Linux 上的 ZFS 是否已经支持加密?如果没有,是否有计划?
我找到了大量关于 ZFS+LUKS 的信息,但这绝对无趣:我想要 ZFS 加密,以便我可以使用 zfs 发送到“不受信任的”备份服务器进行复制。即,zfs 发送片段应该被加密。
如果 ZoL 不支持加密,除了创建 zVols 并在其上使用 LUKS+EXT(失去许多 ZFS 优势)之外,还有其他更优雅的方法吗?
我有一个 Debian 挤压内核 (linux-image-2.6.32-5-openvz-amd64),根据 Doku 应该支持 cgroups。当我查看内核配置时,确实如此(或者是否需要其他一些内核配置?)
# zgrep -i cgroup /boot/config-2.6.32-5-openvz-amd64
# CONFIG_CGROUP_SCHED is not set
CONFIG_CGROUPS=y
# CONFIG_CGROUP_DEBUG is not set
CONFIG_CGROUP_DEVICE=y
CONFIG_BLK_CGROUP=y
# CONFIG_DEBUG_BLK_CGROUP is not set
CONFIG_NET_CLS_CGROUP=y
此外,根据http://wiki.debian.org/LXC,内核参数 cgroup_enable=memory 可能是必要的。我用它启动内核:
# cat /proc/cmdline
BOOT_IMAGE=/boot/vmlinuz-2.6.32-5-openvz-amd64 root=UUID=6332fe39-7eaa-4519-b6c1-e05808284586 ro cgroup_enable=memory quiet console=ttyS0,57600n8
但是,系统仍然没有cgroup支持!无法挂载 cgroup 文件系统,因为系统甚至不知道文件系统类型:
# mount -t cgroup none /cgroup
mount: unknown filesystem type 'cgroup'
和:
# grep -i cgroup /proc/filesystems
#
所以要么有错误,要么我错过了一些东西。谁能告诉我什么?是否缺少内核参数?内核配置?
我有 2x3TB 的 GPT 磁盘和 zpool,在第一个磁盘 (sda4) 上使用 2.7TB 分区,在第二个磁盘 (sdb4) 上使用 1TB。
\n\n原因是最初两个磁盘都只有 1TB,我随后将它们都替换为 3TB。但在我拥有 1x1TB 和 1x3TB 期间,我将剩余的 3TB 用于另一个分区,现在我想删除该分区。
\n\n我在 Linux 上使用最新的 ZFS (0.6.5.7-8-wheezy)。将池大小调整为完整 2.7TB 的正确方法是什么?
\n\nautoresize目前已关闭。lsblk这是和的当前输出zpool status:
# lsblk\nNAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT\nsda 8:0 0 2,7T 0 disk\n\xe2\x94\x9c\xe2\x94\x80sda1 8:1 0 1M 0 part\n\xe2\x94\x9c\xe2\x94\x80sda2 8:2 0 14,5G 0 part\n\xe2\x94\x82 \xe2\x94\x94\xe2\x94\x80md0 9:0 0 14,5G 0 raid1 /\n\xe2\x94\x9c\xe2\x94\x80sda3 8:3 0 4,2G 0 part\n\xe2\x94\x82 \xe2\x94\x94\xe2\x94\x80md2 9:2 0 4,2G 0 …据我了解,LetsEncrypt DNS 验证的工作原理是在 DNS 中设置静态 TXT 记录(基本上只是一个随机数),然后由 LetsEncrypt 服务器检查。
当我第一次听说它时,我非常兴奋并期待更复杂的东西:公钥存储在我的域的 DNS 中。然后,为了进行验证,我创建一条签名消息,并且 LetsEncrypt 服务器检查签名是否有效。由于 DNS 中的公钥和私钥是我拥有的,这证明了我控制该域。
发现它不能以这种方式工作有点令人失望:它需要手动交互,甚至需要更新新的 TXT 记录。
不使用签名方法是否存在技术原因?如果没有,LetsEncrypt没有实现的原因是什么?
domain-name-system verification digital-signatures lets-encrypt
我有一个到 OpenVPN 服务器的 VPN 隧道。VPN 是一个 Sophos VPN,它在底层使用 OpenVPN。我不知道服务器配置,也不能更改服务器配置。我的隧道端点是 Win 10 (OpenVPN 2.4.8) 上的 tun,其配置如下所示:
ip-win32 dynamic
client
dev tun
proto tcp
verify-x509-name "[...]"
route remote_host 255.255.255.255 net_gateway
resolv-retry infinite
nobind
persist-key
persist-tun
dev-node "OpenVPN"
pull-filter ignore redirect-gateway
route 192.168.20.0 255.255.255.0 vpn_gateway 3
<ca>
[...]
</ca>
<cert>
[...]
</cert>
<key>
[...]
</key>
auth-user-pass
cipher AES-128-CBC
auth SHA256
comp-lzo no
route-delay 4
verb 3
reneg-sec 0
remote [...] 8443
现在我遇到了通过隧道的 SSH 连接挂起的问题debug1: SSH2_MSG_KEXINIT sent(这是 WSL ssh):
$ ssh -vvvv …zfs ×2
zfsonlinux ×2
cgroup ×1
encryption ×1
filesystems ×1
lets-encrypt ×1
linux ×1
linux-kernel ×1
lxc ×1
mtu ×1
openvpn ×1
tcp ×1
verification ×1