Het grote ZFS topic

willemw12 schreef op zondag 13 augustus 2023 @ 14:26:
zpool clear zet alleen de error count op nul, verder niets.

1
2
3
4
5
6
7

errors: Permanent errors have been detected in the following files:

        <0x8a2f>:<0x0>
        <0x9636>:<0x0>
        <0x54cc>:<0x0>
        <0x73cc>:<0x0>
        <0xad2>:<0x0>

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

=== START OF SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED

SMART/Health Information (NVMe Log 0x02)
Critical Warning:                   0x00
Temperature:                        63 Celsius
Available Spare:                    100%
Available Spare Threshold:          10%
Percentage Used:                    1%
Data Units Read:                    8,333,344 [4.26 TB]
Data Units Written:                 20,073,813 [10.2 TB]
Host Read Commands:                 50,353,712
Host Write Commands:                606,935,533
Controller Busy Time:               930
Power Cycles:                       138
Power On Hours:                     480
Unsafe Shutdowns:                   66
Media and Data Integrity Errors:    0
Error Information Log Entries:      0
Warning  Comp. Temperature Time:    0
Critical Comp. Temperature Time:    0
Temperature Sensor 1:               63 Celsius
Temperature Sensor 2:               66 Celsius
Thermal Temp. 2 Transition Count:   1

Error Information (NVMe Log 0x01, 16 of 64 entries)
No Errors Logged

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

`--> sudo zpool status -v rpool
  pool: rpool
 state: ONLINE
status: One or more devices has experienced an error resulting in data
        corruption.  Applications may be affected.
action: Restore the file in question if possible.  Otherwise restore the
        entire pool from backup.
   see: https://openzfs.github.io/openzfs-docs/msg/ZFS-8000-8A
  scan: scrub repaired 0B in 00:03:13 with 0 errors on Mon Aug 14 10:03:05 2023
config:

        NAME                                              STATE     READ WRITE CKSUM
        rpool                                             ONLINE       0     0     0
          nvme-Samsung_SSD_980_1TB_<knip>-part2  ONLINE       0     0     0

errors: Permanent errors have been detected in the following files:

        rpool/user/<knip>@pyznap_2023-08-14_09:45:11_frequent:<0x0>

[ Voor 20% gewijzigd door RobertMe op 14-08-2023 10:23 ]

willemw12 schreef op maandag 14 augustus 2023 @ 21:31:
Heb je in de dmesg output gekeken, voor hardware fouten o.i.d?

willemw12 schreef op dinsdag 15 augustus 2023 @ 09:04:
Een vergelijkbare issue met daarin weer links naar andere issues.

FireDrunk schreef op dinsdag 15 augustus 2023 @ 09:21:
Wat zou dan de trigger zijn? Ik draai ZFS 2.1.11, met Encryption, en doe ook veel send/receives.
Ik doe sends vanaf een mirrored pool en vanaf een RAIDZ2 pool.

CurlyMo schreef op dinsdag 15 augustus 2023 @ 13:53:
@Beninho Kan altijd op latere ZFS versies, maar is vrijwel altijd zinloos.

GioStyle schreef op dinsdag 15 augustus 2023 @ 14:05:
Op mijn servertje heb ik 32GB geheugen aan ram, waarvan 24GB voor ARC. Opslagruimte is een nvme ssd van 2TB. Ik denk dat in mijn geval L2ARC toevoegen de boel juist zou vertragen. Als ik ergens nog voor een prikkie 2x32GB kan kopen, dan overweeg ik dat te doen, omdat het kan.

Als snelheid een 'probleem' is in een thuisomgeving, dan is meer geheugen toevoegen in mijn ogen de beste oplossing en niet L2ARC. Zeker met de huidige geheugenprijzen.

Beninho schreef op dinsdag 15 augustus 2023 @ 14:09:
[...]


Ah, gelukkig heb ik 64GB ramgeheugen geprikt afgelopen weekend. Hoe heb je dat gereserveerd als ARC? *zoekt het even op.

