2022. szeptember 29., csütörtök

Gyorskeresés

Útvonal

Cikkek » Számtech rovat

Egy ZFS + LUKS sztori - játék a tűzzel

Titkosítani szerettem volna az asztali gépemet is, mert "mi van, ha ellopják" :)

[ ÚJ TESZT ]

Jó-jó, de mi van Linux újratelepítésnél?

Linux újratelepítés esetén, ahogy ma is tettem, a teendők:

1. alap rendszer telepítés, /boot egy titkosítatlan partícióra, root már titkosítva (legalábbis Debian Testing esetén). Testinget használok, mert az előző rendszerem is az volt, és "sajnos" felfrissítettem a ZFS poolom verzióját a legújabbra, a Linux Mint pedig ugatott, hogy ő a 2-es ZFS-t nem ismeri, hiba itt-ott-amott a poolban, persze, ő még csak 0.8.3-nál jár, vagy hol (Ubuntu LTS alapú). Talán a Mint Edge, mint legfrissebb 'rolling' verzió... de maradok Debian Testingen.

2. Titkosított HDD-k feloldása először. Nézzük, mink van, header és key fájlokat már leszedtem a Protonmail-ről, és a fájlokat korlátoztam, hogy csak a root férjen hozzájuk. Egy /root/luks2/zfsraidz1 könyvtárba tettem a fájlokat.

Fájlok listázása, hogy terminál képernyőn legyenek nekem a wwn számok, annak idején titkosításkor wwn mentén neveztem el a fájlokat, így egyértelműen azonosíthatom később, melyik HDD-hez melyik key és header fájl tartozik.

root@desktop:~/luks2/zfsraidz1# ls -la
total 49172
drwx------ 2 root root 4096 Jun 18 20:22 .
drwx------ 4 root root 4096 Jun 18 20:13 ..
-rw------- 1 root root 16777216 Mar 21 2021 header_0x5000c500c4026a8f.bin
-rw------- 1 root root 16777216 Mar 23 2021 header_0x5000c500c4029c75.bin
-rw------- 1 root root 16777216 Mar 10 2021 header_0x5000c500d50df969.bin
-rw-r--r-- 1 root root 4096 Mar 21 2021 key_0x5000c500c4026a8f.bin
-rw-r--r-- 1 root root 4096 Mar 21 2021 key_0x5000c500c4029c75.bin
-rw------- 1 root root 4096 Mar 10 2021 key_0x5000c500d50df969.bin

3. lemezek feloldása LUKS-szal, itt a parancs végére is megadom a wwn számot, így azon a néven kerülnek be /dev/mapper alá a diszkek:
root@desktop:~/luks2/zfsraidz1# cryptsetup luksOpen /dev/disk/by-id/wwn-0x5000c500c4026a8f --type=luks2 --key-file=/root/luks2/zfsraidz1/key_0x5000c500c4026a8f.bin --header=/root/luks2/zfsraidz1/header_0x5000c500c4026a8f.bin 0x5000c500c4026a8f
root@desktop:~/luks2/zfsraidz1# cryptsetup luksOpen /dev/disk/by-id/wwn-0x5000c500c4029c75 --type=luks2 --key-file=/root/luks2/zfsraidz1/key_0x5000c500c4029c75.bin --header=/root/luks2/zfsraidz1/header_0x5000c500c4029c75.bin 0x5000c500c4029c75
root@desktop:~/luks2/zfsraidz1# cryptsetup luksOpen /dev/disk/by-id/wwn-0x5000c500d50df969 --type=luks2 --key-file=/root/luks2/zfsraidz1/key_0x5000c500d50df969.bin --header=/root/luks2/zfsraidz1/header_0x5000c500d50df969.bin 0x5000c500d50df969

A tab-ot a számok végén egy karaktert visszatörölve érdemes nyomogatni, hogy meggyőződjetek arról, jól írjátok-e, bár vágólapra téve fentebbről őket nincs hiba, azért, ha nem az elvárt viselkedést hozná (pl. nem egészítené ki a .bin-nel a fájl nevét), gyanakodnék, hogy valamit benéztem. Ez csak praktikum.

