2024. március 19., kedd

Gyorskeresés

Útvonal

Cikkek » Számtech rovat

Egy ZFS + LUKS sztori - játék a tűzzel

Titkosítani szerettem volna az asztali gépemet is, mert "mi van, ha ellopják" :)

[ ÚJ TESZT ]

Bevezető - miért is csináltam?

6 db HDD-n használtam 2 ZFS poolt már vagy 4 éve Debian/Ubuntu alatt, desktopként. Úgy döntöttem, titkosítani szeretném a gépet, mert "mi van, ha ellopják". Történtek hibák, de megúsztam élve a ZFS zsenialitásának köszönhetően. Hozom a sztorit, tanulságként minden merész úttörő számára. ;-)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

DISCLAIMER

Nos, van ez a ZFS dolog. Hogy mi ez, és mire jó, stopperos kolléga már leírta az OpenZFS a mindennapokra című cikkében, a kezdőket, a dologgal ismerkedőket arra kérném, itt kezdjék, hogy értsék a továbbiakat.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

A ZFS-ről annyian mondták már, hogy jó dolog, hogy én is belevágtam. Még a FreeNAS-sal annak idején, 2011-12 körül, majd gyorsan NAS4Free-vel menve tovább - még dedikált NAS gépként - egészen addig húztam ezen hibamentesen (!), míg úgy nem döntöttem, lejövök desktopon is a Windows-ról és Linuxozok. Az azóta megújult PC-mre tehát felkerült a Linux és a diszkekre a ZFS.

OS-ként ősi szerelmemhez, a Debianhoz nyúltam, sokáig itt éltem, majd egy apt full-upgrade során, amikor elszállt valami az nVidia DKMS környékén és érzékenyen érintette a "user experience"-emet, úgy döntöttem, jó ez a közösségi disztró, de talán a Canonicalnál talán minőségibb egy release és annak tartalma. Az XFCE sem jött be maximálisan, úgyhogy Ubuntu lett, 1 hónap után a Gnome-ot kicsit elkezdve unni, már most ismét a Kubuntun gondolkodom (el is dőlt). Vissza a jó kis "tálcás OS"-hez, widgetekkel, asztali ikonokkal.

De ha már Linux újrainstall: néha attól tartok, hogy elviszik a gépet és életem nagy titkaiba belelesnek. Ami valljuk be, kellemetlen dolog. Nagyi, papi, családi fotók, emlékek, hobbi fotósként több ezer RAW fájl, és satöbbi. Ha viszik a PC-t, legalább "csak" ezen morogjak, azon ne, hogy látják is, mi van rajta.

Földszinti lakás, rács nélkül és nem biztonsági ajtó. Valószínűleg túlreagálom, jó a környék, van külső lépcsőházajtó is, de az ördög sosem alszik. Így döntöttem a teljes gép full titkosítása mellett - egy nem szokványos módszerrel megfűszerezve.

Ismét egy disclaimer: igen, mondják, hogy a 'RAID' az magas rendelkezésre állás, nem pedig életbiztosítás és a user error (értsd: törölsz valamit) ellen nem véd, vírus, egyéb szoftveres anomália ellen sem. Ugyanakkor van backupom az égően fontos dolgokról polcon is, felhőben is, mindazonáltal a ZFS RAID az adatintegritás-megőrző képessége miatt (is) van nálam használatban két vagy több diszkkel, ennek miértjére és hasznosságára a fentebb linkelt cikk ad választ.

Tehát biztonság. Legalább egy alap szint. Azt már messziről tudtam, hogy az alaplapi RAID felejtős, egy logikai összefűzés lényegében működik, de nem a legtutibb varázslás, Linux softraid is lenne még, de ZFS-sel össze sem hasonlítható még úgy sem, ha a dm-integrity-vel kombinálva az is tudna ma már integritást is biztosítani (azaz bit rot ellen véd, ami mondjuk CRC elektronika nélküli, jellemzően megfigyelésre szánt diszkeknél - WD Purple, Seagate Skyhawk - előferdülhet, ezeknek a firmware-e ugyanis nem "molyol" annyit hiba esetén a korrekción, mint egy NAS diszk, hiszen ész nélkül nonstop mentenie kell a kamerákból jövő adatot. Tehát kevesen tudják, de NAS célra surveillance firmware-ű HDD limitáltan ajánlott, 24 órát bírja, de itt meg is állt a történet, még a többdiszkes setupra sincsen mind felkészítve, pl. RV szenzorokkal).

Töprengtem, mi legyen, ZFS beépített titkosítás (hiszen tudja), vagy a jó öreg LUKS, végül utóbbira szavaztam, a ZFS bár titkosítani képes, hagy magáról nyomokat a HDD-n, én pedig ennél randomabb "szemetet" szeretnék láttatni a kedves érdeklődővel, aki elviszi-ellopja a masinát. Feltételezve, hogy nem valami forensics cégnél dolgozó kőkemény hacker, de alapvetően nem erre készül az ember és ők nem így szoktak betörni. :)

Nézzük, hogyan képzeltem el az egészet, és mi az alap felállás nálam.

A cikk még nem ért véget, kérlek, lapozz!

Előzmények

  • OpenZFS a mindennapokra

    Az otthon tárolt adatmennyiség növekedése miatt szükségessé válhat saját NAS, melyhez kiváló a ZFS fájlrendszer.

Hirdetés

Copyright © 2000-2024 PROHARDVER Informatikai Kft.