Ik denk dat snelheid vooral een probleem was, doordat ik op een AMD zacate boardje uit 2011 werkte tot vorige week.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

nano /etc/modprobe.d/zfs.conf

# Setting up ZFS ARC size on Debian
# 1GB == 1073741824 Bytes
# 2GB == 2147483648 Bytes
# 8GB == 8589934592 Bytes
# 16GB == 17179869184 Bytes
# 24GB == 25769803776 Bytes
 
# Set Max ARC size
options zfs zfs_arc_max=25769803776
 
# Set Min ARC size
options zfs zfs_arc_min=2147483648

update-initramfs -u -k all

[ Voor 11% gewijzigd door GioStyle op 16-09-2023 21:33 ]

CurlyMo schreef op dinsdag 15 augustus 2023 @ 14:30:
[...]

Bijv. de product: Intel DC S3710 2,5" of de product: Intel SSD DC S3510. Dan zie je ook direct de prijsverschillen t.o.v. consumenten SSD's

CurlyMo schreef op dinsdag 15 augustus 2023 @ 14:37:
[...]

Ik heb als experiment een keer een paar 1.8" versies gekocht. Heeft geen enkel enig merkbaar verschil opgeleverd in mijn workflow. Boel uiteindelijk kunnen verkopen voor hetzelfde geld als dat ik ze gekocht had.

RobertMe schreef op dinsdag 15 augustus 2023 @ 14:51:
[...]

Als je vanaf USB draaide zal dat hopelijk met een ram-disk zijn. De belabberde performance van USB merk je dan (hopelijk) niet veel van. Doordat dus alle files in RAM worden geplaatst i.p.v. elke keer van de stick lezen.

[ Voor 86% gewijzigd door savale op 19-08-2023 01:00 ]

eheijnen schreef op zaterdag 26 augustus 2023 @ 10:42:
Hallo ZFSsertjes,

Eens even een vraag over dit bord:
uitvoering: ASUS Pro B550M-C/CSM
Dat twee M2 slots heeft: M.2 (PCI-e 3.0 x4 + SATA), M.2 (PCI-e 4.0 x4 + SATA)

Nou is die PCIe 4.0 een keer zo snel als het 3.0 slot.
Hoe werk zicht dit uit op de snelheid als ik hier met 2 repen een ZFS mirror op zou draaien?

RobertMe schreef op zaterdag 26 augustus 2023 @ 11:00:
[...]

echter wil je waarschijnlijk wel dat die dan van beiden de data valideert (om silent bitrot te voorkomen op de "trage" disk die dan nooit gevalideerd zou worden).

CurlyMo schreef op zaterdag 26 augustus 2023 @ 12:19:
[...]

Nee, de leessnelheid wordt bij ZFS ook verhoogd bij RAID1 net als bij andere RAID1 implementaties. Zie o.a. https://serverfault.com/a/676980 die weer doorlinkt naar de ZFS documentatie.

eheijnen schreef op zaterdag 26 augustus 2023 @ 10:42:
Nou is die PCIe 4.0 een keer zo snel als het 3.0 slot.
Hoe werk zicht dit uit op de snelheid als ik hier met 2 repen een ZFS mirror op zou draaien?

eheijnen schreef op maandag 28 augustus 2023 @ 10:12:
Denk niet dat je een dual 4.0 NVME adapter nodig hebt maar al een enkele genoeg is. Dat weer gecombineerd met de onboard 4.0. Dan sla je bifurcation/multiplexing tussen twee drives binnen dezelfde mirror over.

dcm360 schreef op maandag 28 augustus 2023 @ 10:33:
[...]

Bifurcation 'overslaan' is geen ding: het is letterlijk opdelen van een PCIe-aansluiting over meerdere apparaten.

FireDrunk schreef op maandag 28 augustus 2023 @ 10:54:
[...]

ZFS is niet echt geoptimaliseerd voor NVMe drives. Als je echt volle bak performance wil, is het beter om geen ZFS te gebruiken. ZFS is geen snelheidsmonster, maar een enterprise stabiel filesystem bedoeld voor proffesioneel gebruik.

