有没有人有使用密钥文件(最好是在 SD 卡上)的工作实现,而不是提示 ZFS?我知道如何使用 linux LVM/LUKS 来做到这一点。在我看来,FreeBSD 全盘加密解决方案更加安全,但我真的很想使用密钥文件,而不是在启动过程中收到提示。
我找不到用 google-magic 来做到这一点的方法。
答案1
2020 年 1 月更新
这个问题已于 2011 年得到解答,我给出的答案专门针对当代 Solaris 11 的行为。这不适用于 Linux 上的 OpenZFS、illumos 或 ZFS。
话虽如此,对于后代来说,最初的答案仍然存在。
您必须首先创建您的密钥。 ZFS 支持两种类型的基于文件的密钥。十六进制,原始。为此,您可以使用它openssl来生成密钥。
openssl rand -out /media/stick/key 16
创建16一个 16 字节(即 128 位)密钥。对于 192 位或 256 位密钥,分别使用24或32。
然后像平常一样创建数据集,并指定密钥。
zfs create -o encryption=on -o keysource=raw,file:///media/stick/key rpool/encrypted
您还可以使用该-hex标志来openssl rand表示keysource=hex文件中人类可读的十六进制值。