加密的 ubuntu

加密的 ubuntu

我是 zfs 的新手。

我读到并成功测试了加密的 zfs 是否正常工作。这是一台专业笔记本电脑,因此需要完全加密。当前 (20.04) 设置是单独的 / 和 /home,两个 luks 都加密了。我非常习惯使用 luks,并计划至少将我的 /home 分区移动到 zfs,这样我就可以使用快照和压缩。

我倾向于使用本机 zfs 加密,因为它“应该”是一个更好的集成。

1- 在 luks 加密分区上使用压缩 zfs 的原因是:

a- luks 已经存在很长时间了(= 已经经过了更多的测试),所以我会感觉更舒服一些(我在这一点上错了吗?zfs 加密被认为是生产级的吗?)

b- luks 可以容纳 8 个密钥;而除非我错了,zfs 只有一个密码密钥。我觉得有多个密钥更舒服

  • 可以设置基于 USB 的文件来解锁所有加密分区
  • 通常我会设置一个短的(例如 5-8 个字符)luks 密码;设置一段时间后,如果一切正常,我会更新为更长、更复杂的密码,并删除短密码。我这样做是为了避免因错误的键盘而导致的拼写错误(我住在欧洲,有时会在当地键盘和美国键盘之间切换;至少被这种错误困扰过一次;所以我的短临时密码是防键盘的)。这样,我就可以保留两个密码一段时间,直到我觉得可以安全地删除较短的密码。

现在的问题是:

1- 有什么理由避免在分区(而不是整个磁盘)上使用 zfs 吗?这不是多分区或磁盘 zpool(我想我已经读过一些关于默认不使用缓存的内容 - 如果是分区而不是整个磁盘 - 并且需要手动激活它,但没有找到任何支持这一点或如何解决这个问题的东西,担心如果这是真的,这会隐藏一个实施弱点)

2- 有什么理由避免在 luks 加密分区上使用 zfs ?安全性 / 性能?我担心的是 ubuntu 上 zfs 上相对较新的本机加密 -> 这是生产级的吗?

3-我无法轻松找到有关如何更改 ZFS 数据集密钥的文档 :( ;有什么提示吗?

谢谢![针对关注的问题进行了细微的澄清]

相关内容