Ich habe versucht, ein System zu implementieren, bei dem ZFS den Verschlüsselungsschlüssel von einem lokalen HTTP-Server erhält (wie in den offiziellen Oracle-Dokumenten beschrieben ), aber das Erstellen mit zfs create -o encryption=on -o keylocation=https://mykeyserver/keyforthisserver -o keyformat=raw data/enc
schlägt fehl mit
cannot create 'data/enc2': invalid keylocation
Gibt es Pläne zur Umsetzung? Im Moment mounte ich den Schlüssel einfach über nfs und verwende die Methode file:///path
Ja, diese Funktion ist geplant. Es gibt einen ersten Patch für FreeBSD, der libfetch verwendet. Es muss für Linux angepasst werden, um libcurl oder eine andere Bibliothek zu verwenden.
Vielleicht sollte beachtet werden, dass zfs-load-key einen von std-out übergeleiteten Schlüssel akzeptiert, sodass Sie curl verwenden können, um seine Ausgabe an eine Pipe zu leiten, um ein ähnliches Ergebnis zu erzielen. Ich verwende etwas Ähnliches (smbget) und einen systemd-Dienst, um die Schlüssel zu laden, wenn das Netzwerk hoch ist.
Entschuldigung, ich bin mir nicht sicher, ob dies für Rohschlüssel funktioniert, aber es funktioniert für Passphrasen, bei denen die Schlüsselposition auf "prompt" gesetzt ist.
Hilfreichster Kommentar
Ja, diese Funktion ist geplant. Es gibt einen ersten Patch für FreeBSD, der libfetch verwendet. Es muss für Linux angepasst werden, um libcurl oder eine andere Bibliothek zu verwenden.