我正在尝试使用 LUKS 安装 ZOL,但我不太清楚如何继续。我有很多关于如何将 ZOL 安装到目标媒体根目录的资料。但是,关于如何将 ZOL 与 LUKS 结合使用的资料并不多。
有人能给我指明正确的方向吗?
答案1
Linux 上的 ZFS 不提供内置加密。您可以做的是将 LUKS 加密卷用作 ZFS 池中的磁盘。
Linux 中的 DMCrypt 内核模块提供块设备级加密,LUKS 使用该工具可以轻松设置和管理密钥cryptsetup
。
您基本上将 ZFS 置于 DMCrypt 之上,因此 ZFS 写入磁盘的所有内容实际上都会即时加密。当 ZFS 读取时,数据将从磁盘读取,解密并传递给 ZFS。您仍然可以获得 ZFS 在卷管理和其他所有方面提供的一切,只是在加密卷之上。听起来不错,但是:
- 我不太确定性能。如果你的 CPU 支持加密,也许还不错。
- 此外,我认为维护会更加困难。如果磁盘损坏,ZFS 会通知您池处于故障状态,您将需要更换驱动器。在将新驱动器附加到池之前,您必须为该特定驱动器设置加密。
我不得不说(我知道你没有问,但我认为这是相关的)我不太喜欢硬盘上的在线/已安装加密卷,因为加密实际上只有在驱动器卸载并与系统分离时才会保护数据。只要系统处于开启状态并且已安装加密分区,数据就可以使用未加密。我认为这里需要做出妥协:加密、更安全的数据,以换取更低的性能和更难的维护。现在,如果您担心有人会拿走您的磁盘,那么也许您有一个很好的使用 ZFS 而不是 LUKS 的案例。
我通常对可移动媒体使用 LUKS,并且不在 USB 驱动器上使用 ZFS,因此在这种情况下更容易做出妥协。
我个人从未将 LUKS 与 ZFS 结合使用过,但其他人却这么做了。例如,你可以看看这篇文章来获得一些启发:使用 Ubuntu 加密 ZFS。