ZFS Key Load

[Anonymous User]

Hi,

ich habe meine Datasets mit einem Keyfile, welcher auf einem USB Stick liegt, verschlüsselt.

Der Stick wird beim Booten automatisch gemounted und der Key mittels zfs-load-key -a service automatisch geladen und die datasets entschlüsselt. Wenn ich den USB Stick danach entferne, werden die Datasets scheinbar wieder verschlüsselt.

Wie erreiche ich, dass ZFS den Key während der Session cached oder im Ram behält?

SG
Anonymous User

 

[xxMuahdibxx]

ich habe meine Datasets mit einem Keyfile, welcher auf einem USB Stick liegt, verschlüsselt.

Übersetzt .... deine Daten hängen von der Langlebigkeit des Sticks alleine ab ?

Oder noch wo anders die Keyfile gesichert ?

 

[AGB-Leser]

Das ist doch eigentlich der Sinn, dass das nicht woanders gespeichert wird.
Und ja, wir unterstellen dir hier nebenbei einfach mal, dass Du den Schlüssel noch woanders gespeichert hast

 

[Anonymous User]

Übersetzt .... deine Daten hängen von der Langlebigkeit des Sticks alleine ab ?

Natürlich nicht! Den Key habe ich auf mehrere passwortgesicherte Microsd Karten in einem sicheren Case als Backup.

Darum geht es hier aber nicht, sondern nur darum, dass sich die datasets nicht sofort wieder verschlüsseln, wenn ich den Key abstecke.

Und logischerweise beim nächsten Boot nach dem Shutdown wieder verschlüsselt, Strom weg, daten Verschlüsselt...

Ergänzung (25. September 2023)

Das ist doch eigentlich der Sinn, dass das nicht woanders gespeichert wird.
Und ja, wir unterstellen dir hier nebenbei einfach mal, dass Du den Schlüssel noch woanders gespeichert hast

Der Key soll auch nicht gespeichert werden, sondern zwischengespeichert. Das Prinzip ähnelt Ramdisk Server. Die Daten sind nach Stromverlust weg, das gleiche soll auch mit dem Key passieren. Der Key soll beim Booten initialisiert werden und gecached werden und nach Stromverlust etc natürlich wieder "weg" sein.

 

[DJKno]

Der Logik nach ist doch das Verhalten bei dir absolut korrekt.
Solange der Stick steckt, sind die Daten entschlüsselt, wenn abgesteckt direkt wieder verschlüsselt.
Finde ich sogar sehr sinnig so. Quasi nach Prinzip eines Dongle.

 

[Anonymous User]

Ja, vorausgesetzt ich bin Zuhause. Ich betreibe einen Server und in meinem Haushalt sind noch andere Leute. Der Stick soll also nicht permanent stecken.

Passwort wäre eine Lösung, nur habe ich keinen Bock, jeden Morgen ein ewig langes PW einzutippen.

Achso, als wichtige Info noch, wenn die Daten verschlüsselt sind, kann der Server natürlich selbst auch nicht mehr auf die Daten zugreifen...

 

[IBISXI]

Ich mach das mit Passwort.

Nach dem hochfahren Pool unlocken, fertig.


Mir ist nicht ganz klar was Du willst.

Wie erreiche ich, dass ZFS den Key während der Session cached

Definiere Session... wann beginnt und endet die?

 

[Anonymous User]

Mir ist nicht ganz klar was Du willst.

das gleiche Resultat wie bei dir, nur eben mit nem Keyfile und keinem Passwort, ich habe monatelang jeden Morgen mein 12 stelliges PW eingegeben, das hat mich irgendwann genervt.

Definiere Session... wann beginnt und endet die?

jeden Morgen bis nachts, wenn ich schlafen gehe.

 

[IBISXI]

Wenn Du das komplett automatisiert machst, stellt sich dann halt die Frage nach dem Sinn der Verschlüsselung.

Du könntest das Passwort über ein Shellskript eingeben oder das Keyfile über ein Shellskript einbinden.
evtl. automatisch über crontab.

Oder auch per SSH von einem anderen Rechner oder evtl. auch vom Handy.

Oder Du lässt die Hütte gleich durchlaufen.