Dat wil niet zeggen dat het niet kan op NVMe (ik draai zelf ook een mirror op NVMe drives icm ZFS), maar je moet er geen miljoenen IOPS van verwachten.

Ik haal tijdens een scrub ~1GB/s

_{199G scanned at 6.42G/s, 28.2G issued at 933M/s, 199G total}

CPU belasting is dan ongeveer 1.5 core vol belast.
Of dat genoeg is, moet je voor jezelf bepalen.

FireDrunk schreef op maandag 28 augustus 2023 @ 10:57:
Bifurcation zorgt er voor dat je meer apparaten op 1 PCIe slot aan kan sluiten.
Zie het als een USB Hub, maar dan voor PCIe.

Paul schreef op maandag 28 augustus 2023 @ 11:56:
[...]
In principe staat dit los van de adapter, maar je adapter moet dan wel daadwerkelijk 4 lanes naar het M2-slot sturen; een adapter met 8 sloten zal naar ieder slot maar 2 lanes sturen.

Kaspers schreef op zaterdag 5 augustus 2023 @ 18:31:
[...]


Jep, het is idd prachtig.
Hier mijn script, wat dagelijks via een systemd timer wordt afgetrapt.
Via wake-on-lan wordt de target eerst gewekt. Na de backup wordt de target weer in suspend gezet.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38

#!/bin/sh set -e # Any subsequent(*) commands which fail will cause the shell script to exit immediately echo "Waking up backup.lan via WoL" wakeonlan <mac:ad:res> echo "Wait 10 seconds" sleep 10 #target: USER=koos HOST=backup.lan # alleen datasets opnemen waarvan ook daadwerkelijk backups worden gemaakt. dus skip bijvoorbeeld zfspool/koos! echo "Sending snapshots of koos/configuration" syncoid --no-sync-snap zfspool/koos/configuration $USER@$HOST:zfspool2/koos/configuration --no-privilege-elevation echo "Sending snapshots of koos/documents" syncoid --no-sync-snap zfspool/koos/documents $USER@$HOST:zfspool2/koos/documents --no-privilege-elevation echo "Sending snapshots of koos/home" syncoid --no-sync-snap zfspool/koos/home $USER@$HOST:zfspool2/koos/home --no-privilege-elevation echo "Sending snapshots of koos/kubernetes" syncoid --no-sync-snap zfspool/koos/kubernetes $USER@$HOST:zfspool2/koos/kubernetes --no-privilege-elevation echo "Sending snapshots of koos/macbook" syncoid --no-sync-snap zfspool/koos/macbook $USER@$HOST:zfspool2/koos/macbook --no-privilege-elevation echo "Sending snapshots of koos/photos" syncoid --no-sync-snap zfspool/koos/photos $USER@$HOST:zfspool2/koos/photos --no-privilege-elevation echo "Sending snapshots of koos/videos" syncoid --no-sync-snap zfspool/koos/videos $USER@$HOST:zfspool2/koos/videos --no-privilege-elevation echo "Sending snapshots of koos/books" syncoid --no-sync-snap zfspool/koos/books $USER@$HOST:zfspool2/koos/books --no-privilege-elevation echo "Sending snapshots of koos/zfsmngmnt" syncoid --no-sync-snap zfspool/koos/zfsmngmnt $USER@$HOST:zfspool2/koos/zfsmngmnt --no-privilege-elevation echo "Finished sending snapshots to $HOST" echo "Suspending $HOST" #now suspend the backup target: ssh koos@backup.lan -t 'sudo systemctl suspend' echo "Done."

Systemd service:

code:

1 2 3 4 5 6 7

[Unit] Description=Run syncoid OnFailure=email-notification@%i.service [Service] Type=simple ExecStart=/zfspool/koos/configuration/storage-server/syncoid/backup.sh

Zoals je ziet: bij een failure word ik via een email hierop geattendeerd:

code:

1 2 3 4 5 6

[Unit] Description=%i failure email notification [Service] Type=oneshot ExecStart=/bin/bash -c ' ( echo "Subject: [%i] failure notification" & /bin/systemctl status %i ) | ssmtp -vvv koos@kaspe.rs -f root@storage '

RobertMe schreef op zondag 13 augustus 2023 @ 12:53:
Ik kreeg net een mailtje waar ik minder blij van werd, namelijk Zed.

