JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Administration d'Oracle Solaris : Systèmes de fichiers ZFS     Oracle Solaris 11 Information Library (Fran├žais)
search filter icon
search icon

Informations document

Préface

1.  Système de fichiers Oracle Solaris ZFS (introduction)

2.  Mise en route d'Oracle Solaris ZFS

3.  Différences entre les systèmes de fichiers Oracle Solaris ZFS et classiques

4.  Gestion des pools de stockage Oracle Solaris ZFS

5.  Gestion des composants du pool racine ZFS

6.  Gestion des systèmes de fichiers Oracle Solaris ZFS

Gestion des systèmes de fichiers ZFS (présentation)

Création, destruction et renommage de systèmes de fichiers ZFS

Création d'un système de fichiers ZFS

Destruction d'un système de fichiers ZFS

Modification du nom d'un système de fichiers ZFS

Présentation des propriétés ZFS

Propriétés ZFS natives en lecture seule

Propriété used

Propriétés ZFS natives définies

Propriété canmount

Propriété casesensitivity

Propriété copies

Propriété dedup

Propriété encryption

Propriété recordsize

Propriété sharesmb

Propriété volsize

Propriétés ZFS définies par l'utilisateur

Envoi de requêtes sur les informations des systèmes de fichiers ZFS

Affichage des informations de base des systèmes ZFS

Création de requêtes ZFS complexes

Gestion des propriétés ZFS

Définition des propriétés ZFS

Héritage des propriétés ZFS

Envoi de requêtes sur les propriétés ZFS

Envoi de requête sur les propriétés ZFS pour l'exécution de scripts

Montage de système de fichiers ZFS

Gestion des points de montage ZFS

Points de montage automatiques

Points de montage hérités

Montage de système de fichiers ZFS

Utilisation de propriétés de montage temporaires

Démontage des systèmes de fichiers ZFS

Activation et annulation du partage des systèmes de fichiers ZFS

Syntaxe de partage ZFS héritée

Nouvelle syntaxe de partage ZFS

Affichage ZFS partager des informations

Héritage de partage ZFS

Modification d'un partage ZFS

Suppression d'un partage ZFS

Partage de fichiers ZFS au sein d'une zone non globale

Récapitulatif des commandes de partage ZFS nouvelles et héritées

Dépannage des problèmes de partage ZFS

Problèmes de migration/transition de partage ZFS

Définition des quotas et réservations ZFS

Définitions de quotas sur les systèmes de fichiers ZFS

Définition de quotas d'utilisateurs et de groupes sur un système de fichiers ZFS

Définition de réservations sur les systèmes de fichiers ZFS

Chiffrement des systèmes de fichiers ZFS

Modification des clés d'un système de fichiers ZFS chiffré

Autorisations de délégation d'opérations sur les clés ZFS

Montage d'un système de fichiers ZFS chiffré

Interactions entre les propriétés de compression, de suppression des doublons et de chiffrement ZFS

Exemples de chiffrement de systèmes de fichiers ZFS

Migration de systèmes de fichiers ZFS

Migration d'un système de fichiers vers un système de fichiers ZFS

Dépannage des migrations de systèmes de fichiers ZFS

Mise à niveau des systèmes de fichiers ZFS

7.  Utilisation des instantanés et des clones ZFS Oracle Solaris

8.  Utilisation des ACL et des attributs pour protéger les fichiers Oracle Solaris ZFS

9.  Administration déléguée de ZFS dans Oracle Solaris

10.  Rubriques avancées Oracle Solaris ZFS

11.  Dépannage d'Oracle Solaris ZFS et récupération de pool

12.  Archivage des instantanés et récupération du pool racine

13.  Pratiques recommandées pour Oracle Solaris ZFS

A.  Descriptions des versions d'Oracle Solaris ZFS

Index

Chiffrement des systèmes de fichiers ZFS

Le chiffrement se définit comme le processus de codage de données à des fins de confidentialité ; le propriétaire des données nécessite une clé pour pouvoir accéder aux données codées. Les avantages de l'utilisation du chiffrement ZFS sont les suivants :

Vous pouvez définir une stratégie de chiffrement lors de la création d'un système de fichiers ZFS, mais cette stratégie ne peut pas être modifiée. Par exemple, la propriété de chiffrement est activée lors de la création du système de fichiers tank/home/darren. La stratégie de chiffrement par défaut consiste en une invite à saisir une phrase de passe comportant 8 caractères au minimum.

# zfs create -o encryption=on tank/home/darren
Enter passphrase for 'tank/home/darren': xxxxxxx
Enter again: xxxxxxxx

Assurez-vous que le chiffrement est activé sur le système de fichiers. Par exemple :

# zfs get encryption tank/home/darren
NAME              PROPERTY    VALUE        SOURCE
tank/home/darren  encryption  on           local

L'algorithme de chiffrement par défaut est aes-128-ccm lorsque la valeur de chiffrement d'un système de fichiers est on.

