+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Установка Proxmox VE / ZFS на зашифрованный LUKS том, Proxmox Виртуальная Среда

onlime

Guest

05.04.2017 18:15:00

Насколько мне известно, нет простого способа установить Proxmox VE на ZFS поверх зашифрованного тома LUKS. Для нас и ZFS, и шифрование — это жёсткие требования, и мы бы предпочли использовать установщик Proxmox VE, чтобы как можно быстрее всё запустить. Установка Proxmox VE поверх обычного Debian тоже подходит (как описано на https://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Jessie). Поскольку ZFS на Linux в ближайшем будущем, похоже, не поддерживает нативное шифрование, я хотел бы создать ZFS-пулы поверх тома LUKS. Может кто-то подсказать, как это можно сделать максимально просто? Плюс, есть ли планы добавить поддержку шифрования жёстких дисков в установщик Proxmox VE в ближайшее время?

Ovidiu

Guest

06.07.2017 16:32:00

Я тоже искал что-то подобное, но это, похоже, целая морока, чтобы добиться этого или хотя бы приблизиться. Мои мысли такие: можно отказаться от использования ZFS как RAID-решения и вместо этого применять аппаратный RAID, что упрощает установку Proxmox с LUKS-шифрованием, а затем использовать, например, thin-lvm, который предлагает похожие возможности на те, что есть у ZFS.

Или, вариант номер два — отказаться от использования ZFS как RAID и взять аппаратный RAID, чтобы легко установить Proxmox с LUKS-шифрованием, а ZFS использовать просто как файловую систему, не задействуя его RAID-функции, чтобы при этом пользоваться другими фишками, например синхронизацией снапшотов.

Как вам мои два варианта? Я что-то не так понял?

Nemesiz

Guest

06.07.2017 18:14:00

Я не могу ввести пароль для LUKS при загрузке, поэтому сделал так:
1. Разметка дисков (для 3 SSD):
* bios boot
* ZFS mirror /boot
* LUKS ZFS RAIDZ /
* LUKS ZFS RAIDZ /data
2. Настроил GRUB с защитой паролем для 'e'
3. После установки ОС настроил Mandos (https://wiki.recompile.se/wiki/Mandos) для автоматического ввода пароля. Конечно, я понимаю, что это может быть взломано, но иначе я не могу использовать.

Если бы был прямой доступ для ввода пароля LUKS, я бы сделал так:
1. Разметка дисков (для 3 SSD):
* bios boot
* LUKS ZFS RAIDZ (/ /boot ...) ...

Dennis Busch

Guest

07.07.2017 12:50:00

Мы обсуждали эту тему с одним из наших клиентов из отдела IT-безопасности некоторое время назад. Зацепились за неё основательно. Наш твёрдый совет — использовать SED — самозашифровывающиеся устройства. На самом деле, многие серверные жесткие диски уже поддерживают SED и просто зависят от совместимого BIOS. LUKS отлично подходит для старых систем, но если вы покупаете новые серверы, обращайте внимание на материнские платы и/или контроллеры дисков с поддержкой SED.

Ovidiu

Guest

10.07.2017 13:23:00

У меня есть сервер, совместимый с SED, но хостинг-компания не может гарантировать наличие дисков с поддержкой SED. Они сказали, что, скорее всего, я получу такие при заказе, но это не гарантировано. Кстати, правильно ли я понимаю: для шифрования достаточно, чтобы материнская плата/BIOS и жёсткий диск поддерживали SED, независимо от установленной на сервере операционной системы?

zenny Guest	#6 0 12.02.2018 09:20:00 @Nemesiz, спасибо за информацию. Хотелось бы узнать, ты делал это в PM4 или PM5? И не мог бы немного рассказать о пункте 2 выше? Что такое 'e'? Было бы здорово, если бы ты мог поделиться короткой заметкой с точными командами, которые использовал для настройки. Спасибо, /z

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры