2022. szeptember 28., szerda

Gyorskeresés

Útvonal

Cikkek » Számtech rovat

Egy ZFS + LUKS sztori - játék a tűzzel

Titkosítani szerettem volna az asztali gépemet is, mert "mi van, ha ellopják" :)

[ ÚJ TESZT ]

Így csináld - ha ugyanilyen dolgokon agyalsz

Ha hasonlón agyalsz, hogy LUKS-al titkosítanál, és rajta ZFS, ahogy rengetegen is csinálják a világban amúgy, és működik... pár tipp, trükk, infó:

- LUKS2-zz titkosításkor (cryptsetup luksFormat --type luks2 ...)

- a fizikai szektorméretekkel egyező sector size-ot adj meg titkosításkor (cryptsetup luksFormat ... --sector-size ... ), és ez lehet 512 vagy 4096, utóbbi advanced format esetén

- zpool-t ha kreálsz, 512 sector méretű lemezen, bár auto-detektál a ZFS, ashift=9 paramétert érdemes kézzel beadni neki, advanced format meghajtó esetén ashift=12 -t (kettő a tizenkettediken).

- mirror vs. RAIDZ1: meglévő RAIDZ1 pool elemeit nem tudod mirrorhoz hasonló módon +1 HDD-vel ideiglenesen ellátni, míg egyet offline-olsz titkosítás célból. A HDD offline-ra tevésével, kivételével rizikót vállalsz RAIDZ1-gyel, hogy resilver alatt valami nem lesz kerek a nonstop olvasós, nagyobb igénybevétel miatt. Ha van 4 diszked és kicsit is fontosabb Neked az ezekre tett adat, mint nekem e példában, akkor RAIDZ2-zz!!! (RAID6 ekvivalens). Ez 2 diszk bukását is megengedi, persze 2 diszknyi kapacitást is buksz. Opció még 4 lemez esetén RAIDZ2 helyett a RAID10-ekvivalens setup, tehát eszközök mirrorba, és ők utána stripe-ba, a mirrorokat pedig ideiglenesen fel "illene" bővíteni 3-diszkesekre, míg a két eredeti HDD-iket titkosítod és resilver-ek lemennek.

- érdemes a LUKS header (fejléc) nélkül titkosítani minden HDD-t, a headert pedig külön tárolni + dupla (szintén kódolt) backup róluk valami félbiztonságos helyen, különben örökre is bukhatod az adataidat, ha Te magad sem férsz később hozzájuk. Én egy hosszú-bonyi, de régóta betéve tudott jelszavammal védett 7z archívba tettem a key és header fájlokat és a Protonmail rendszerében email-ben mellékletként elküldtem magamnak. :) Aki nem ismeri, járjon utána, mit tud. Svájc, CERN-ből lepattant privacy-központú cég, én nem egy Snowden vagyok, így nekem ez már nagyon jó (jobb, mint egy Gmail). Most már van ProtonDrive is, hasonlóan agyontitkosítva náluk minden...

- a cryptsetup luksOpen parancsnál, amikor feloldasz egy titkosított kötetet, a ZFS miatt érdemes konzisztensen mindig ugyanazt a /dev/mapper-be kerülő nevet használni. Esetemben a HDD-k szériaszámának utolsó blokkját használtam erre, kisbetűkkel, ez látszik a lentebbi kimeneten is. Így, ha egyszer egy OS-összeomlás, vagy bármi egyéb miatt akár live Linux-ból, akár egy újabb Linuxból szeretnéd a poolt importálni a feloldott diszkekkel, tudni fogod, hogy "annak idején" mi is volt a mapper device neve (amit a ZFS mint eszköznevet tárol el). Ez csak hasznos dolog, nem kötelező, de így van "rend" később is szerintem, és egyszerűsíti az életet.

A cikk még nem ért véget, kérlek, lapozz!

Előzmények

  • OpenZFS a mindennapokra

    Az otthon tárolt adatmennyiség növekedése miatt szükségessé válhat saját NAS, melyhez kiváló a ZFS fájlrendszer.

Hirdetés

Copyright © 2000-2022 PROHARDVER Informatikai Kft.