4. ZFS telepítése:
sudo apt install zfs-dkms zfs-zed zfsutils-linux

Nézzünk egy zpool status-t, most, hogy feloldva a diszkek. Nem a pool miatt, hanem hogy van-e egyáltalán ZFS-ünk a telepítést követően :)

root@desktop:~/luks2/zfsraidz1# zpool status
no pools available

Biztonsági ellenőrzés: megvan mindhárom feloldott HDD a /dev/mapper-ben? Igen, ott vannak.
root@desktop:~/luks2/zfsraidz1# ls -la /dev/mapper
total 0
drwxr-xr-x 2 root root 160 Jun 18 20:29 .
drwxr-xr-x 19 root root 3800 Jun 18 20:29 ..
lrwxrwxrwx 1 root root 7 Jun 18 20:27 0x5000c500c4026a8f -> ../dm-2
lrwxrwxrwx 1 root root 7 Jun 18 20:28 0x5000c500c4029c75 -> ../dm-3
lrwxrwxrwx 1 root root 7 Jun 18 20:29 0x5000c500d50df969 -> ../dm-4
crw------- 1 root root 10, 236 Jun 18 19:31 control
lrwxrwxrwx 1 root root 7 Jun 18 20:24 sam870evo1t -> ../dm-1
lrwxrwxrwx 1 root root 7 Jun 18 19:31 sdb1_crypt -> ../dm-0

4. Pool felismerhetőségének, importálhatóságának ellenőrzése (ez még nem végzi el, csak csekkol egyet):

root@desktop:~/luks2/zfsraidz1# zpool import
pool: zfsraidz1
id: 684849134314292699
state: ONLINE
status: The pool was last accessed by another system.
action: The pool can be imported using its name or numeric identifier and
the '-f' flag.
see: https://openzfs.github.io/openzfs-docs/msg/ZFS-8000-EY
config:

zfsraidz1 ONLINE
raidz1-0 ONLINE
0x5000c500c4026a8f ONLINE
0x5000c500c4029c75 ONLINE
0x5000c500d50df969 ONLINE

5. Pool importálása akkor hát, hiszen minden oké. (Az export megtörtént, mikor az előző OS-sel a gépet lelőttem-újraindítottam, a -f kell és biztonságos is, nem fog a régi OS többet ehhez a poolhoz nyúlni, hisz legyaktam, így ezzel most már a mostani OS-é úgymond a pool szőröstül-bőröstül).

root@desktop:~/luks2/zfsraidz1# zpool import zfsraidz1 -f
cannot share 'zfsraidz1: system error': SMB share creation failed
root@desktop:~/luks2/zfsraidz1# zpool status -v
pool: zfsraidz1
state: ONLINE
scan: scrub repaired 0B in 1 days 08:38:02 with 0 errors on Tue Jun 7 22:47:53 2022
config:

NAME STATE READ WRITE CKSUM
zfsraidz1 ONLINE 0 0 0
raidz1-0 ONLINE 0 0 0
0x5000c500c4026a8f ONLINE 0 0 0
0x5000c500c4029c75 ONLINE 0 0 0
0x5000c500d50df969 ONLINE 0 0 0

errors: No known data errors

Itt volt egy kis nyafi, hogy SMB share-elni még nem tud, hát ja, még nincs fent SAMBA és az előző konfigban azzal együtt használtam a poolt, a metaadatokból itt is ezt tenné... majd alámocskolom egyszer, most nem kell.

A lényeg, hogy megvan a poolom, épen, egészségesen, 2-es verziós ZFS Linux-on és minden feature támogatva, minden ép.

A cikk még nem ért véget, kérlek, lapozz!

Előzmények

  • OpenZFS a mindennapokra

    Az otthon tárolt adatmennyiség növekedése miatt szükségessé válhat saját NAS, melyhez kiváló a ZFS fájlrendszer.

Hirdetés

Copyright © 2000-2022 PROHARDVER Informatikai Kft.