Verschlüsseltes RaidZ erstellen - wie?

[mahlzeit]

Hi,

ich bin ja normaleweise nicht so unfähig aber irgendwie steh ich grad aufm Schlauch.
Ich hab eine Nas4Free Vollinstallation gemacht und wollte jetzt aus meinen 4 2TB Platten ein verschlüsseltes RaidZ machen.

Inzwischen habe ich so ziemlich alles versucht und so wirklich logisch kam mir nichts vor Zu meinem gewünschten Ergebniss bin ich aber nicht gekommen.

Kann mir einer bitte die korrekte Vorgehensweise sagen? Wäre echt super...

Ein verschlüsseltes RaidZ sollte schon besser sein als ein Raid5, oder? Oder gelten die Vorteile vom ZFS im verschlüsselten Modus nicht mehr?

Danke schonmal

[degen]

Moin,
ZFS unterstützt derzeit keine native Verschlüsselung. Sprich alles was Du nun tun kannst sind Workarounds welche auch in die Hose gehen können.

Wenn Du dennoch bereit bis deine Daten zu riskieren.

1. Disks|Management - Festplatten hinzufügen
2. Disks|Encryption|Add - Jede Festplatte einzeln verschlüsseln
3. Disks|Format - Festplatten(.eli) nach ZFS formatieren
4. Disks|ZFS|Pools|Virtual device - Die Festplatten zu einem vdev bündeln (ada2.eli)

degen

[mahlzeit]

Ah, ich seh grad das die ZFS Verschlüsselung in v28 gar nicht enthalten ist...
Den Weg den du mir gezeigt hast habe ich schon versucht - allerdings müsste man dann bei einem neustart jede einzelne platte mit passwort einhängen und so wirklich sicher/praktikabel komt mir die Sache nicht vor...
Muss mal schauen wie ich weiter vorgehe.

Wie ist es eigentlich grundsätzlich?

Wenn ich ein normales Raid 5 habe, kann ein Rebuild schiefgehen wenn eine andere Platte unbemerkte Sektorenfehler hat.
Beim Raid-Z passiert sowas durch das "selbstheilende" ZFS eher nicht oder habe ich etwas falsch verstanden?

[degen]

Moin,

Wenn ich ein normales Raid 5 habe, kann ein Rebuild schiefgehen wenn eine andere Platte unbemerkte Sektorenfehler hat.
Beim Raid-Z passiert sowas durch das "selbstheilende" ZFS eher nicht oder habe ich etwas falsch verstanden?

Prinzipiell kann man sagen das die Wahrscheinlichkeit solcher Fehler bei einem ZFS Setup so ziemlich gegen null geht, vorausgesetzt Du verwendest ECC RAM.
Zur Verschlüsselung:
Vielleicht sollte man sich die frage stellen ob wirklich ALLES verschlüsselt werden sollte oder ob nicht Container ala zvol, TrueCrypt oder Imagefile in manchen fällen ausreichend sind.
Möchte man einfach nur seine Rippz etc. verschlüsseln dann kommt man um ein komplett verschlüsseltes System inclusive RAM und Swap nicht herum. Sodann man sich sicher ist das man das auch durchzieht was die Cops mit einem dann durchexerzieren.

degen

[rostreich]

so wirklich sicher/praktikabel komt mir die Sache nicht vor

Na, wenn das nicht sicher ist, weiß ich auch nicht. Es gibt allerdings workarounds mit keyfiles auf einem USBStick in den Untiefen des Netzes. Aber wenn dir die Cops die Bude stürmen, dann ist Stick abziehen und aus dem Fenster werfen Beweismittelvernichtung.
Sicher ist das mit den Keys auf nem Stick auch bei einem Einbruch nicht.
Welche anderen Szenarien gibt es noch für eine Verschlüsselung im Heimbereich?

Wenn ich ein normales Raid 5 habe, kann ein Rebuild schiefgehen wenn eine andere Platte unbemerkte Sektorenfehler hat.

Jap, erstens deshalb und zweitens krepiert beim Rebuild meist noch eine der anderen Platten, weil die alle bis Maximum während des Rebuilds beansprucht werden.

Beim Raid-Z passiert sowas durch das "selbstheilende" ZFS eher nicht oder habe ich etwas falsch verstanden?

Bei Raidz1 gibt es keine unbemerkten Sektorfehler, wenn man regelmäßig scrubbing macht. Da Raidz1 wie Raid5 aufgebaut ist, darf auch nur eine Platte ausfallen. Allerdings gleiches Problem beim Rebuild, wenn eine andere krepiert. Einen winzigen Bonus gibts allerdings bei ZFS noch: Es muss nur die geschriebene Datenmenge auf die Platte rebuilded werden, nicht die komplette Kapazität einer Platte. Dh es geht schneller und verringert dadurch das Zeitfenster, wo wieder eine Platte ausfallen darf.

Prinzipiell kann man sagen das die Wahrscheinlichkeit solcher Fehler bei einem ZFS Setup so ziemlich gegen null geht, vorausgesetzt Du verwendest ECC RAM.

Da kann man mit regelmäßigem Scrubbing gegen vor gehen. Sicher nicetohave, aber geht in Richtung unbezahlbar im Heimbereich. Wenn man vom Pool sowieso noch ein Kaltbackup fährt, ist es fast 'egal'.

Vielleicht sollte man sich die frage stellen ob wirklich ALLES verschlüsselt werden sollte oder ob nicht Container ala zvol, TrueCrypt oder Imagefile in manchen fällen ausreichend sind.

Prinzipsache. Wie mit Backups. Alles eben, man weiß nie.

Sodann man sich sicher ist das man das auch durchzieht was die Cops mit einem dann durchexerzieren.

Badummtsssss