6
Proxmox ZFS mit LUKS
Hallo community,
ich probiere aktuell etwas mit einer Proxmox Installation herum.
Grundlegend habe ich alle meine VM oder Container Daten auf einem ZFS Pool mit einem verschlüsselten Data Set abgelegt. Dieses Data Set möchte ich nun per Key File von einem USB Stick bei jedem Boot automatisch entschlüsseln. Dieses sollte nach meinem Kenntnisstand ohne Probleme möglich sein.
Zusätzlich habe ich auf einer VM eine Disc mit LUKS verschlüsselt. Meine Frage ist, ob das überhaupt notwendig ist.
Angenommen jemand klaut meinen Server inklusive der SSD (aber ohne USB Stick) , dann ist die SSD und das ZFS dataset doch dennoch per ZFS encryption geschützt. Eine gesonderte LUKS encryption benötigt es für den case doch gar nicht oder?
ich probiere aktuell etwas mit einer Proxmox Installation herum.
Grundlegend habe ich alle meine VM oder Container Daten auf einem ZFS Pool mit einem verschlüsselten Data Set abgelegt. Dieses Data Set möchte ich nun per Key File von einem USB Stick bei jedem Boot automatisch entschlüsseln. Dieses sollte nach meinem Kenntnisstand ohne Probleme möglich sein.
Zusätzlich habe ich auf einer VM eine Disc mit LUKS verschlüsselt. Meine Frage ist, ob das überhaupt notwendig ist.
Angenommen jemand klaut meinen Server inklusive der SSD (aber ohne USB Stick) , dann ist die SSD und das ZFS dataset doch dennoch per ZFS encryption geschützt. Eine gesonderte LUKS encryption benötigt es für den case doch gar nicht oder?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6853238015
Url: https://administrator.de/contentid/6853238015
Printed on: April 28, 2024 at 00:04 o'clock
6 Comments
Latest comment
Die Frage ist eben, was dein Ziel ist. Brauchen tut man es wohl nicht wirklich, denn wenn jemand deinen Server quasi frisch mitten im Betrieb vom Netz trennt und stiehlt, kann er auch eine Cold Boot Attacke durchführen um die Keys aus dem RAM auszulesen.
Allerdings braucht es dazu schon einiges Wissen und Fertigkeiten.
Allerdings braucht es dazu schon einiges Wissen und Fertigkeiten.
Naja, aber wenn das Gerät geklaut wird, heißt doch vom Strom trennen -> RAM futsch...oder?
Was ich sonst noch sehe ist. Wenn ich eine DIsk und eine ganze VM mit mehreren Disk von meinem Proxmox Host hole und in einer anderen Umgebung laufen lassen möchte, die nicht den verschlüsselten ZFS "Container" bietet wären die VM disk unverschlüsselt. Sehe ich das richtig?
Ich habe gerade mal bisschen probiert den Weg den ich getestet habe ist allerdings rein für LUKS Partitionen:
1. Keyfile on USB-Stick
2. Stick per fstab mounten
3. LUKS partition öffnen mit key vom USB-Stick
4. Nach Boot: script zum unmounten des USB Sticks ausführen
5. Stick kann dann abgezogen werden
Mit "nofail" option habe ich so ein System mit dem ich per USb Stick und Keyfile schon mal die reine LUKS Partition öffnen kann.
Was ich mich gerade frage, wenn ich denselben stick mit anderem keyfile nun auch für ZFS nehmen möchte, müsste ich den Stick auf meinen Proxmox Host mounten, kann ich diesen dann noch an die die VM durchreichen?
Sonst müsste man umständlich (aber machbar) etwas entwicklen mit dem ich ich die oben genannte Prozedur auf dem Host für ZFS ausführe. Damit ist der Stick nicht mehr gemountet und könnte dann für die VM genutzt werden?
Kann ein Stick eignetlich an mehrere VM gleichzeitig durchgereicht werden oder gibt es dann Probleme mit ggf. parallemen Zugriff?
Was ich sonst noch sehe ist. Wenn ich eine DIsk und eine ganze VM mit mehreren Disk von meinem Proxmox Host hole und in einer anderen Umgebung laufen lassen möchte, die nicht den verschlüsselten ZFS "Container" bietet wären die VM disk unverschlüsselt. Sehe ich das richtig?
Ich habe gerade mal bisschen probiert den Weg den ich getestet habe ist allerdings rein für LUKS Partitionen:
1. Keyfile on USB-Stick
2. Stick per fstab mounten
3. LUKS partition öffnen mit key vom USB-Stick
4. Nach Boot: script zum unmounten des USB Sticks ausführen
5. Stick kann dann abgezogen werden
Mit "nofail" option habe ich so ein System mit dem ich per USb Stick und Keyfile schon mal die reine LUKS Partition öffnen kann.
Was ich mich gerade frage, wenn ich denselben stick mit anderem keyfile nun auch für ZFS nehmen möchte, müsste ich den Stick auf meinen Proxmox Host mounten, kann ich diesen dann noch an die die VM durchreichen?
Sonst müsste man umständlich (aber machbar) etwas entwicklen mit dem ich ich die oben genannte Prozedur auf dem Host für ZFS ausführe. Damit ist der Stick nicht mehr gemountet und könnte dann für die VM genutzt werden?
Kann ein Stick eignetlich an mehrere VM gleichzeitig durchgereicht werden oder gibt es dann Probleme mit ggf. parallemen Zugriff?
Naja, aber wenn das Gerät geklaut wird, heißt doch vom Strom trennen -> RAM futsch...oder?
Nicht wenn er den RAM vorher mit Kältespray behandelt...Kann ein Stick eignetlich an mehrere VM gleichzeitig durchgereicht werden oder gibt es dann Probleme mit ggf. parallemen Zugriff?
Stick überflüssig, Tang und Clevis sind deine Freunde 😉.Einen Stick kann man klauen, abhängige Server gleichzeitig an anderer Stelle wird ziemlich schwer.
Cheers briggs
Zitat von @6247018886:
Naja, aber wenn das Gerät geklaut wird, heißt doch vom Strom trennen -> RAM futsch...oder?
Nicht wenn er den RAM vorher mit Kältespray behandelt...Interessanter Lesestoff für lange Sitzungen..
habe noch mal etwas probiert,
Usb Stick an zwei hosts, erst einen booten, unmount und dann den anderen funktioniert nicht. Was ich auch festgestellt habe, dass der filerestore mit dem PBS mit einem LUKS device scheinbar auch nicht möglich ist.
Alles irgendwie etwas unrund...
Usb Stick an zwei hosts, erst einen booten, unmount und dann den anderen funktioniert nicht. Was ich auch festgestellt habe, dass der filerestore mit dem PBS mit einem LUKS device scheinbar auch nicht möglich ist.
Alles irgendwie etwas unrund...
Ich habe gerade mal bisschen probiert den Weg den ich getestet habe ist allerdings rein für LUKS Partitionen:
1. Keyfile on USB-Stick
2. Stick per fstab mounten
3. LUKS partition öffnen mit key vom USB-Stick
4. Nach Boot: script zum unmounten des USB Sticks ausführen
5. Stick kann dann abgezogen werden
DIese Lösung funktioniert nun. Hat aber etwas gedauert
1. Keyfile on USB-Stick
2. Stick per fstab mounten
3. LUKS partition öffnen mit key vom USB-Stick
4. Nach Boot: script zum unmounten des USB Sticks ausführen
5. Stick kann dann abgezogen werden
DIese Lösung funktioniert nun. Hat aber etwas gedauert
