Do chvíle než se podaří integrovat plnohodnotnou podporu šifrování do samotného ZFS, už aby to k čertu bylo, musíme si pomoci jinak.

V následujícím malém mini seriálu popíšu dva možné způsoby šifrování dat v OpenSolarisu. V obou případech si na pomoc vezmeme standardní věci, které již máme v systému k dispozici.

Lofiadm

Hlavním stavebním kamenem úspěchu je utilita lofiadm z projektu loficc, která je určena pro správu souborů jako blokového zařízení, tzn. loopbacku.

Lofiadm má jednu vlastnost. Pokud zadáte k existujícímu šifrovanému souboru nebo zařízení chybné heslo, chybu neohlásí a tváří se spokojeně. Bohužel pak obsah nepřipojíte i kdyby jste se rozkrájeli. Pro každodenní účely používání to někdy může být dosti nepříjemné. Příjemné to může být naopak v případě kdy svá data musíme vydat některému činnému orgánu. :-) Takže pozor.

V jednotlivých dílech nebudu zacházet do podrobností neboť není cílem komplikovat ukázku. Pro demonstraci použijeme obyčejné heslo. Možností je samozřejmě víc. Pokud máte ve svém PC např. TPM čip, heslo můžete uložit do něj nebo použít klíče; keys. Případný zájemce se potřebných informací dočte buďto v manuálových stránkách nebo na internetu.

RBAC

Při sepisování postupu jsem chtěl využít RBAC a přenést tak administrační část na uživatele ale bohužel se mi to příliš nepodařilo. Jednak nejsem v této problematice natolik zkušený abych si to troufl hned z první nastavit a druhak kvůli chybě http://bugs.opensolaris.org/bugdatabase/view_bug.do?bug_id=6428437 která to také tak trošku znemožňuje. Tudíž budeme potřebovat roli Primary Administrator.

Soubor vs. ZFS pool

V prvním díle naleznete postup jak vytvořit šifrovaný soubor, který lze snadno zálohovat např. na DVD. V druhém díle zkusíme postup rozšířit o ZFS.

• Díl první - soubor
• Díl druhý - ZFS pool

Zdroje

• http://hub.opensolaris.org/bin/view/Project+loficc/
• http://blogs.sun.com/darren/date/20090601