Scrub waarbij er op de rpool (Samsung 980, non Pro) errors waren opgetreden. zpool status -v rpool melde 17 errors, waarvan 16x alleen maar hex codes en 1x verwijzing naar een snapshot. Vervolgens weer een scrub gedaan en bleef alleen het snapshot over. Nog een scrub en wederom alleen het snapshot. Oftewel:

code:

1 2 3

errors: Permanent errors have been detected in the following files: rpool/user/<knip>@pyznap_2023-08-12_00:00:02_daily:<0x0>

Gevoelsmatig is dit een "stale" error die ik zou moeten kunnen clearen (zpool clear) en klaar? Alleen beetje gek dan dat die andere errors (die ik dus niet meer bij de hand heb) ineens weg zijn.

Scrub heeft (blijkbaar) ook overdag gedraaid terwijl er wat CPU intensieve zaken liepen. Dus ik gok dat er daardoor "kortsluiting" is ontstaan. Systeempje is ook maar een no-name Chinese mini PC met N5105. Dus kwaliteit wellicht net wat minder.

[ Voor 4% gewijzigd door RobertMe op 05-09-2023 22:43 ]

glaswerk schreef op zaterdag 9 september 2023 @ 18:26:
Vraag: ik draai een homeservertje (Home Assistant, DNS, e-mail, web, mediaserver, cloudserver), met een 1TB nvme SSD werkschijf waarop ik tot nu toe alles kwijt kan (OS, progs, audio, foto's, video's).

Servertje (Pentium Gold 6405, 16GB) draait Ubuntu server headless 22.04. Voor backup heb ik o.a. Nextcloud versioning, Duplicity naar een offsite NAS, en een local RAID1 2x1TB USB HDD, die ik af en toe handmatig aanzwengel en rsync.

Maar backups, zeker van eigen foto's en video's, heb je nooit genoeg. Dus heb ik met de huidige bodemprijzen een 2TB SATA SSD bijgekocht, die ik in de server bij wil pluggen als online backup, liefst met gemakkelijke versioning die ik (vanuit een bash-shell?) kan beheren en restoren, indien nodig.

Stap 1 is kijken welk filesystem, en daarom ben ik hier. Is ZFS een filesystem dat zich leent voor mijn doeleinden en mijn setup, en waar ik eens goed naar moet kijken? Of zeggen jullie hier "Hou maar op, verkeerde tool, dat wordt pas interessant bij (bijvoorbeeld) multiple disks"?

Dank!

eheijnen schreef op zondag 10 september 2023 @ 09:46:
Ben benieuwd naar de ervaringen van mensen hier die een upgrade van Debian 11 naar 12 hebben gedaan en daarin hun ZFS pools 1-op-1 hebben meegenomen.

Zijn daar eigenaardigheden bij naarvoren gekomen vwb ZFS?
Of verliep alles gladjes?

FireDrunk schreef op dinsdag 12 september 2023 @ 18:50:
Als je een goede disk er uit haalt en daarna pas een replace doet, klopt het dat de pool degraded is. Je mist immers een disk...
Na de resilver gaat dat weer weg.

[ Voor 3% gewijzigd door bertp1 op 12-09-2023 19:23 ]

bertp1 schreef op dinsdag 12 september 2023 @ 19:21:
Hoe dan ook is mn pool nu "degraded". Wat kan ik doen om die situatie op te lossen? Ik heb de oude schijven nog.

