+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

[РЕШЕНО] Возможна ли нативная шифрация корневого раздела ZFS?, Proxmox Виртуальная Среда

Yakuraku

Guest

27.07.2019 15:09:00

Привет, по разным причинам я предпочитаю, чтобы мои данные были зашифрованы на дисках. До сих пор я использовал настройку zfs на luks. Это работало достаточно хорошо, но имело свои причуды и некоторые другие недостатки. Поэтому я был очень рад увидеть нативное шифрование zfs и его поддержку в Proxmox 6 (спасибо за это!). Обеспечить безопасность моих виртуальных машин и тому подобного не составляет особой сложности, так как я контролирую процесс создания пула/наборов данных. Но с rpool, к сожалению, это вне моего контроля, так как он управляется установщиком. Интересный вопрос: возможно ли позже перенести rpool в зашифрованный набор данных?

bytee

Guest

19.03.2020 22:43:00

Спасибо за руководство, у вас есть несколько опечаток и отсутствуют некоторые варианты. В качестве альтернативы режиму отладки (который у меня работает без PS/2 клавиатуры) вы также можете использовать загрузочную флешку Ubuntu 19.10 / 20.04. У нее поддержка ZFS сразу из коробки. Вот моя более подробная и работающая пошаговая инструкция: https://gist.github.com/yvesh/ae77a68414484c8c79da03c4a4f6fd55

JOduMonT Guest	#3 0 20.01.2020 11:19:00 зачем PS/2? почему не USB? а что если у меня 2 USB-клавиатуры? я сделал это, не используя клавиатуры ни PS/2, ни USB, я просто следовал этим инструкциям: https://github.com/chungy/zfs-boottime-encryption

Yakuraku

Guest

20.01.2020 14:54:00

Причина проста: при использовании Proxmox-Installer можно получить доступ к режиму отладки только с помощью клавиатуры PS/2. Не знаю, почему так, но это единственная причина. PS/2 нужна только для этого, больше ни для чего.

Mahatma

Guest

20.03.2020 18:57:00

Спасибо вам обоим за руководство. Думаю, вам стоит добавить -o encryption=on для команды "zfs receive rpool/ROOT/pve-1". Я добавил это, и без этого мои наборы данных pve-1 не шифровались бы, даже с зашифрованным ROOT. В git вместо ROOT написано root, а опция в receive - это -o encryption, а не -x encryption. Почему бы не указать encryption=aes-256-gcm? Кстати, с ubuntu 19.10 live гораздо проще: просто установите пароль и установите openssh-server.

bytee

Guest

20.03.2020 19:39:00

Спасибо! Вы правы, версия с маленькой буквы - это опечатка.. а -o правильный. Я исправил это в Gist, теперь всё должно работать. Что касается aes-256-gcm и aes-256-ccm, тут всё сложнее. Я тоже оставил по умолчанию в своей "версии", сейчас всё ещё обсуждают, какой из них быстрее в зависимости от сценария.. Хотя GCM может быть более безопасным.

nschemel Guest	#7 0 01.05.2021 19:53:00 Большое спасибо всем за эту тему. Это было очень полезно. Я использовал информацию отсюда и добавил кое-что, чтобы разблокировать свой root в proxmox через ssh и иметь зашифрованный набор данных для виртуальных машин и контейнеров. Возможно, это будет полезно кому-то. https://forum.proxmox.com/threads/encrypting-proxmox-ve-best-methods.88191/post-387731

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры