98300

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz

FreeNAS 中创建 ZFS 加密卷

[复制链接]
发表于 2020-5-25 13:11:35 | 显示全部楼层 |阅读模式
1395909469845.jpg

    从 FreeNAS 8.3.1 版本开始支持创建 GELI 全盘加密的 ZFS 卷。FreeNAS® 加密卷主要用于防止硬盘被盗,并不用于防范未授权的软件访问,对于敏感数据的安全问题,还是需要妥善设置 WebGUI 登陆权限和共享数据集的访问权限。
创建 ZFS 加密卷前,需要了解的情况:
  •     FreeNAS 所创建的 ZFS 加密卷并不是 Oracle ZFS 版本的,因为甲骨文版的 ZFS 是闭源的。
  •     FreeNAS 创建的 ZFS 加密卷属于全磁盘级加密,并不是文件系统级别的加密。全磁盘加密技术是先对底层所有关联的物理硬盘进行加密,然后将     存储池创建在已加密的磁盘上面。
  •     这种加密技术主要面向那些存储敏感数据的用户,在这种加密技术的支持下,无需清空硬盘数据,拔除存储池中的硬盘即可,被拔掉的硬盘可以     作为全新硬盘使用,但原有的数据却不可被其他设备读取。
  •     这种加密技术要求独立妥善保管磁盘的加密秘钥,如果加密秘钥和磁盘同时被他人获得,则加密很容易被破解。 应该为加密秘钥设置一个复杂的     密码短语,从而为秘钥再多一层保护,同时应该在多个安全的位置备份加密秘钥,以防丢失。
  •     换句话说,如果加密秘钥丢失了,加密卷中的数据可以说几乎是没有办法被读取的,因此,切记妥善备份加密秘钥!
  •     每一个 ZFS 加密卷(存储池)都有一个加密秘钥。创建多个加密卷,则每一个加密卷都有一个独立的加密秘钥。对安装了许多块硬盘的 FreeNAS     而言,如果使用了不支持 AES-NI 指令集的 CPU 或不支持硬件加密,都会导致性能损失。没有硬件加密加速器,单块硬盘性能损失在 20% 左        右,随着更多硬盘的加入,系统性能会进一步下降。写入数据时,系统会自动对数据进行加密,读取的时候也会自动进行解密。
  •     驻留在 L2ARC 高速读缓存和内存中的数据是被解密的。
  •     Swap 交换空间始终是被加密的,即使已经为卷解密。
  •     无法将已创建的卷转换为加密卷,只能通过新建的的方式 创建 ZFS 加密卷。
  •     不支持混合池。也就是说,加密卷中创建的 vdev 虚拟硬盘是会被自动加密的,无法在加密卷中创建不加密的虚拟硬盘。
安全提示:FreeNAS ZFS 加密卷会对组成卷的每一块硬盘分别创建 GELI 主密钥,但每一块硬盘的 GELI 主密钥并不会同用户秘钥同时备份。如果被加密的磁盘最近被操作的扇区发生一丁点错误,都可能直接导致整个 ZFS 加密卷的数据全部丢失。因此,你需要了解《如何手动备份硬盘主密钥》。

相关帖子

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


QQ|Archiver|手机版|小黑屋|番茄论坛

GMT+8, 2020-7-3 20:32 , Processed in 0.183413 second(s), 29 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表