ZFS Encryption Key auf USB-Stick

[svh79]

Hallo Forum,

ich habe diverse Blogs zum Thema gefunden, nur bislang keine funktionierende Lösung gefunden (oder verstanden), die es mir letztlich ermöglicht, durch einen zur Bootzeit des PVE-Hosts eingesteckten USB-Sticks automatisch die verschlüsselten ZFS-Pools bzw. Dateisysteme einzuhängen.

Könnt ihr mir eine für PVE 6.2 funktionierende Lösung beschreiben?

Viele Grüße,
Sven

 

[LnxBil]

Eines vorneweg: Sorry, hab' keine Lösung für dich.

Auch wenn das im Prinzip gehen wird ist eine Menge Arbeit notwendig, das initrd entsprechend anzupassen und die Daten von einem USB-Stick mit bestimmter ID zu laden. Ich glaube nicht, dass es da eine fertige Lösung gibt, die man reproduzierbar verwenden kann und die auch Updates übersteht. Gleiches gilt für die Lösungen, die ein Pre-Boot-SSH zur Verfügung stellen. Bis solche Methoden fest in den Debian-Paketen drin sind wird noch einiges an Zeit vergehen - falls überhaupt - und nur dann würde ich sie verwenden wollen. Ich hätte keine Lust darauf beidem Update zu hoffen, dass der Server wieder hoch kommt.

Man muss hier abwägen wie oft man die Server neustartet. Die Eingabe des Passwort via remote management console (idrac, ilo, irmc, etc.) klappt gut. Alternativ kann man auch eine serielle Konsole anhängen, die klappt seit 30 Jahren und ist für solche Zwecken immer noch gut.