Verschlüsseltes ZFS mit L2ARC SSD

[KaiserN]

Hi,

ich habe meinem Pool eine L2ARC SSD spendiert, allerdings ist mir aufgefallen das nach einem Neustart der Pool anschließend automatisch entschlüsselt ist. Dem war vorher (ohne L2ARC) nicht so, kann man L2ARC beim Neustart löschen lassen bzw. bin ich überhaupt richtig in der Annahme das es seitens L2ARC rührt?

Wäre schön wenn der Pool nach Neustart nicht automatisch entschlüsselt wird, jemand eine Idee dazu?

Gruß

 

[IceBoosteR]

Hi,
das ist seltsam. solange du vorher ein Passwort eingegeben hast, sollte dieses auch weiterhin angefordert werden. ODer hast du nur die Verschlüsselung mit Key ohe Passphrase?

 

[KaiserN]

Hi,

ich musste vorher immer das Passwort + Key hochladen, seit dem die SSD als L2ARC drin ist nicht mehr. Der Pool ist automatisch entschlüsselt. Ich meine eine Gegenprobe gemacht zu haben (L2ARC SSD raus + reboot), kann das aber gerne noch mal wiederholen, bin mir gerade selber nicht sicher!


E: Ich muss das noch mal checken, scheinbar habe ich bei der Neuererstellung des Pools unter V11 das PW noch net gesetzt... Melde mich noch mal wie sich das verhält, hier passt was net! :/

 

[KaiserN]

Hi,

also wenn ich einem verschlüsselten + Passwort gesichertem Pool eine L2ARC SSD hinzufüge wird das Passwort entfernt bei diesem Vorgang, selbiges gilt wenn man diese wieder entfernt und hat zwischenzeitlich das Passwort wieder gesetzt, wird dieses wieder entfernt. Ist das so gewollt, wenn ja welchen Hintergrund hat diese Funktion?

 

[IceBoosteR]

Hey,

das ist echt schwer zu glauben und auch nachzuvollziehen.
Ich kann dir nur vage Vermutungen liefern, warum das so ist, ich würde das sonst einmal im englischen Teil des Forums versuchen, vielleicht kann dir da jemand helfen...
Anosnten sollte es verschlüsselt sein, sonst wäre es tatsächlich ein Designfehler:

https://blog.heckel.xyz/2017/01/08/zfs-encryption-openzfs-zfs-on-linux/

Welche Version läuft denn bei dir?

 

[warri]

Nur um Verwirrung zu vermeiden: Die oben von IceBoosterR verlinkte ZFS Verschlüsselung ist noch nicht in OpenZFS integriert (und damit auch noch nicht in ZFS on FreeBSD oder ZFS on Linux verfügbar). Die aktuelle Diskussion dazu kann in diesem GitHub pull request verfolgt werden.

Wie hier in der Dokumentation beschrieben, nutzt FreeNAS den GELI Verschlüsselungsmechanismus von FreeBSD, der konzeptionell anders funktioniert: Zunächst werden die gesamten Festplatten vollverschlüsselt, und auf dieser Schicht wird dann ein (unverschlüsseltes) ZFS Dateisystem erstellt.
Daher muss man erst die Festplatten entschlüsseln, bevor die darauf enthaltenen ZFS Pools eingehängt werden können.

 

[KaiserN]

@warri das ist mir soweit klar, danke dir für die Erklärung.

Code:

cat /etc/version
FreeNAS-11.0-U1 (aa82cc58d)

zpool get version ZStore
NAME  PROPERTY  VALUE  SOURCE
ZStore  version  -  default

Ich war anfangs nur etwas verwirrt hinsichtlich Ablauf wann was passiert ist, hab das nicht mehr im Kopf gehabt und wollte das daher noch mal nachvollziehen bevor ich hier was falsches schreibe. Aber defakto ist es bei mir so, wenn ich aus meinem Pool die L2ARC entferne ist das Passwort weg, nach einem Reboot ist der Pool eingebunden, ohne Keyupload. Setze ich nun wieder ein Passwort ist wieder alles so wie es soll, nach reboot muss der der Key+Passwort eingegeben werden um den Pool einbinden zu können. Füge ich nun wieder die L2ARC hinzu, fliegt das Passwort wieder raus, nach reboot ist der pool eingebunden. Setze ich nun wieder ein Passwort ist wieder alles so wie es soll, nach reboot muss Key+Passwort eingegeben werden um den pool einbinden zu können.

Das macht mir aktuell echt Kopfschmerzen, denn ich denke das ist so nicht gewollt bzw. schon nen grober Schnitzer hinsichtlich Verschlüsselung.
Wäre klasse wenn das einer nachvollziehen könnte.

 

[warri]

Zumindest im Falle einer Erweiterung des Pools ist das so gewollt.

Wenn du einen verschluesselten Pool erweiterst (also auch durch das Hinzufuegen eines Log/Cache) wird der Verschluesselungskey neu initialisiert.
Danach musst du das Passwort erneut setzen und den Key sichern.

Hier der relevante Abschnitt aus der Dokumentation::

If the existing volume is encrypted, a warning message will remind you that the operation of extending a volume will reset the passphrase and recovery key. After extending the volume, you should immediately recreate both using the instructions in Managing Encrypted Volumes.

Ich habe das Ganze eben mal in einer virtuellen Maschine ausprobiert, und die GUI zeigt ebenfalls eine Warnung wenn du ein L2ARC zu einem verschluesselten Pool hinzufuegst:



Das Entfernen des L2ARC hatte keinerlei Asuwriekung auf die Verschluesselung, nach einem Neustart war der Pool wie erwartet gesperrt, bis das Passwort eingegeben wurde.

 

[KaiserN]

Danke dir! Diesen Hinweis habe ich also 2 mal übersehen Top...
Werde mir das ganze noch mal ansehen!

Gruß