Une clé d'encapsulation est utilisée pour chiffrer les clés de chiffrement effectives des données. La clé d'encapsulation est transmise de la commande zfs au noyau, comme dans l'exemple ci-dessus au moment de la création du système de fichiers chiffré. Une clé d'encapsulation peut se trouver dans un fichier (au format raw ou hexadécimal) ou être dérivée d'une phrase de passe.

Le format et l'emplacement de la clé d'encapsulation sont spécifiés dans la propriété keysource de la manière suivante :

keysource=format,location

Si le format spécifié par keysource est passphrase, la clé d'encapsulation est dérivée de la passe de phrase. Dans le cas contraire, la valeur de la propriété keysource pointe vers la clé d'encapsulation effective, sous forme d'octets bruts ou au format hexadécimal. Vous pouvez indiquer que la phrase de passe doit être stockée dans un fichier ou dans un flux d'octets bruts que l'utilisateur est invité à saisir, ce qui n'est probablement adapté qu'à l'écriture de scripts.

Lorsque les valeurs de la propriété keysource d'un système de fichiers correspondent à passphrase, la clé d'encapsulation est dérivée de la phrase de passe à l'aide de PKCS#5 PBKD2 et d'un salt généré de façon aléatoire pour chaque système de fichiers. Cela signifie que la même phrase de passe génère une clé d'encapsulation différente lorsqu'elle est utilisée sur des systèmes de fichiers descendants.

Les systèmes de fichiers descendants héritent de la stratégie de chiffrement du système de fichiers parent, et celle-ci ne peut pas être supprimée. Par exemple :

# zfs snapshot tank/home/darren@now
# zfs clone tank/home/darren@now tank/home/darren-new
Enter passphrase for 'tank/home/darren-new': xxxxxxx
Enter again: xxxxxxxx
# zfs set encryption=off tank/home/darren-new
cannot set property for 'tank/home/darren-new': 'encryption' is readonly

Si vous devez copier ou migrer des systèmes de fichiers ZFS chiffrés ou non chiffrés, tenez compte des points suivants :

Modification des clés d'un système de fichiers ZFS chiffré

Vous pouvez modifier la clé d'encapsulation d'un système de fichiers chiffré à l'aide de la commande zfs key -c. La clé d'encapsulation existante doit avoir été chargée auparavant : soit lors de l'initialisation, soit par chargement explicite de la clé du système de fichiers (zfs key -l), soit par montage du système de fichiers (zfs mount filesystem). Par exemple :

# zfs key -c tank/home/darren
Enter new passphrase for 'tank/home/darren': xxxxxxxx
Enter again: xxxxxxxx

Dans l'exemple suivant, la clé d'encapsulation est modifiée et la valeur de la propriété keysource est modifiée pour indiquer que la clé d'encapsulation provient d'un fichier.

# zfs key -c -o keysource=raw,file:///media/stick/key tank/home/darren

La clé de chiffrement des données d'un système de fichiers chiffré peut être modifiée à l'aide de la commande zfs key -K, mais la nouvelle clé de chiffrement est uniquement utilisée pour les nouvelles données écrites. Cette fonctionnalité peut être utilisée pour assurer la conformité avec les directives NIST 800-57 relatives à la limitation dans le temps de la clé de chiffrement de données. Par exemple :

# zfs key -K tank/home/darren

Dans l'exemple ci-dessus, la clé de chiffrement des données n'est ni visible ni directement gérée par vous. En outre, la délégation keychange est requise pour effectuer une opération de modification de clé.

Les algorithmes de chiffrement suivants sont disponibles :

La propriété keysource ZFS identifie le format et l'emplacement de la clé qui encapsule les clés de chiffrement des données du système de fichiers. Par exemple :

# zfs get keysource tank/home/darren
NAME              PROPERTY   VALUE              SOURCE
tank/home/darren  keysource  passphrase,prompt  local

La propriété rekeydate ZFS identifie la date de la dernière opération zfs key -K. Par exemple :

# zfs get rekeydate tank/home/darren
NAME              PROPERTY   VALUE                  SOURCE
tank/home/darren  rekeydate  Tue Oct 12 15:36 2010  local

Si les propriétés creation et rekeydate d'un système de fichiers chiffré possèdent la même valeur, cela signifie que le système de fichiers n'a jamais fait l'objet d'un renouvellement de clés via une opération zfs key -K.

Autorisations de délégation d'opérations sur les clés ZFS

Passez en revue les descriptions d'autorisations relatives à la délégation d'opérations sur les clés suivantes :

Envisagez de déléguer des autorisations distinctes pour l'utilisation (chargement ou déchargement) et la modification de clés, de manière à mettre en place un modèle de gestion des clés à deux personnes. Par exemple, déterminez les utilisateurs qui pourront utiliser les clés et ceux qui seront autorisés à les modifier. Vous pouvez aussi spécifier que toute modification de clé requiert la présence des deux utilisateurs. Ce modèle vous permet également de bâtir un système de dépôt de clé (key escrow).

