FreeBSD + ZFS + Encryption? Des alternatives? Suggestions?

Je voudrais créer un serveur physique dédié qui fonctionnera comme un NAS et un serveur de fichiers à l'intérieur de mon LAN (ainsi que via VPN).

Cependant, j'ai besoin de crypter complètement les disques (ceux du système et ceux des données, car je pense que j'utiliserai deux zpools). Étant donné que le cryptage ZFS n'est pas pris en charge dans la version 28, ce que FreeBSD prend en charge (et OpenIndiana, Nexenta, ...), la seule possibilité semble être d'utiliser GELI.

Maintenant, je pense que l'ajout d'une couche GELI au-dessus de ZFS pourrait entraîner une perte de données. Certains messages sur Internet (mais pas beaucoup) semblent signaler ce problème. En particulier, ZFS semble être un système de fichiers bien supérieur à tout autre dans le monde Unix / Linux (par exemple ext4, xfs ainsi que btrfs) compte tenu de l'intégration de RAID (Z) et de la somme de contrôle.

Maintenant, ajouter GELI en plus de cela me semble comme ajouter LUKS en plus d'une configuration RAID, même si je n'ai jamais expérimenté Geli et je ne connais pas sa fiabilité. Les performances ne sont pas un problème principal, bien que je préfère ne pas avoir de transfert de 1 Mo / s sur mon réseau local (> 20 Mo / s seront cependant acceptables).

Je ne suis jamais sorti de mon monde Linux donc je n'ai pas d'expérience avec FreeBSD ou les dérivés Solaris. Je préfère ne pas utiliser Solaris Express 11 en raison du problème de support payant (cher). Ce sera un ordinateur à la maison. Je serai disposé à les apprendre si nécessaire.
Le serveur devra effectuer les tâches de base du NAS (en particulier le partage de fichiers samba / cifs, je n'ai pas besoin de celles intégrées aux nouvelles versions de ZFS).

Après avoir considéré la couche de chiffrement, GELI + ZFS sera-t-il plus ou moins fiable que LUKS + LVM + ext4 ? J'ai demandé dans un autre article sur le superutilisateur et ils ont suggéré FreeBSD / Solaris (es) à cause de ZFS, bien que nous n'ayons pas parlé de cryptage. Je ne sais pas si OpenIndiana et autres supportent une méthode de cryptage de bloc comme LUKS ou GELI.

De plus, sera-t-il facile d'ajouter un disque à la baie, de développer le RAID (Z) et le système de fichiers comme nous le faisons sous Linux (par exemple ici )?

Vous devriez pouvoir utiliser l'un des fournisseurs geom pour le chiffrement avec ZFS, mais vous devez chiffrer les appareils sous le ZFS. Je configurerais probablement geli, puis ferais une partition gpt à l'intérieur du type freebsd-zfs, puis je partirais de là.

Je vous recommande de tester les deux solutions (freebsd et linux) et de décider en fonction du temps et des performances de l'administrateur système, ce qui est logique pour vous.

Solaris 11 prend en charge le chiffrement natif dans ZFS. Si vous n'êtes pas lié à BSD, c'est quelque chose à considérer. Il est gratuit à utiliser pour des utilisations hors production, vous pouvez donc l'utiliser à la maison sans avoir à acheter une licence de support.

Pour agrandir votre pool, vous devrez ajouter plus de vdev, vous ne pouvez pas agrandir un seul raidz ou un autre type de vdev en y ajoutant plus de disques. Cependant, une fois que vous commencez à ajouter plus de vdevs, ZFS répartira les données entre eux et vous obtiendrez des performances supplémentaires.

Je ne pense pas que vous ayez à vous soucier indûment des pertes de données. Geli sur FreeBSD est mature et selon mon expérience a été à l'épreuve des balles. Geli d'abord, puis ZFS sur le dessus . Vous pouvez ensuite utiliser zpool pour créer des pools dans la configuration de votre choix - lecteur unique, miroirs, RAID-Z, peu importe.

Ma propre expérience:

J'ai un serveur domestique FreeBSD 9 avec une configuration similaire - deux disques, un zpool sur chacun. C'est une configuration ZFS sur racine - pas d'UFS. Un lecteur est un système, l'autre est des données. Le lecteur de données a un cryptage complet du disque, pas le lecteur système (bien que je pense qu'il n'y a aucune raison pour laquelle il ne pouvait pas - je voulais juste éviter la complication supplémentaire).

J'ai utilisé geli pour crypter le lecteur de données nu. ZFS (strictement, zpool) voit cela comme n'importe quel autre périphérique de bloc et vous appelez simplement "zpool create ..." de la manière normale, et à partir de là, vous créez des jeux de données zfs sur le pool comme vous le souhaitez.

La performance n'a pas été un problème dans mon cas d'utilisation. Le mien fonctionne parfaitement bien sur un Atom D520 de 4 Go. Probablement pas rapide comme l'éclair (les disques ne sont qu'à 5200 tr / min 2,5 ", pour une faible puissance / bruit) mais bien pour le service de réseau domestique.

Cette configuration fonctionne sans problème depuis quelques années maintenant.

Si vous supprimez un chiffrement complet du disque (FDE) comme LUKS ou Geli sur ZFS, vous n'utiliserez pas autant de fonctionnalités de ZFS. Cependant, si vous mettez ZFS sur FDE, cela fonctionnera.

J'ai récemment entendu des discussions d'experts FreeBSD ZFS où ils recommandent PEFS sur ZFS car cela permet à ZFS de voir toujours les fichiers individuels. Il est possible que PEFS configurable en dossiers et fichiers soit configurable et intégré dans la bibliothèque FreeBSD ZFS à l'avenir.

Bien que des experts en cryptographie recommandent de ne pas dépendre du cryptage complet du disque, je pense que sur FreeBSD ou Linux, un chaînage de différentes stratégies de cryptage peut être une stratégie raisonnable.

Par exemple: Raw Disk -> FDE (Geli / LUKS) -> ZFS -> (for / home) Userland Encryption using PEFS or EncFS. Avec ce modèle, si le chiffrement complet du disque est compromis, et d'après ce que je comprends, ce n'est pas si difficile si quelqu'un a les ressources et la motivation, vous aurez toujours le PEFS / EncFS pour protéger vos fichiers les plus importants, ce qui sera beaucoup plus difficile à fissure.