在Linux上使用ZFS加密

Linux上的ZFS是否已经支持加密？如果没有，有计划吗？

我发现了大量有关ZFS + LUKS的信息，但这绝对没意思：我想要ZFS加密，以便可以使用zfs发送到“不可信”的备份服务器来进行复制。即，zfs发送的片段应该被加密。

如果ZoL不支持加密，除了创建zVols并在其之上使用LUKS + EXT之外，还有其他更优雅的方法吗（失去了许多ZFS的优势）？

还没。

工作正在进行中

ZFS加密支持·问题＃494·zfsonlinux / zfs·GitHub（2011-12-14）

tcaputi的ZFS加密·请求＃4329·zfsonlinux / zfs（2016-02-11）–对话的593部分，“……太大，github无法有效处理……将其移至新的PR……”

tcaputi的ZFS加密·拉取请求＃5769·zfsonlinux / zfs（2017-02-09）

参考文献

如何管理ZFS数据加密（Darren Moffat，Oracle，2012-07-23）

Tom Caputi的ZFS本机加密-YouTube（2016-10-10）

本机加密即将出现在OpenZFS中！zfs创建-o加密= on。谢谢Tom Caputi@datto（马修·阿伦斯，2017-03-17）

在建工程的替代方案

正如其他人指出的那样，您确实可以在Linux（ZoL）的ZFS上选择LUKS – Linux Unified Key Setup 。

通常，对于使用ZoL并希望加密的人们来说，cryptofs是不可取的，因为这样会同时失去性能和功能。

ZFS效果最好的时候它是文件系统，而不是当你层别人在它的上面（再次，你可以，但它的次优）。这就是cryptofs的工作（将加密的文件系统放在ZFS之上），这正是为什么您对LUKS如此了解的原因（反之亦然-它可以在由内核管理的加密容器之上配置ZFS-表现出色，而且您不会失去任何ZFS功能。

不幸的是，正如其他人所指出的那样，ZoL实际上并不包括本机文件系统加密，例如当前在Oracle实现中。您必须在ZFS魔术之上（encryptfs）或以下（LUKS）进行加密。

不，Linux上的ZFS不支持本机加密。另一个选择是cryptofs，但是在此时，您将不会找到本机解决方案。

在Arch Linux中，zfs-dkms-git目前使用会为您0.8.0_rc1提供具有native加密功能的内核模块。有关进展，请参见Github 0.8.0里程碑。

• 创建加密设备时，默认选项使用aes-256-ccm。如果你不需要deduplication，你会得到更好的性能使用-o encryption=aes-256-gcm

• 使用以下方法检查native加密支持：

  grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h

提交已合并，现在0.7.1版支持Linux上的完全本机加密。