zfs dRAID всеравно круче )

Ты у него источник инфы спроси. Так ему верить нельзя. Единственное, когда +- можно верить – это всякие режимы Deep Research. Когда он рядом со своими утверждениями оставляет ссылку на веб-ресурс, на который ссылается. Чтобы можно было сходить по ссылке и убедиться, что это так

Любая информация, сгенерированная нейросетями, не приветствуется

zfs dRAID всеравно круче )

zfs dRAID всеравно круче )

Не холивара ради, но уже давно есть соответствующие systemd сервисы которые этим занимаются. Ленивый вариант - zfs-mount-generator

это все - костыли. фактически чтоб ядро загрузилось с зфс надо его пнуть zfs import / zfs mount траляля из iitramfs . по мне, это основной костыль. все эти сервсисы - костылеобертки вокруг того основного. а бтрфс - опцией ядру из любого положения.

в частях касающихся zfs -- все то же самое и с меньшим гемором может btrfs ну конечно кроме шифрования на уровне файлов-датасетов

Эээ, для любой фс в initramfs будут такие "костыли" :)) для зфс они соответствующим пакетом просто ставятся и... всё:) даже запрос на ввод пароля для зашифрованных датасетов из коробки есть

в том числе и просрать все данные куда проще с btrfs 😁

не для любой. бтрфс или ехт4 таких костылей не требует

Мммм, что-то я помню строчки в грабе про подрузку модулей ФС

не для любой. бтрфс или ехт4 таких костылей не требует

не для любой. бтрфс или ехт4 таких костылей не требует

$ cp /boot/initrd.img-6.12.38+deb13-amd64 ./initrd.img $ unmkinitramfs ./initrd.img ./ $ grep btrfs ./ -IR ./main/lib/udev/rules.d/64-btrfs.rules:SUBSYSTEM!="block", GOTO="btrfs_end" ./main/lib/udev/rules.d/64-btrfs.rules:ACTION=="remove", GOTO="btrfs_end" ./main/lib/udev/rules.d/64-btrfs.rules:ENV{ID_FS_TYPE}!="btrfs", GOTO="btrfs_end" ./main/lib/udev/rules.d/64-btrfs.rules:ENV{SYSTEMD_READY}=="0", GOTO="btrfs_end" ./main/lib/udev/rules.d/64-btrfs.rules:# let the kernel know about this btrfs filesystem, and check if it is complete ./main/lib/udev/rules.d/64-btrfs.rules:IMPORT{builtin}="btrfs ready $devnode" ./main/lib/udev/rules.d/64-btrfs.rules:LABEL="btrfs_end" ./main/lib/udev/rules.d/64-btrfs-dm.rules:SUBSYSTEM!="block", GOTO="btrfs_end" ./main/lib/udev/rules.d/64-btrfs-dm.rules:KERNEL!="dm-[0-9]*", GOTO="btrfs_end" ./main/lib/udev/rules.d/64-btrfs-dm.rules:ACTION!="add|change", GOTO="btrfs_end" ./main/lib/udev/rules.d/64-btrfs-dm.rules:ENV{ID_FS_TYPE}!="btrfs", GOTO="btrfs_end" ./main/lib/udev/rules.d/64-btrfs-dm.rules:# Once the device mapper symlink is created, tell btrfs about it ./main/lib/udev/rules.d/64-btrfs-dm.rules:ENV{DM_NAME}=="?*", RUN{builtin}+="btrfs ready /dev/mapper/$env{DM_NAME}" ./main/lib/udev/rules.d/64-btrfs-dm.rules:LABEL="btrfs_end" ./main/lib/udev/rules.d/50-udev-default.rules:KERNEL=="btrfs-control", GROUP="disk" ./main/lib/modules/6.12.38+deb13-amd64/modules.softdep:softdep btrfs pre: blake2b-256 ./main/lib/modules/6.12.38+deb13-amd64/modules.softdep:softdep btrfs pre: sha256 ./main/lib/modules/6.12.38+deb13-amd64/modules.softdep:softdep btrfs pre: xxhash64 ./main/lib/modules/6.12.38+deb13-amd64/modules.softdep:softdep btrfs pre: crypto-crc32c ./main/lib/modules/6.12.38+deb13-amd64/modules.order:kernel/fs/btrfs/btrfs.ko ./main/lib/modules/6.12.38+deb13-amd64/modules.devname:btrfs