有一个简单的方法来确定在使用加密算法实际上是什么?我看到唯一相关的特性是“加密”,这对于我来说是“上”。我很好奇什么样的算法实际上是被使用(无论是CCM或GCM),但我没有看到任何方式要求?
加密= | | aes - 128 - ccm | aes - 192 - ccm | aes - 256 - ccm | aes - 128 gcm | aes - 192 gcm | aes - 256 gcm控制加密密码套件(分组密码、密钥长度和模式)用于此数据集。需要启用加密功能池。需要keyformat被设置在创建数据集时。选择加密=当创建一个数据集显示默认加密套件将被选中,目前aes - 256 gcm为了提供一致的数据保护,加密必须指定在创建数据集时,它不能改变。关于加密的更多细节和注意事项请参见加密部分。
非常好的那样;我推测性能很好任何CPU实现AES-NI(或枚),但你知道性能影响有多大J1800之类的吗?我知道他们老了,但是仍然有很多人跑来跑去在嵌入式/工业/无风扇的底盘。
的想法把* * ZFS和磁盘之间的任何东西,无论多么轻量级,令我感到恐惧。非常好的那样;我推测性能很好任何CPU实现AES-NI(或枚),但你知道性能影响有多大J1800之类的吗?我知道他们老了,但是仍然有很多人跑来跑去在嵌入式/工业/无风扇的底盘。
根据我的经验,你做的事情不想要运行没有AESNI ZFS加密在电脑上。他们改进了软件模式,但它仍然非常缓慢。AESNI,它运行在磁盘速度差不多。不,它是一个烂摊子。
我最初尝试加密在旧i7 - 920,这是古老的,但仍然相当性能。ZFS硬件加密是灾难性的坏。系统不能有效地使用下一个沉重的写负载。交换到4790 k立即固定它。
软件改进添加了因为我的实验,但我们有一个最近的海报在Ars论坛试图使用ARM二进制文件,没有使用他们的硬件加速,对他们来说,这是一个灾难。
编辑:如果你没有太多的卷,就像文章说的那样,您可以使用——加密,很快在任何硬件。但是你可能需要脚本解锁过程,每个磁盘,除非你想输入一个密码。我同样的脚本ZFS键加载和安装,所以你可能没有真正失去什么。
这可能有点不可靠,但AFAIK陆很瘦层,所以它可能会反应相当于把ZFS体积直接在金属上。
有一个简单的方法来确定在使用加密算法实际上是什么?我看到唯一相关的特性是“加密”,这对于我来说是“上”。我很好奇什么样的算法实际上是被使用(无论是CCM或GCM),但我没有看到任何方式要求?
zpool得到feature@encryption(体积)名称属性值来源(体积)feature@encryption活跃的地方
zfs得到加密(体积)/(文件集)名称属性值来源(体积)/(文件集)加密aes - 256 - gcm -
实际的问题是,我试图读取加密池,而不是根文件系统:
代码:zpool得到feature@encryption(体积)名称属性值来源(体积)feature@encryption活跃的地方
…这不是我想要的。
然后我做了大量的恶搞试图找到正确的查询字符串,假设它一定feature@墙后面的某个地方。没有找到任何东西。做了一系列的网络搜索,没有发现任何显式的。然后我问,:
代码:zfs得到加密(体积)/(文件集)名称属性值来源(体积)/(文件集)加密aes - 256 - gcm -
瞧,我正在寻找什么。我在错误的地方,错误的语法。zpool feature@encryption是一件事,但显然它只是直接“加密”的文件集。
编辑:注意,我可能会直接算法而不是使用“上”。我花了几天时间研究ZFS和预构建文件系统创建线。
很高兴我能帮助!实际的问题是,我试图读取加密池,而不是根文件系统:
代码:zpool得到feature@encryption(体积)名称属性值来源(体积)feature@encryption活跃的地方
…这不是我想要的。
然后我做了大量的恶搞试图找到正确的查询字符串,假设它一定feature@墙后面的某个地方。没有找到任何东西。做了一系列的网络搜索,没有发现任何显式的。然后我问,:
代码:zfs得到加密(体积)/(文件集)名称属性值来源(体积)/(文件集)加密aes - 256 - gcm -
瞧,我正在寻找什么。我在错误的地方,错误的语法。zpool feature@encryption是一件事,但显然它只是直接“加密”的文件集。
在Linux上,可以编写pam模块来处理。嗯…有什么方法可以同步/使用登录密码/密码自动挂载/负载的关键吗?如,如果我做用户加密的主目录,使用用户密码加密,它可以自动安装/卸载当用户第一次登录时,然后最后一次用户登出?虽然东西像屏幕更复杂,系统需要确保所有用户进程的触摸加密数据集在卸载之前的关键。人力资源管理。听起来会是一个艰难的事情。
我猜一个用户(我想更多的个人笔记本电脑和Linux / * BSD ZFS)基地home-dir是未加密的,但所有的sub-dirs加密的数据集的一部分,然后,在第一个界面登录,提示输入密码来加载密钥。
有一件事我希望ZFS开发可否认的加密。在许多国家,如英国,拥有加密数据,你不能解密在对政府的需求犯罪处以两年或五年的监禁。完全假设合理,如ZFS共享服务器上的人不可能拥有一个加密密钥为给定zvol但ZFS的存在元数据足以证明它的存在。
我意识到跑步ZFS陆会绕过这个限制(欺骗)但它似乎很奇怪,ZFS本身没有命令行选项隐藏的元数据。
我知道你的目标是可能让事情变得简单,但我实际使用提示在自动化(不涉及人类)而不是密钥文件,我只是发现它更方便,例如,在macOS你可以做的:使用提示需要人工手动解锁加密卷。
安全find-generic-password——" ${数据集}" - w | zfs装载键" ${数据集}"
任何人都知道AES的zfs使用自己的实现,或如果它使用内核的现有一个?因为
遵从性。