FireDrunk schreef op dinsdag 12 september 2023 @ 19:26:
Hij is nog aan het resilveren. Daarna zou hij weer healthy moeten worden.

bertp1 schreef op woensdag 13 september 2023 @ 23:03:
Straf is ook dat ik voorlopig geen kapotte files ed kan vinden...
Is er een manier om gewoon de checksums te herberekenen adhv de data die er nu is? Dat gewoon alle errors gereset zijn en ik achteraf wel uitvindt waar ik iets kwijt ben... Dan weet ik tenminste of het erger word of niet.

FireDrunk schreef op zaterdag 28 oktober 2023 @ 21:06:
Ik gebruik nog steeds zelfgemaakte GPT labels met serienummers er in.

RobertMe schreef op zaterdag 28 oktober 2023 @ 22:02:
Bij de, geshuckte, WDs die ik heb zit het serienummer ook in het id, van /dev/disk/by-id. Dat vind ik prima werken.

[ Voor 3% gewijzigd door Beninho op 29-10-2023 14:44 ]

sudo zfs send pool/data@snapshot_name | ssh username@IP 'sudo zfs receive -F pool/data'

Enter passphrase for key '/home/beninho/.ssh/id_edx'
sudo: a terminal is required to read the password; either use the -S option to read from standard input or configure an askpass helper
sudo: a password is required

1

sudo visudo -f /etc/sudoers.d/username

mijn_username ALL=(othermachne_username) NOPASSWD: /usr/sbin/zfs receive -F pool/data

1
2
3

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%beninho ALL = (ALL) NOPASSWD: ALL

Cannot unmount, no persmission.

[ Voor 31% gewijzigd door Beninho op 01-11-2023 21:19 ]

1

%admin ALL=(ALL) NOPASSWD:  /usr/sbin/zfs receive -F pool/data

1

sudo zfs send pool/data@snapshot_name | ssh beninho@IP /usr/sbin/zfs receive -F pool/data

/etc/sudoers:48:20: syntax error
%beninho ALl=(All) All
^~~
Enter passphrase for key '/home/beninho/.ssh/id_ed25519':
cannot unmount '/pool/data': permission denied

1

cannot unmount '/pool/data': permission denied

[ Voor 27% gewijzigd door Beninho op 01-11-2023 21:52 ]

FireDrunk schreef op woensdag 1 november 2023 @ 21:53:
Je moet wel `sudo` voor je commando zetten bij de ontvangende kant.

1

sudo zfs send pool/data@snapshot_name | ssh beninho@IP sudo -S /usr/sbin/zfs receive -F pool/data

CurlyMo schreef op woensdag 1 november 2023 @ 22:01:
Ligt het aan mij of is het sowieso wel erg stil op het ZFS front. Ik lees hier in ieder geval weinig over nieuwe features.

FireDrunk schreef op donderdag 2 november 2023 @ 08:00:
[...]

Ik zit te denken of het uberhaupt niet verplicht was om dit passwordless te doen.
Ik twijfel of een pipe icm een interactive sudo terminal over een ssh sessie goed ging, maar dat kan mijn donderdagmorgen-zonder-koffie brein zijn.

Ik heb op de verzendende machine een rsa.pub key gemaakt voor root. Een root password ingesteld op de ontvangende en verzendende machine. Vervolgens heb ik de pub key van de verzendende machine naar de root user van ontvangende machine gekopieerd in --> .ssh/authorized_keys en nu kan ik zonder password inloggen en bestanden versturen.

[ Voor 9% gewijzigd door Beninho op 15-11-2023 09:06 ]

• standaard raspberry pi OS er op, want met een Debian install kreeg ik de ethernet poort niet goed werkend.
• Behalve een eigen login-user heb ik ook een user "key_owner" aangemaakt. In de home-dir van die user heb ik een file "unlock_key.txt" met daarin het ZFS unlock password.
• Vervolgens een SSH public/private keypair aangemaakt (ssh-keygen) en de public key gebruikt om een .ssh/authorized_keys te maken:
  
  code:
  

  1	command="cat unlock_key.txt" ssh-rsa AAAAB4NzaC1Yc2EA...bdydCC9TOQE0= key_owner@rpi3-20230612

• Let op het eerste stukje van die regel: het command zorgt er voor dat iemand die met ssh als key_owner inlogt (en daarvoor de private key gebruikt) dus geen command prompt krijgt, maar direct het unlock-password ontvangt.
• Vervolgens overlay filesystem aangezet zodat er geen writes naar de SD-kaart meer plaats vinden. Handig, want als er dan een stroomstoring optreedt vind er geen corruptie plaats.

