[Sammelthread] ZFS Stammtisch

[asm@s24]

ZFS NAS liegt seit dem Wochenende in Version 4.0 vor.

Version 5.0 ist in Entwicklung, gibt jetzt schon eine Demo bei YouTube zur neuen Version:

Youtube DEMO - Version 5.0.0 with ZFS Encryption Support and a lot more ! · macgaver zfsnas-chezmoi · Discussion #8

https://youtu.be/usFcZ15AyOs?si=yTsC6OvpX8LF_uXZ Since everyone was asking for a more precise video format, we started a fresh youtube channel for our video demo Comments are welcome !

github.com

Da wird richtig Gas gegeben!
Wobei ich mal ne Frage habe, ist das ein 1-Mann Projekt?

Sind nicht die meisten guten Projekte auf GitHub One-Man-Shows...?

 

[BobbyD]

Wobei ich mal ne Frage habe, ist das ein 1-Mann Projekt?

Sieht schon verdammt gut aus, aber ist es vertrauenswürdig? Scheint ein Franzose zu sein, er spricht öfter mal von "wir", aber lt. Github ist er der einzige Entwickler. Wie viel RAM schluckt seine Software, hat das wer gemessen?
Wenn sich das nahtlos neben Proxmox einfügen würde, das wär super. Aber auch Stand-Alone scheint es eine gute Figur zu machen.

 

[asm@s24]

Wie viel RAM schluckt seine Software, hat das wer gemessen?

Wenn Du mir 'n Tipp gibst, wie ich das mach, dann mach ich das.

 

[BobbyD]

Irgendwas mit top?
Sry, absoluter Linux-Noob.

 

[toscdesign]

Ich hab mal nen Sammler angelegt, ist besser wenn wir uns dort dazu unterhalten:

[Sammelthread] - ZFS NAS Chezmoi

https://github.com/macgaver/zfsnas-chezmoi Da es aktuell in aller Munde ist, habe ich mal den passenden Sammler angelegt.

www.hardwareluxx.de

 

[gea]

Ich hab hier ein großes Z1 aus 4 Platten, welches über die Zeit erweitert wurde um einen SVDEV Mirror und später nochmal um eine weitere HDD auf 5 Platten im Z1.

Eigentlich müssen die Daten ja neu geschrieben werden, um a) ihre Metadaten am SVDEV zu haben und auch um "den richtigen Speicherplatz" zu verbrauchen, da wohl schon geschriebene Daten am Z1 weiterhin auf den 4 Platten liegen und nicht über 5 verteilt sind.

Gibts da eine Art "rewrite" Befehl, ähnlich wie ein Scrub oder so?
Ne elegante Lösung?

zfs-rewrite.8 — OpenZFS documentation

openzfs.github.io

 

[gea]

OmniOS r151056t (2026-03-14)
Weekly release

Release Notes

illumos based server OS with ZFS, Bhyve, DTrace, Crossbow, SMF and Linux zone support

omnios.org

reboot erforderlich

Security Fixes
hauptsächlich zu SSL and CPU microcode

Für napp-it mit TLS email, rerun TLS setup:

napp-it // webbased ZFS NAS/SAN appliance for OmniOS, OpenIndiana and Solaris : Downloads

napp-it.org - ZFS NAS SAN Server with user editable web-gui // All In One server = virtualized ready to run ZFS-Server

www.napp-it.org

 

[toscdesign]

wenn du das nur entschlüsseln willst kannste einfach

echo "$PASSWORD" | zfs load-key "$ENCRYPTED_VOLUME"

also z.B.

in der CLI eingeben und anschliessend evtl noch mounten mit

zfs mount "$ENCRYPTED_VOLUME"



also z.B.
echo "geheimespwd" | zfs load-key "tank/cryptomatic"
zfs mount "tank/cryptomatic"


der mountpoint ist im ZFS (Sub)Volume definiert.

Das hat so 50% funktioniert 😅
Ich habe für "pve_data" das Passwort eingegeben und gemounted.



Das Dataset das nach "backup" folgt sehe ich gar nicht:



Edit:
Ok ich muss also auch "pbs_data" extra mounten.
Muss ich das bei jedem Subdataset machen einzeln machen?