 

[TorenAltair]

ein ewig langes PW

mein 12 stelliges PW

Was ist daran ewig lang?

Abseits dessen, was soll die Verschlüsselung überhaupt bewirken?

 

[Anonymous User]

Naja gut, wenn niemand eine Idee hat, dann recherchiere ich noch etwas und notfalls ändere ich den Key auf Passwort.

Ergänzung (25. September 2023)

Du könntest das Passwort über ein Shellskript eingeben oder das Keyfile über ein Shellskript einbinden.
evtl. automatisch über crontab.

Oder auch per SSH von einem anderen Rechner oder evtl. auch vom Handy.

Ja, das ist ein guter Vorschlag! Daran hatte ich auch mal gedacht, die Umsetzung war mir damals zu kompliziert. Ich überlege mir das mal mit dem Weg über Handy und SSH.

 

[Donnerkind]

Mir ist nicht ganz klar was Du willst.

Wenn Du das komplett automatisiert machst, stellt sich dann halt die Frage nach dem Sinn der Verschlüsselung.

Abseits dessen, was soll die Verschlüsselung überhaupt bewirken?

Ich habe ein ähnliches Einsatzszenario: ein verschlüsseltes NAS mit ZFS. Aktuell hat es das Keyfile noch im unverschlüsselten Bereich liegen, sodass nur die Platten selbst geschützt sind, nicht aber das Gesamtsystem. Der Hauptgrund, den ich sehe, warum die Kiste nicht ganz von allein die Daten entschlüsseln können soll: wenn ein böser Bub bei mir einbricht und die ganze Kiste mitnimmt (es ist nur ein kleiner 4-Bay-Würfel), soll er an nichts rankommen können, weil ihm der Schlüssel fehlt.

Deshalb will ich beim Hochfahren etwas tun müssen, was das Öffnen der Verschlüsselung veranlasst. Es ist aber aufwendig, eine Tastatur anzustecken (der Würfel steht im Flur, da wäre eine permanent angesteckte störend) oder über SSH einen Dienst zu starten und ein Passwort einzugeben. Es wäre deutlich eleganter, das ZFS einfach mit einem „USB-Schlüssel“ das System beim Hochfahren aufzuschließen. Also: USB-Stick rein, Kiste anschalten, kurz warten, abziehen, fertig.

 

[AGB-Leser]

Mit dem Stick finde ich eine tolle Lösung. Wie habt ihr das gemacht?

 

[jb_alvarado]

Wie wird denn das Dataset automatisch entschlüsselt und gemountet? ZFS macht das ja nicht von alleine. Eigentlich sollte nämlich das Dataset so lange entschlüsselt sein, bis der Schlüssel explizit entladen wird, oder das System neu startet.

 

[gaym0r]

wenn ein böser Bub bei mir einbricht und die ganze Kiste mitnimmt

Und bevor jemand sagt, dies sei unrealistisch. Bei mir wurde vor einigen Jahren eingebrochen und eine (unverschlüsselte) Festplatte mitgenommen. Ich weiß bis heute nicht genau was dort für Daten draufwaren und was der Dieb damit angestellt hat. Aber scheinbar war es nichts kritisches.

Seitdem sind alle Festplatten verschlüsselt und auch ein Server wäre verschlüsselt. Ich würde es ebenfalls per Passwort machen.

 

[Bohnenhans]

Hmm also ich habe uns daheim einen kleinen zentralen Passwort Server auf Basis eines ESP32 gebaut.

Der hat die Passwörter für viele unserer Server/Systeme nur im RAM und ansonsten auf dem Flash mit AES256 verschlüsselt

Die einzelnen Rechner holen sich von dem ihre Passworte automatisch wenn der an ist und unverschlüsselt.

Sind wir länger unterwegs resetten wir einfach den zentralen Passwortserver, die Server fahren dann auch von alleine herunter - und sobald wir zurück sind wird der wieder mit dem "Master-Passwort" entschlüsselt.

Jeder der bei uns die Rechner klaut hat damit nur komplett verschlüsselte Systeme - auch zum Teil komplett verschlüsselte mit Preboot Crypt, bei denen die Passworte per USB Tastatur Emulation automatisch eingetippt werden wenn der Passwortserver läuft.