Montage d'un système de fichiers ZFS chiffré

Tenez compte des points suivants lorsque vous tentez de monter un système de fichiers ZFS chiffré :

Interactions entre les propriétés de compression, de suppression des doublons et de chiffrement ZFS

Tenez compte des points suivants lorsque vous utilisez les propriétés de compression, de suppression des doublons et de chiffrement ZFS.

Exemples de chiffrement de systèmes de fichiers ZFS

Exemple 6-1 Chiffrement d'un système de fichiers ZFS à l'aide d'une clé raw

Dans l'exemple suivant, une clé de chiffrement aes-256-ccm est générée à l'aide de la commande pktool et écrite dans un fichier, /cindykey.file.

# pktool genkey keystore=file outkey=/cindykey.file keytype=aes keylen=256

Le fichier /cindykey.file est ensuite spécifié lorsque le système de fichiers tank/home/cindy est créé.

# zfs create -o encryption=aes-256-ccm -o keysource=raw,file:///cindykey.file 
tank/home/cindy

Exemple 6-2 Chiffrement d'un système de fichiers ZFS à l'aide d'un autre algorithme de chiffrement

Vous pouvez créer un pool de stockage ZFS et faire en sorte que tous les systèmes de fichiers du pool de stockage héritent d'un algorithme de chiffrement. Dans l'exemple qui suit, le pool users est créé et le système de fichiers users/home est créé et chiffré à l'aide d'une phrase de passe. L'algorithme de chiffrement par défaut est aes-128-ccm.

Le système de fichiers users/home/mark est ensuite créé et chiffré à l'aide de l'algorithme de chiffrement aes-256-ccm.

# zpool create -O encryption=on users mirror c0t1d0 c1t1d0 mirror c2t1d0 c3t1d0
Enter passphrase for 'users': xxxxxxxx
Enter again: xxxxxxxx
# zfs create users/home
# zfs get encryption users/home
NAME        PROPERTY    VALUE        SOURCE
users/home  encryption  on           inherited from users
# zfs create -o encryption=aes-256-ccm users/home/mark
# zfs get encryption users/home/mark
NAME               PROPERTY    VALUE        SOURCE
users/home/mark    encryption  aes-256-ccm  local

Exemple 6-3 Clonage d'un système de fichiers ZFS chiffré

Si le système de fichiers clone hérite de la propriété keysource du même système de fichiers que son instantané d'origine, une nouvelle propriété keysource n'est pas nécessaire, et vous n'êtes pas invité à saisir une nouvelle phrase de passe lorsque keysource=passphrase,prompt . La même propriété keysource est utilisée pour le clone. Par exemple :

Par défaut, vous n'êtes pas invité à saisir une clé lors du clonage d'un descendant d'un système de fichiers chiffré.

# zfs create -o encryption=on tank/ws
Enter passphrase for 'tank/ws': xxxxxxxx
Enter again: xxxxxxxx
# zfs create tank/ws/fs1
# zfs snapshot tank/ws/fs1@snap1
# zfs clone tank/ws/fs1@snap1 tank/ws/fs1clone

Si vous souhaitez créer une nouvelle clé pour le système de fichiers clone, utilisez la commande zfs clone -K.

Si vous clonez un système de fichiers chiffré et non un système de fichiers chiffré descendant, vous êtes invité à fournir une nouvelle clé. Par exemple :

# zfs create -o encryption=on tank/ws
Enter passphrase for 'tank/ws': xxxxxxxx
Enter again: xxxxxxxx
# zfs snapshot tank/ws@1
# zfs clone tank/ws@1 tank/ws1clone
Enter passphrase for 'tank/ws1clone': xxxxxxxx
Enter again: xxxxxxxx

Exemple 6-4 Envoi et réception d'un système de fichiers ZFS chiffré

Dans l'exemple suivant, l'instantané tank/home/darren@snap1 est créé à partir du système de fichiers chiffré /tank/home/darren. Ensuite, l'instantané est envoyé vers bpool/snaps avec la propriété de chiffrement activée, si bien que les données résultantes reçues sont chiffrées. Toutefois, le flux tank/home/darren@snap1 n'est pas chiffré pendant le processus d'envoi.

# zfs get encryption tank/home/darren
NAME              PROPERTY    VALUE        SOURCE
tank/home/darren  encryption  on           local
# zfs snapshot tank/home/darren@snap1
# zfs get encryption bpool/snaps
NAME         PROPERTY    VALUE        SOURCE
bpool/snaps  encryption  on           inherited from bpool
# zfs send tank/home/darren@snap1 | zfs receive bpool/snaps/darren1012
# zfs get encryption bpool/snaps/darren1012
NAME                    PROPERTY    VALUE        SOURCE
bpool/snaps/darren1012  encryption  on           inherited from bpool

Dans ce cas, une nouvelle clé est automatiquement générée pour le système de fichiers chiffré reçu.