Unternehmen, die einen Schutz ruhender Daten benötigen, können in Zonen bereitgestellte Anwendungen und Informationen mit verschlüsselten ZFS-Datasets weiter schützen. Um sicherzustellen, dass jede nicht-globale Zone ohne Administratoreingriff starten kann, sind die verschlüsselten ZFS-Datasets so konfiguriert, dass sie auf ZFS-Verschlüsselungsschlüssel zugreifen, die lokal in der individuellen Datenbank oder Anwendungsdomain gespeichert sind.
Siehe Anmelden bei einem Rechenserver und Ändern des Standardpasswortes.
Der erforderliche Schlüssel wird am einfachsten mit Befehlen wie den folgenden erstellt:
# zfs createzfs_pool_name/zfskeystore $ chown root:root /zfs_pool_name/zfskeystore $ chmod 700 /zfs_pool_name/zfskeystore $ pktool genkey keystore=file keytype=aes keylen=256 \ outkey=/zfs_pool_name/zfskeystore/zone_name.key
# zfs create -o encryption=aes-256-ccm -o \ keysource=raw,file:///zfs_pool_name/zone_name.key \ zfs_pool_name/zone_name
Dieselbe Lösung kann zur Verschlüsselung der u01- und allgemeinen Datasets verwendet werden, indem entweder derselbe (SuperCluster-spezifische) Schlüssel oder ein eindeutiger Schlüssel pro Dataset verwendet wird, je nach site-spezifischen Anforderungen und Richtlinien. In diesem Beispiel wird das allgemeine Dataset mit demselben Schlüssel erstellt, der in Step 3 erstellt wurde. Beachten Sie, dass zusätzliche ZFS-Konfigurationsparameter, wie Komprimierung, ebenfalls beim Erstellen dieser zusätzlichen Datasets definiert werden können.
# zfs create -o compression=on -o encryption=aes-256-ccm -o \ keysource=raw,file:///zfs_pool_name/zfskeystore/zone_name.key \zfs_pool_name/u01