所以我每天清理我的笔记本电脑并加载 Ubuntu MATE 21.04。安装过程中我选择 ZFS + 加密。因为我可以 ;)。
那么我刚才做了什么?有人能告诉我一些关于底层工作原理的详细信息吗?我是否获得了 ZFS 原生加密?还是 Luks+ZFS?现在所有加密的内容是什么?根、引导、交换?
另外,我的笔记本电脑有 SSD 和硬盘。是否可以在硬盘上也使用 ZFS + 加密,而无需一直输入密码。也许使用密钥文件?或者有更好的选择吗?
答案1
Linux 上的 ZFS 支持 ZFS 本机加密;从 20.04 桌面开始,您可以修改安装脚本以使根池使用 ZFS 本机加密,所以我推测这就是在 21.04 中选择 ZFS 加密 GUI 选项时发生的情况。
您可以通过获取相关的加密属性来检查所有池的加密状态:
zfs get -p encryption,keystatus,keysource
至于加密的内容和数据集的配置方式:Ubuntu ZFS 安装程序会创建两个池。第一个是位于 /boot 的功能非常有限的 bpool,以及具有多个子数据集的更完整的根数据集 (rpool),如果启用了 ZFS 加密,则只有 rpool 会被加密。
请记住,这zpool list将向您显示系统上的 zpools,并将zfs list显示所有数据集
/usr/share/ubiquity/zsys-setup您可以通过查看安装程序 CD 启动时的文件来检查实际发生的情况以及创建了哪些池。
您当然可以使用硬盘的密钥文件,甚至可以创建一个 systemd 服务文件以在启动期间自动解锁它(这样做是安全的,因为保存密钥文件的数据集不会被解密,直到您输入密码进行磁盘加密)。Arch Linux 指南(但仍然完全适用)在这里:https://wiki.archlinux.org/index.php/ZFS#Unlock_at_boot_time:_systemd