💾 Archived View for uplink.si › articles › 2019-11-05_000-sifrirani-zfs.gmi captured on 2022-01-08 at 13:40:53. Gemini links have been rewritten to link to archived content
-=-=-=-=-=-=-
Te dni je izšla nova različica sistema OmniosCE. Verzija 150132 prinaša kar nekaj novosti, med njimi skoraj 10 let pričakovano šifriranje ZFS podatkovnih setov.
Pa poglejmo kako ustvarimo šifrirani podatkovni set.
matjaz@solaris-box:/export/home/matjaz$ head -c 31 /dev/random > kljuc.txt matjaz@solaris-box:/export/home/matjaz$ pfexec zfs create -o encryption=on -o keyformat=raw -o keylocation=file:///export/home/matjaz/kljuc.txt tank/enc matjaz@solaris-box:/export/home/matjaz$ cd /tank/
S prvim ukazom smo generirali naključen šifrirni ključ. 31 naključnih znakov smo zapisali v datoteko, ki smo jo potem uporabili pri pripravi podatkovnega seta. Drugi ukaz ustvari podatkovni set, pomembne pa so tri postavke (-o) ki določajo šifriranje, obliko ključa in mesto, kjer se hrani ključ.
Za to testiranje sem ključ spravil v svoj domač imenik. V realnosti bi bilo bolje ključ shraniti na kak USB ključek. Alternativno lahko opcijo `-o keyformat=raw` nadomestimo tudi z opcijo `passphrase` ali `hex`, opcijo `-o keylocation=file:///…` pa lahko nadomestimo z opcijo `prompt` – v tem primeru lahko namesto uporabe datoteke s ključem, ključ za dekripcijo neposredno vpišemo.
To je šele prvo igranje s šifriranjem. V naslednjih dneh bom zadevo vsekakor še dodatno preizkusil, v bližnji prihodnosti pa verjetno vključil šifriranje vseh diskov.
Kolikor je razumeti, za zdaj še ne deluje šifriranje rpoola. Rpool je zagonski zfs pool. Podporo za dešifriranje bi namreč potreboval tudi zagonski sistem (FICL interpreter programskega jezika Forth).
Eden od pomembnih varnostnih ukrepov je varovanje podatkov, ko sistem ni v uporabi (security of data at rest). Do sedaj je bilo šifriranje mogoče le z uporabo zapletenih konstruktov, ki so kot disk priklopili veliko datoteko in jo pred uporabo dešifrirali, po uporabi pa ponovno šifrirali. To kompliciranje zdaj odpade. Končno, bi lahko rekli. Solaris je šifriranje dobil že v letu 2011, nedolgo po tem, ko je Sun prevzel Oracle. Ker Oracle ni več objavljal izvorne kode sistema, je šifriranje ZFS datotečnih sistemov dolgo časa obstajalo le v komercialnem Solarisu. Po skoraj desetletju so vse potrebne delčke sestavili tudi razvijalci Illumos (jedro sistema OmniosCE).