Der Swapbereich ist derzeit unverschlüsselt. Es wäre aus Sicherheitsgründen sinnvol, das swap-ZVOL beim Start mit einem Zufallskennwort zu erstellen und zu verschlüsseln. Dann können auch bei Plattendiebstahl keine sensitiven Informationen insbesondere keine Kennwörter ausgelesen werden. Dies ist besonders wichtig, wenn die restlichen Platten aus geschlüsselt sind.
ZFS-Verschlüsselter swap-ZVOL mit Zufallskennwort
- Thread starter carsten2
- Start date
PVE hat derzeit allgemein keine direkte Unterstützung für Full disk encryption. sprich auf einer standard-installation ist der disk-inhalt unverschlüsselt, was ein ähnliches/grösseres Risiko zu unverschlüsseltem swap ist.
Allerdings ist swap auf einem ZVOL prinzipiell problematisch (weswegen, diese option seit PVE 5.3 nicht mehr durch den Installer gemacht wird):
siehe https://github.com/openzfs/zfs/issues/7734
Ich hoffe das hilft
Wie legt der Installer den jetzt den Swapbereich an? Auf einer separaten Partition? Die könnte ja auch mit einem bei jedem Neustart neu erstellten Kennwort verschlüsselt werden. https://wiki.archlinux.org/index.php/Dm-crypt/Swap_encryption
Wie gefährlich der ZVOL-SWAP-Problem wirklich ist, ist nicht klar und es ist auch davon auszugehen, dass dieser Bug irgendwann mal gefixed wird.
Wenn die Datennplatten bei Proxmox ZFS-verschlüsselt werden und beim Neustart die Verschlüsselung manuell geöffnet wird, liegen alle sensitiven Daten nur auf den verschlüsselten Platten. Die Proxmoxinstallation selbst hat nicht großartig relevante Daten. Das einzige wirklich gefährlich Einfallstor ist der unverschlüsselte Swapbereich, da dort Schlüssel sowie Daten der VMs landen können.
Wie gefährlich der ZVOL-SWAP-Problem wirklich ist, ist nicht klar und es ist auch davon auszugehen, dass dieser Bug irgendwann mal gefixed wird.
Wenn die Datennplatten bei Proxmox ZFS-verschlüsselt werden und beim Neustart die Verschlüsselung manuell geöffnet wird, liegen alle sensitiven Daten nur auf den verschlüsselten Platten. Die Proxmoxinstallation selbst hat nicht großartig relevante Daten. Das einzige wirklich gefährlich Einfallstor ist der unverschlüsselte Swapbereich, da dort Schlüssel sowie Daten der VMs landen können.
derzeit wird bei einer ZFS install kein swap angelegt - es kann aber in den Advanced settings ein Teil der festplatte unpartitioniert gelassen werden (auf diesem lässt sich dann ein swap einrichten (verschlüsselt oder unverschlüsselt)
der deadlock ließ sich damals mit einem simplen reproducer (im issue erwähnt) relativ deterministisch nachstellen.
Warum verwendest du nicht einfach LUKS und macht es den Debian Weg? Dazu gibt es viele Anleitungen, z.B. diese.
Danke für den Hinweis. Warum ist tmp nicht standardmäßig ein tmpfs? Es wäre gut, wenn man das automatisch oder zumindest als option aktivieren könnte, denn im Nachhinein geht es nicht ohne physischen Zugriff auf den Rechner, da man eine Rescue-CD booten muss um /tmp zu löschen (oder etwa doch?)
Last edited:
Klar geht das:
Code:
root@proxmox ~ > df -PHT /tmp
Dateisystem Typ Größe Benutzt Verf. Verw% Eingehängt auf
rpool/ROOT/pve-1 zfs 4,3G 1,6G 2,8G 36% /
root@proxmox ~ > cp /usr/share/systemd/tmp.mount /etc/systemd/system/
root@proxmox ~ > systemctl enable tmp.mount
Created symlink /etc/systemd/system/local-fs.target.wants/tmp.mount → /etc/systemd/system/tmp.mount.
root@proxmox ~ > systemctl start tmp.mount
root@proxmox ~ > df -PHT /tmp
Dateisystem Typ Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs tmpfs 8,4G 0 8,4G 0% /tmp