btrfs-control c10:234 ./main/lib/modules/6.12.38+deb13-amd64/modules.dep:kernel/fs/btrfs/btrfs.ko.xz: kernel/crypto/xor.ko.xz kernel/lib/raid6/raid6_pq.ko.xz kernel/lib/libcrc32c.ko.xz ./main/lib/modules/6.12.38+deb13-amd64/modules.alias:alias devname:btrfs-control btrfs ./main/lib/modules/6.12.38+deb13-amd64/modules.alias:alias char-major-10-234 btrfs ./main/lib/modules/6.12.38+deb13-amd64/modules.alias:alias fs-btrfs btrfs ./main/scripts/local-premount/btrfs:if [ -x /bin/btrfs ] ./main/scripts/local-premount/btrfs: modprobe btrfs ||: ./main/scripts/local-premount/btrfs: /bin/btrfs device scan ./main/scripts/local-premount/ORDER:/scripts/local-premount/btrfs "$@" ./main/usr/lib/udev/rules.d/64-btrfs.rules:SUBSYSTEM!="block", GOTO="btrfs_end" ./main/usr/lib/udev/rules.d/64-btrfs.rules:ACTION=="remove", GOTO="btrfs_end" ./main/usr/lib/udev/rules.d/64-btrfs.rules:ENV{ID_FS_TYPE}!="btrfs", GOTO="btrfs_end" ./main/usr/lib/udev/rules.d/64-btrfs.rules:ENV{SYSTEMD_READY}=="0", GOTO="btrfs_end" ./main/usr/lib/udev/rules.d/64-btrfs.rules:# let the kernel know about this btrfs filesystem, and check if it is complete ./main/usr/lib/udev/rules.d/64-btrfs.rules:IMPORT{builtin}="btrfs ready $devnode" ./main/usr/lib/udev/rules.d/64-btrfs.rules:LABEL="btrfs_end" ./main/usr/lib/udev/rules.d/64-btrfs-dm.rules:SUBSYSTEM!="block", GOTO="btrfs_end" ./main/usr/lib/udev/rules.d/64-btrfs-dm.rules:KERNEL!="dm-[0-9]*", GOTO="btrfs_end" ./main/usr/lib/udev/rules.d/64-btrfs-dm.rules:ACTION!="add|change", GOTO="btrfs_end" ./main/usr/lib/udev/rules.d/64-btrfs-dm.rules:ENV{ID_FS_TYPE}!="btrfs", GOTO="btrfs_end" ./main/usr/lib/udev/rules.d/64-btrfs-dm.rules:# Once the device mapper symlink is created, tell btrfs about it ./main/usr/lib/udev/rules.d/64-btrfs-dm.rules:ENV{DM_NAME}=="?*", RUN{builtin}+="btrfs ready /dev/mapper/$env{DM_NAME}" ./main/usr/lib/udev/rules.d/64-btrfs-dm.rules:LABEL="btrfs_end" ./main/usr/lib/udev/rules.d/50-udev-default.rules:KERNEL=="btrfs-control", GROUP="disk" ./main/usr/lib/modules/6.12.38+deb13-amd64/modules.softdep:softdep btrfs pre: blake2b-256 ./main/usr/lib/modules/6.12.38+deb13-amd64/modules.softdep:softdep btrfs pre: sha256

Мммм, что-то я помню строчки в грабе про подрузку модулей ФС

insmod btrfs вполне себе в grub'е есть

./main/usr/lib/modules/6.12.38+deb13-amd64/modules.softdep:softdep btrfs pre: xxhash64 ./main/usr/lib/modules/6.12.38+deb13-amd64/modules.softdep:softdep btrfs pre: crypto-crc32c ./main/usr/lib/modules/6.12.38+deb13-amd64/modules.order:kernel/fs/btrfs/btrfs.ko ./main/usr/lib/modules/6.12.38+deb13-amd64/modules.devname:btrfs btrfs-control c10:234 ./main/usr/lib/modules/6.12.38+deb13-amd64/modules.dep:kernel/fs/btrfs/btrfs.ko.xz: kernel/crypto/xor.ko.xz kernel/lib/raid6/raid6_pq.ko.xz kernel/lib/libcrc32c.ko.xz ./main/usr/lib/modules/6.12.38+deb13-amd64/modules.alias:alias devname:btrfs-control btrfs ./main/usr/lib/modules/6.12.38+deb13-amd64/modules.alias:alias char-major-10-234 btrfs ./main/usr/lib/modules/6.12.38+deb13-amd64/modules.alias:alias fs-btrfs btrfs это я ещё бинари из грепа исключил

Модули можно при необходимости в ядро вкомпилировать. Даже ZFS. А вот замонтировать рутфс ЗФСный без скриптов невозможно. В отличие от.