 

[Bzzz]

1. zpool import Pool1
2. echo "geheimespwd" | zfs load-key "Pool1/cryptomatic"
3. zfs mount "Pool1/cryptomatic"

Das ist, und wir werden ja alle nicht jünger, stets eine gute Idee. Dann hat man sein hochgeheimes Passwort noch in der Bash-Historie stehen, wenn mans mal vergessen hat

 

[toscdesign]

@Bzzz
Danke für den Tipp, hab die History gleich mal gelöscht.
Ist aber in dem Fall nicht weiter schlimm, da lagen keine wichtigen Daten drauf.

Wie würdest du das dann lösen?
In einem Script?

So wie hier, beispielsweise?

#!/bin/bash

echo -e "\e[94m Please enter password\e[0m"
read -s PW
echo ""



## command for opening the encrypted device
# example for hdd: "echo $PW | cryptsetup luksOpen /dev/sda sda-crypt"
# example for ssd: "echo $PW | cryptsetup luksOpen /dev/nvme0n1p3 nvme-crypt"
echo $PW | cryptsetup luksOpen /dev/nvme0n1p3 appcrypt

 

[Tundor]

Genau, du musst halt ne explizite Secretabfrage nutzen, und es nicht plain als bash command eingeben.

 

[Bzzz]

Was spricht gegen die direkte Eingabe? Das Skript hält ja dafür an, so ists ja nicht.
Ich mounte und unmounte mein verschlüsseltes NVMe-Masterarray so:

#!/bin/bash
set -x
sudo sysctl kernel.task_delayacct=1
sudo zfs unmount blablubb/12drölf
...
sudo zfs unmount blablubb
sudo zfs unload-key blablubb
sudo zpool export blablubb
sudo zpool status
sleep 5
sudo zpool import blablubb
sudo zfs load-key -r blablubb
sudo zpool list
sudo zpool status
sudo zfs mount -a

Beim Unmount einfach innerhalb der fünf Sekunden den USB-C abziehen (sofern nix fehlschlägt, offene Konsole oder so)

 

[toscdesign]

Genau, du musst halt ne explizite Secretabfrage nutzen, und es nicht plain als bash command eingeben.

Also passt das mit dem von mir geposteten Script?
Oder sollte ich am Script Ende die Variable mit Zufallsdaten überschreiben?

Dann wurde ich das Script nun an ZFS anpassen und verwenden.

 

[morph027]

Ich mach das mit einem Workaround: https://github.com/morph027/zfs-boottime-encryption

Damit wird das LUKS beim start via Kernel prompt abgefragt, dann gemountet und die Datasets mit dem Keyfile entsperrt.

 

[Tundor]

@toscdesign Wenn du das so als script ausführst also ./scriptname dann führt es den Inhalt in ner Subshell aus d.h. sobald das script durch ist, ist auch $PW wieder weg. Solltest du den inhalt mit copy paste ausführen, bleibt $PW halt in der aktuellen Shell die du offen hast bestehen bis du diese schließt. Großes Sicherheitsrisiko sehe ich keins, beim script überlebt das wie gesagt nur zur Laufzeit und ein Überschreiben mit Randomdaten ist unnötig.

 

[toscdesign]

Ich mach das mit einem Workaround: https://github.com/morph027/zfs-boottime-encryption

Damit wird das LUKS beim start via Kernel prompt abgefragt, dann gemountet und die Datasets mit dem Keyfile entsperrt.

Es soll ja nicht beim Booteen abgesfragt werden, sondern optimal in der Shell des Webintasfaces oder per SSH.
Ich möchte das Passwort auf jeden Fall manuell eingeben, notfalls auch von unterwegs (per VPN).

ZFS NAS CHEZMOI hat aktuell nur die Funktionalität für Keyfiles, aber dafür eine Shell im Webinterface.
Dort würde ich dann das Script einfach aufrufen.

Beitrag automatisch zusammengeführt: Gestern um 19:33

So mein Script läuft soweit, das Passwort wird übernommen und die Datasets entsperrt.

Nur beim Mounten habe ich noch ein Problem.
Soweit ich verstanden habe kann ich mit "zfs mount -a pool/dataset" das entsprechende Dataset + alle enthaltenen Subdatatest (Childs) mounten.

Das macht er aber nicht, sondern wirft mir folgende Fehlermeldung:

too many arguments
usage:
        mount [-j]
        mount [-flvO] [-o opts] <-a|-R filesystem|filesystem>

For the property list, run: zfs set|get

For the delegated permission list, run: zfs allow|unallow

For further help on a command or topic, run: zfs help [<topic>]