Verschlüsselung mit Proxmox, ZFS und Debian / Windows
Hier mal zur Überlegung was für einen Sinn macht
Physischer PC
- Festplatte
- Partition mit FS
- Mount / c:\
- Partition mit FS
Proxmox LXC
- Festplatte+Festplatte als Raid
- Dataset
- Mountpoint /rpool/data/subvol-100-disk-0
- Dataset
Proxmox LXC ZFS verschlüsselt
- Festplatte+Festplatte als Raid
- Dataset entsperrt
- Mountpoint /rpool/data/subvol-100-disk-0
- Dataset entsperrt
zfs create rpool/encrypted -o keylocation=prompt -o keyformat=passphrase -o encryption=on
#Datastore im PVE anlegen auf rpool/encrypted
nach Reboot zfs load-key #Passphrase eingeben, dann pct start xxx
Alternativ kann man das auch von außen alle Stunde auf Verdacht oder nach Prüfung per SSH auslösen
Proxmox VM
- Festplatte+Festplatte als Raid
- ZVOL
- Gast Partition mit FS
- Mount / c:\
- Gast Partition mit FS
- ZVOL
Proxmox VM ZFS verschlüsselt
- Festplatte+Festplatte als Raid
- ZVOL entsperrt
- Gast Partition mit FS
- Mount / c:\
- Gast Partition mit FS
- ZVOL entsperrt
zfs create rpool/encrypted -o keylocation=prompt -o keyformat=passphrase -o encryption=on
#Datastore im PVE anlegen auf rpool/encrypted
nach Reboot zfs load-key #Passphrase eingeben, dann qm start xxx
Alternativ kann man das auch von außen alle Stunde auf Verdacht oder nach Prüfung per SSH auslösen
Proxmox VM Gast verschlüsselt
- Festplatte+Festplatte als Raid
- ZVOL
- Volumemanager
- LV mit encrypted FS
- entsperrter Mount / c:\
- LV mit encrypted FS
Verschlüsselung wird bei der Installation vorgenommen. Nach jedem Reboot muss das Passwort in KVM Konsole von Proxmox eingegeben werden. Automatisierung nicht möglich
Abschließend ist das Ziel zu prüfen. Verschlüsselung gegen Diebstahl ist die ZFS Lösung völlig ausreichend. Replikation geht mit Raw (send -w), Backup nur wenn entsperrt ist. Eine Sicherung einer intern verschlüsselten VM ist jederzeit, mit jeder Methode (PBS, ZFS) möglich, muss halt in jeder VM vorgenommen werden, LXCs lassen sich verschlüsselt nur gegen Diebstahl schützen, nicht gegen Einsicht.