Dokumentation

Dokumentation von den Kursen von sysops

Verschlüsselung mit Proxmox, ZFS und Debian / Windows

Verschlüsselung mit Proxmox, ZFS und Debian / Windows

Hier mal zur Überlegung was für einen Sinn macht

Physischer PC

Festplatte
- Partition mit FS
  - Mount / c:\

Proxmox LXC

Festplatte+Festplatte als Raid
- Dataset
  - Mountpoint /rpool/data/subvol-100-disk-0

Proxmox LXC ZFS verschlüsselt

Festplatte+Festplatte als Raid
- Dataset entsperrt
  - Mountpoint /rpool/data/subvol-100-disk-0

zfs create rpool/encrypted -o keylocation=prompt -o keyformat=passphrase -o encryption=on

#Datastore im PVE anlegen auf rpool/encrypted

nach Reboot zfs load-key #Passphrase eingeben, dann pct start xxx

Alternativ kann man das auch von außen alle Stunde auf Verdacht oder nach Prüfung per SSH auslösen

Proxmox VM

Festplatte+Festplatte als Raid
- ZVOL
  - Gast Partition mit FS
    - Mount / c:\

Proxmox VM ZFS verschlüsselt

Festplatte+Festplatte als Raid
- ZVOL entsperrt
  - Gast Partition mit FS
    - Mount / c:\

zfs create rpool/encrypted -o keylocation=prompt -o keyformat=passphrase -o encryption=on

#Datastore im PVE anlegen auf rpool/encrypted

nach Reboot zfs load-key #Passphrase eingeben, dann qm start xxx

Alternativ kann man das auch von außen alle Stunde auf Verdacht oder nach Prüfung per SSH auslösen

Proxmox VM Gast verschlüsselt

Festplatte+Festplatte als Raid
- ZVOL
- Volumemanager
  - LV mit encrypted FS
    - entsperrter Mount / c:\

Verschlüsselung wird bei der Installation vorgenommen. Nach jedem Reboot muss das Passwort in KVM Konsole von Proxmox eingegeben werden. Automatisierung nicht möglich

Abschließend ist das Ziel zu prüfen. Verschlüsselung gegen Diebstahl ist die ZFS Lösung völlig ausreichend. Replikation geht mit Raw (send -w), Backup nur wenn entsperrt ist. Eine Sicherung einer intern verschlüsselten VM ist jederzeit, mit jeder Methode (PBS, ZFS) möglich, muss halt in jeder VM vorgenommen werden, LXCs lassen sich verschlüsselt nur gegen Diebstahl schützen, nicht gegen Einsicht.