Mind the encryptionroot: How to save your data when ZFS loses its mind
8 months ago
- #Encryption
- #Data Recovery
- #ZFS
- ZFS原生加密存在一些潜在风险,若不谨慎处理可能导致数据丢失。
- 案例研究:因不当处理ZFS加密密钥变更,几乎丢失8.5TiB数据的经历。
- 核心问题:在未将更新后的快照发送至备份的情况下,修改了加密根目录的密钥。
- 调试过程涉及对ZFS内部机制的研究,包括默克尔树、事务组和加密原理。
- 解决方案:通过修改ZFS构建版本,手动插入书签并发送包含新密钥的增量快照。
- 经验教训:持续测试备份、推迟破坏性变更、始终更新加密根快照、销毁快照前使用书签标记。
- 建议:在ZFS原生加密功能完善前,可优先考虑块设备级加密方案。