusehen.

    Das wäre wirklich ein immenser Vorteil.
     
  8. fireon

    fireon Well-Known Member
    Proxmox Subscriber

    Joined:
    Oct 25, 2010
    Messages:
    2,935
    Likes Received:
    172
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
  9. carsten2

    carsten2 Member

    Joined:
    Mar 25, 2017
    Messages:
    52
    Likes Received:
    3
    Der abstrakte Hinweis nützt nichts, denn

    1) Ubuntu kann wie auch Debian inzwischen bereits vom Installer her ein LUKS-Verschlüsseltes System erstellen allerdings nicht auf ZFS.
    2) Wenn man ZFS installiert, bekommt man nicht die Versionen die Proxmox braucht.

    Es wäre also schön, wenn jemand mal wirklich eine Schritt für Schritt Anleitung erstellt, wie man ein LUKS-veschlüssltes ROOT mit ZFS unter Proxmox hinbekommen. Ich fürchte allerdings, dass dies eine große Anzeile von manuell Schritten erfordert.

    Noch viel besser wäre, wenn das in den Installert integriert würde. Dann hätte man auch eine Rettungs-CD
     
  10. maxprox

    maxprox Member
    Proxmox Subscriber

    Joined:
    Aug 23, 2011
    Messages:
    288
    Likes Received:
    11
    Ja, wenn ich diesen Thread überfliege:
    https://forum.proxmox.com/threads/remote-unlocking-luks-drive-at-boot.38745/
    denke ich auch, dass für den produktiven Einsatz, das "Verschlüsselungs-Setup" sauber und langfristig gut geplant und ausgiebig getestet sein sollte. Ich werde auf jeden Fall im Auge behalten was hier für die nächsten Releases geplant ist...
    Eine so gute Verschlüsslung, die auch den Admin selbst nicht mehr an die Daten lässt, wird schwierig dem Kunden als Sicherheit-Gewinn zu vermitteln sein, wenn dadurch sein Betrieb still steht ;-)
     
  11. janosch1337

    janosch1337 New Member

    Joined:
    May 28, 2018
    Messages:
    15
    Likes Received:
    0
    gibts da was neues?
     
  12. fpausp

    fpausp Member

    Joined:
    Aug 31, 2010
    Messages:
    247
    Likes Received:
    6
  13. janosch1337

    janosch1337 New Member

    Joined:
    May 28, 2018
    Messages:
    15
    Likes Received:
    0
  14. fabian

    fabian Proxmox Staff Member
    Staff Member

    Joined:
    Jan 7, 2016
    Messages:
    3,199
    Likes Received:
    496
    ZFS unterstützt native encryption erst in version 0.8, die noch nicht (final) released ist. Grub als Bootloader unterstützt ZFS native encryption gar nicht. Insofern ist die einzige momentan gangbare Variante nach wie vor LUKS/cryptsetup als encryption layer zwischen ZFS und physische Platten zu hängen - das geht relativ einfach und problemlos, sofern die notwendigen Kenntnisse vorhanden sind (ZFS on Root Tutorial vom ZFS on Linux Wiki einfach um cryptsetup Einrichtung und Erstellen von /etc/crypttab Einträgen erweitern). Ohne diese Kenntnisse lässt sich das aber auch im Fehlerfall nicht vernünftig warten, daher wird das auch sobald vermutlich nicht automatisch im Installer unterstützt werden.
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
  15. fireon

    fireon Well-Known Member
    Proxmox Subscriber

    Joined:
    Oct 25, 2010
    Messages:
    2,935
    Likes Received:
    172
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
  16. janosch1337

    janosch1337 New Member

    Joined:
    May 28, 2018
    Messages:
    15
    Likes Received:
    0
    hey,

    ich komm da nicht richtig weiter. ich hab wie in dem link oben es hingekriegt alles zu verschlüsseln. Mein problem ist nur das ich mit dieser methode es so verschlüssel das ich den master key vor grub eingeben muss (lokal ok aber nicht bei einem server der im rechenzentrum steht).

    ich würde halt gerne zfs raid 1 auf 2 SSD bzw hdds installieren und per ssh connecten um ihn beim boot oder nach dem boot freizuschalten.

    kann ich nicht grub und initramfs auf eine andere partition machen die nicht verschlüsselt ist?
     
    #16 janosch1337, Mar 2, 2019
    Last edited: Mar 2, 2019
  17. fireon

    fireon Well-Known Member
    Proxmox Subscriber

    Joined:
    Oct 25, 2010
    Messages:
    2,935
    Likes Received:
    172
    Proxmox auf 2 SSD's unverschlüsselt. Dann weitere Platten/SSD's hinzufügen und diese dann verschlüsselt behandeln. PVE am besten immer auf eigene SSD's installieren. Das macht das Leben einfacher. Naja, du könntest Grub auch auf nen USBstick drauf geben. Davon würde ich dir aber dringends abraten.
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
  18. janosch1337

    janosch1337 New Member

    Joined:
    May 28, 2018
    Messages:
    15
    Likes Received:
    0
    okay und wenn man keine möglichkeit hat festplatten nachzurüsten?
     
  19. fireon

    fireon Well-Known Member
    Proxmox Subscriber

    Joined:
    Oct 25, 2010
    Messages:
    2,935
    Likes Received:
    172
    Dann würde ich es wohl nicht machen.
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
  20. fabian

    fabian Proxmox Staff Member
    Staff Member

    Joined:
    Jan 7, 2016
    Messages:
    3,199
    Likes Received:
    496
    versteh nicht ganz warum das nicht okay sein sollte bei einem server im rechenzentrum - da gibts ja hoffentlich ikvm/.. und das passwort kann einfach eingegeben werden?
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
    fireon likes this.
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice