番茄网
从 FreeNAS 8.3.1 版本开始支持创建 GELI 全盘加密的 ZFS 卷。FreeNAS® 加密卷主要用于防止硬盘被盗,并不用于防范未授权的软件访问,对于敏感数据的安全问题,还是需要妥善设置 WebGUI 登陆权限和共享数据集的访问权限。
创建 ZFS 加密卷前,需要了解的情况:
- FreeNAS 所创建的 ZFS 加密卷并不是 Oracle ZFS 版本的,因为甲骨文版的 ZFS 是闭源的。
- FreeNAS 创建的 ZFS 加密卷属于全磁盘级加密,并不是文件系统级别的加密。全磁盘加密技术是先对底层所有关联的物理硬盘进行加密,然后将 存储池创建在已加密的磁盘上面。
- 这种加密技术主要面向那些存储敏感数据的用户,在这种加密技术的支持下,无需清空硬盘数据,拔除存储池中的硬盘即可,被拔掉的硬盘可以 作为全新硬盘使用,但原有的数据却不可被其他设备读取。
- 这种加密技术要求独立妥善保管磁盘的加密秘钥,如果加密秘钥和磁盘同时被他人获得,则加密很容易被破解。 应该为加密秘钥设置一个复杂的 密码短语,从而为秘钥再多一层保护,同时应该在多个安全的位置备份加密秘钥,以防丢失。
- 换句话说,如果加密秘钥丢失了,加密卷中的数据可以说几乎是没有办法被读取的,因此,切记妥善备份加密秘钥!
- 每一个 ZFS 加密卷(存储池)都有一个加密秘钥。创建多个加密卷,则每一个加密卷都有一个独立的加密秘钥。对安装了许多块硬盘的 FreeNAS 而言,如果使用了不支持 AES-NI 指令集的 CPU 或不支持硬件加密,都会导致性能损失。没有硬件加密加速器,单块硬盘性能损失在 20% 左 右,随着更多硬盘的加入,系统性能会进一步下降。写入数据时,系统会自动对数据进行加密,读取的时候也会自动进行解密。
- 驻留在 L2ARC 高速读缓存和内存中的数据是被解密的。
- Swap 交换空间始终是被加密的,即使已经为卷解密。
- 无法将已创建的卷转换为加密卷,只能通过新建的的方式 创建 ZFS 加密卷。
- 不支持混合池。也就是说,加密卷中创建的 vdev 虚拟硬盘是会被自动加密的,无法在加密卷中创建不加密的虚拟硬盘。
安全提示:FreeNAS ZFS 加密卷会对组成卷的每一块硬盘分别创建 GELI 主密钥,但每一块硬盘的 GELI 主密钥并不会同用户秘钥同时备份。如果被加密的磁盘最近被操作的扇区发生一丁点错误,都可能直接导致整个 ZFS 加密卷的数据全部丢失。因此,你需要了解《如何手动备份硬盘主密钥》。
