As organizações que exigem proteção data-at-rest podem optar por intensificar a proteção de aplicativos implantados em zonas e informações usando conjuntos de dados ZFS criptografados. Para garantir que cada zona não global possa ser iniciada sem intervenção do administrador, os conjuntos de dados ZFS criptografados são configurados para acessar chaves de criptografia ZFS que são armazenadas localmente no aplicativo individual ou no domínio de aplicativos.
Consulte Fazer Login em um Servidor de Computação e Alterar a Senha Padrão
Uma forma simples de criar a chave necessária é usar comandos semelhantes a estes:
# zfs createzfs_pool_name/zfskeystore $ chown root:root /zfs_pool_name/zfskeystore $ chmod 700 /zfs_pool_name/zfskeystore $ pktool genkey keystore=file keytype=aes keylen=256 \ outkey=/zfs_pool_name/zfskeystore/zone_name.key
# zfs create -o encryption=aes-256-ccm -o \ keysource=raw,file:///zfs_pool_name/zone_name.key \ zfs_pool_name/zone_name
Essa mesma abordagem pode ser usada para criptografar os conjuntos de dados comuns e u01 usando a mesma chave (específica do SuperCluster) ou uma chave exclusiva por conjunto de dados dependendo das políticas e requisitos específicos do local. Neste exemplo, o conjunto de dados comuns é criado com a mesma chave que foi criada em Step 3. Observe que os parâmetros de configuração ZFS adicionais, como compactação, também podem ser definidos durante a criação desses conjuntos de dados adicionais.
# zfs create -o compression=on -o encryption=aes-256-ccm -o \ keysource=raw,file:///zfs_pool_name/zfskeystore/zone_name.key \zfs_pool_name/u01