А почему это проблема?

Иногда лучшее - враг хорошего. Пускай будут костыли, ничего страшного. Нет ничего плохого в нескольких скриптах в initramfs

Это для тех кто юзает стандартное накостыливание от уебунты какойнить. Там даже дрова саты из инитрамфса грузят.

Ахем, промолчим про популярность убунты

И тут ещё кстати вопрос, вот если рутфс это зашифрованный датасет, то что мешает злоумышленнику его подменить на незашифрованный. Понятно что если таковой имеет физический доступ к машине, то почти наверняка он прохачит всё1 что надо, но всё же зачем давать лишнюю дырку

ну вот у меня зашифрован весь пул. невозможно создать незашифрованный датасет внутри

можно и его подменить на незашифрованный. эти костылескриптики в инитрамфсе вообще заметят это?

можно и его подменить на незашифрованный. эти костылескриптики в инитрамфсе вообще заметят это?

можно и его подменить на незашифрованный. эти костылескриптики в инитрамфсе вообще заметят это?

Инитрамфс тоже зашифрованный

Какой смысл пул подменять, я так и не понял. Тогда проще nvme диск уже заменить

инитрамфс увидит пул но пул окажется незашифрованным. что дальше?. и еще не оч понятно кто именно и как зашифровал инитрамфс. и кто его расшифрует

инитрамфс увидит пул но пул окажется незашифрованным. что дальше?. и еще не оч понятно кто именно и как зашифровал инитрамфс. и кто его расшифрует

инитрамфс увидит пул но пул окажется незашифрованным. что дальше?. и еще не оч понятно кто именно и как зашифровал инитрамфс. и кто его расшифрует

загрузчик предложит ввести пароль. пароль откроет контейнер с ключем, который расшифровывает пул. в теории секур бут должен доверять только подписанному загрузчику.

initramfs вместе с ядром лежат в корневом датасет, который зашифрован. ZFSBootMenu при включении импортирует пул и просит ввести пароль. После расшифровки уже загружает оттуда ядро и initramfs

Если при включении ZFSBootMenu не спросит у меня пароль – я офигею и сразу пойму, что что-то не так

Ты не можешь просто заменить корневой датасет не зашифрованным, это будет сразу видно по поведению. Потому что он мало того, что не запросит пароль, так ещё и не сможет расшифровать home датасет. В общем, странные идеи ты предлагаешь. Я не вижу сценария атаки, который не выглядел бы крайне странно и подозрительно

Не больше, чем инитрамфс

а уже поздно. чужой пул забутился и трояны установлены

куда они установлены, в чужой пул? какой мне дело, что там стоит в чужом пуле? я выключу комп и снесу его. очень странные доводы, я могу так же сказать: заменю твой luks раздел с btrfs незашифрованным разделом, что будешь делать? абсолютно странный довод

есть признаки компрометации системы даже таким способом. если в модели рисков это учтено, то это не должно вызвать дальнейшего продвижения

вот. а я лишь сомневаюсь что те зфсбутменеджеры и инитрамфсные скрипты эти признаки определят и не дадут двигаться дальше

Всем привет! Подкиньте линк на шаблон к Zabbix 7v для мониторинга zfs. Используется в основном под VM и backup Proxmox. Посмотрел несколько шаблонов, много лишнего нужно до устанавливать, что не хочется. Проще написать самому с параметрами: статус пула, статус дисков в пуле, ошибки CKSUM, ошибки scrub, последний scrub, свободное место, фрагментация.

Всем привет! Подкиньте линк на шаблон к Zabbix 7v для мониторинга zfs. Используется в основном под VM и backup Proxmox. Посмотрел несколько шаблонов, много лишнего нужно до устанавливать, что не хочется. Проще написать самому с параметрами: статус пула, статус дисков в пуле, ошибки CKSUM, ошибки scrub, последний scrub, свободное место, фрагментация.

так-то в случае ошибки в чексумме или при выпадении диска из пула прокс напишет письмо и приложит zpool status.

Это да, но нужно в телегу, завел в Zabbix через API опрос zfs, но не хватает: статуса scrub, информации о vdevs. Поставил агента, в раздумьях дописать только это или готовый шаблон подтянуть.