在先前的 Oracle Solaris 发行版和本发行版中,加密框架功能提供 encrypt、decrypt 和 mac 命令来加密文件。
Oracle Solaris 10 不支持 ZFS 加密。但是,Oracle Solaris 11 支持以下 ZFS 加密功能:
ZFS 加密与 ZFS 命令集相集成。与其他 ZFS 操作一样,密钥更改和重设密钥操作联机执行。
您可以使用现有的存储池,只要对它们进行了升级。可以灵活地加密特定的文件系统。
ZFS 加密可由后代文件系统继承。可以通过 ZFS 委托管理来委托密钥管理。
数据通过使用 AES(Advanced Encryption Standard,高级加密标准)在 CCM 和 GCM 操作模式下进行加密,密钥长度为 128、192 和 256。
ZFS 加密使用加密框架功能,这为其提供了自动访问加密算法的任何可用硬件加速或优化的软件实现的权限。
以下示例说明如何创建加密的 ZFS 文件系统。缺省的加密策略是提示您输入 passphrase,其长度必须至少为 8 个字符。
# zfs create -o encryption=on tank/data Enter passphrase for 'tank/data': xxxxxxxx Enter again: xxxxxxxx
当文件系统的加密值为 on 时,缺省的加密算法为 aes-128-ccm。
创建加密的文件系统后,无法取消加密。例如:
# zfs set encryption=off tank/data cannot set property for 'tank/data': 'encryption' is readonly