Direkt zum Hauptinhalt

Verschlüsselung mit Proxmox, ZFS und Debian / Windows

Hier mal zur Überlegung was für einen Sinn macht

Physischer PC
  • Festplatte
    • Partition mit FS
      • Mount / c:\
Proxmox LXC

  • Festplatte+Festplatte als Raid
    • Dataset
      • Mountpoint /rpool/data/subvol-100-disk-0

Proxmox LXC ZFS verschlüsselt

  • Festplatte+Festplatte als Raid
    • Dataset entsperrt
      • Mountpoint /rpool/data/subvol-100-disk-0

zfs create rpool/encrypted -o keylocation=prompt -o keyformat=passphrase -o encryption=on

#Datastore im PVE anlegen auf rpool/encrypted

nach Reboot zfs load-key #Passphrase eingeben, dann pct start xxx

Alternativ kann man das auch von außen alle Stunde auf Verdacht oder nach Prüfung per SSH auslösen

Proxmox VM

  • Festplatte+Festplatte als Raid
    • ZVOL
      • Gast Partition mit FS
        • Mount / c:\


Proxmox VM ZFS verschlüsselt

  • Festplatte+Festplatte als Raid
    • ZVOL entsperrt
      • Gast Partition mit FS
        • Mount / c:\

zfs create rpool/encrypted -o keylocation=prompt -o keyformat=passphrase -o encryption=on

#Datastore im PVE anlegen auf rpool/encrypted

nach Reboot zfs load-key #Passphrase eingeben, dann qm start xxx

Alternativ kann man das auch von außen alle Stunde auf Verdacht oder nach Prüfung per SSH auslösen

Proxmox VM Gast verschlüsselt

  • Festplatte+Festplatte als Raid
    • ZVOL
    • Volumemanager
      • LV mit encrypted FS
        • entsperrter Mount / c:\
Verschlüsselung wird bei der Installation vorgenommen. Nach jedem Reboot muss das Passwort in KVM Konsole von Proxmox eingegeben werden. Automatisierung nicht möglich
Abschließend ist das Ziel zu prüfen. Verschlüsselung gegen Diebstahl ist die ZFS Lösung völlig ausreichend. Replikation geht mit Raw (send -w), Backup nur wenn entsperrt ist.  Eine Sicherung einer intern verschlüsselten VM ist jederzeit, mit jeder Methode (PBS, ZFS) möglich, muss halt in jeder VM vorgenommen werden, LXCs lassen sich verschlüsselt nur gegen Diebstahl schützen, nicht gegen Einsicht.