Hi,
als Proxmox und ZFS-Einsteiger stehe ich noch vor einem Thema, bei dem ich mich nicht entscheiden kann: Soll ich meine ZFS-Pools verschlüsseln oder mache ich es mir damit unnötig kompliziert?
Ich möchte den Server definitiv ohne Benutzerinteraktion und ohne Abhängigkeit zu einem weiteren System starten können. Ein unverschlüsseltes Keyfile auf einem anderen Speichermedium (z.B. USB-Stick oder SATA-DOM) wäre für mich akzeptabel. Ich möchte damit vor allem einen grundlegenden Schutz erreichen, dass z.B. eine komplett defekte SSD ohne Bauchschmerzen als Garantiefall zum Hersteller wandern könnte. Dass der Fall eines kompletten Hardwarediebstahls oder sonstiger Mitnahme damit nicht abgedeckt ist, ist mir bewusst und das würde ich in Kauf nehmen. Sensible Speichermedien einzelner VMs könnte ich bei Bedarf ja weiterhin separat verschlüsseln (LUKS o.ä.) und manuell entsperren.
Aktuelle Ausgangslage:
Folgende Links (und ein paar andere) habe ich bereits grob überflogen:
Ein paar Punkte sind mir noch nicht ganz klar:
als Proxmox und ZFS-Einsteiger stehe ich noch vor einem Thema, bei dem ich mich nicht entscheiden kann: Soll ich meine ZFS-Pools verschlüsseln oder mache ich es mir damit unnötig kompliziert?
Ich möchte den Server definitiv ohne Benutzerinteraktion und ohne Abhängigkeit zu einem weiteren System starten können. Ein unverschlüsseltes Keyfile auf einem anderen Speichermedium (z.B. USB-Stick oder SATA-DOM) wäre für mich akzeptabel. Ich möchte damit vor allem einen grundlegenden Schutz erreichen, dass z.B. eine komplett defekte SSD ohne Bauchschmerzen als Garantiefall zum Hersteller wandern könnte. Dass der Fall eines kompletten Hardwarediebstahls oder sonstiger Mitnahme damit nicht abgedeckt ist, ist mir bewusst und das würde ich in Kauf nehmen. Sensible Speichermedien einzelner VMs könnte ich bei Bedarf ja weiterhin separat verschlüsseln (LUKS o.ä.) und manuell entsperren.
Aktuelle Ausgangslage:
- ZFS-Mirror mit zwei kleineren SATA-SSDs (darauf ist auch Proxmox installiert; gebootet wird über UEFI)
- Eine etwas größere M.2-SATA-SSD (für unwichtige VMs und sonstige Tests; noch nicht eingebunden)
Folgende Links (und ein paar andere) habe ich bereits grob überflogen:
- https://pve.proxmox.com/wiki/ZFS_on_Linux#zfs_encryption
- https://gist.github.com/yvesh/ae77a68414484c8c79da03c4a4f6fd55
- https://github.com/chungy/zfs-boottime-encryption
Ein paar Punkte sind mir noch nicht ganz klar:
- Funktioniert das derzeit auch mit dem Rootfs bzw. ROOT-Dataset? (Über ein Keyfile!)
- Muss ich im Recovery-Fall irgendwas beachten, was ich derzeit nicht am Radar habe?
Zum Beispiel, wenn das System nicht mehr startet und ich mit einer Live-CD arbeite.