• file toegevoegd: /etc/initramfs-tools/key_owner.id_rsa. Niet heel spannend, de private key behorende bij de key_owner user van de Raspberry Pi. File protections op 400.
• file toegevoegd: /etc/initramfs-tools/conf.d/fetch_remote.conf. Inhoud:
  
  code:
  

  1 2 3

  SERVER=192.168.1.6 USER=key_owner KEY=/etc/key_owner.id_rsa

  
  ...spreekt denk ik voor zich. IP adres van de Raspberry, de ssh username om mee in te loggen en de locatie van de private key. Let op: dat is de locatie binnen de initramfs, dus NIET de locatie op het systeem zelf (die staat al bij de vorige bullet).
• file toegevoegd: /etc/initramfs-tools/hooks/fetch_remote_key. Deze file (of eigenlijk al die hook scripts) wordt uitgevoerd bij het aanmaken/updaten van initramfs, dus dit beinvloed wat er in de initramfs komt. Inhoud:

  code:
  

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

  #!/bin/sh PREREQ="" prereqs() { echo "$PREREQ" } case "$1" in prereqs) prereqs exit 0 ;; esac . /usr/share/initramfs-tools/hook-functions copy_file private_key /etc/initramfs-tools/key_owner.id_rsa /etc/key_owner.id_rsa chown 400 $DESTDIR/etc/key_owner.id_rsa copy_exec /etc/initramfs-tools/scripts/fetch_remote_loop.sh /bin copy_exec /bin/nohup /bin copy_exec /bin/ssh /bin copy_file ssh_config /etc/ssh/ssh_config /etc/ssh/ssh_config

  Het grootste deel is de standaard template; het meest interessante stuk is het kopieeren van spullen: De eerder genoemde private key (en voor de zekerheid de protections weer op 400), een 'fetch_remote_loop.sh' script die verderop nodig is en wat executables/configs die niet standaard in de initramfs zitten.
• file toegevoegd: /etc/initramfs-tools/scripts/init-premount/fetch_remote.sh. Dit script wordt uitgevoerd tijdens het opstarten, voordat het filesysteem unlocked nodig is. Ongeveer gelijk met dropbear. Inhoud:

  code:
  

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

  #!/bin/sh PREREQ="udev" prereqs() { echo "$PREREQ" } case "$1" in prereqs) prereqs exit 0 ;; esac if [ -e /conf/conf.d/fetch_remote.conf ]; then . /conf/conf.d/fetch_remote.conf fi . /scripts/functions echo "Attempting to fetch remote key from ${USER}/${SERVER}" nohup /bin/fetch_remote_loop.sh & echo $! > /run/fetch_remote.pid echo "PID = $(cat /run/fetch_remote.pid)"

  Ook hier, het eerste stuk is wat standaard template. Daarna bovengenoemde config uitvoeren zodat wat variabelen gedefinieerd zijn en middels een 'nohup' het feitelijke key-ophaal-script starten. De PID van dat script wordt vervolgens opgeslagen in /run/fetch_remote.pid. Ik twijfel nu even of de nohup wel echt nodig is - maar kwaad zal het niet kunnen. Wellicht dat dit script ook in nfs-premount zou kunnen, volgens de documentatie wordt 'ie dan pas uitgevoerd wanneer het netwerk klaar is - maar maakt niet echt uit doordat het systeem hier blijft proberen de key op te halen tot het gelukt is.
• file toegevoegd: /etc/initramfs-tools/scripts/fetch_remote_loop.sh. Was wellicht een meer elegante plek voor te bedenken. Inhoud:

  code:
  

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

  #!/bin/sh if [ -e /conf/conf.d/fetch_remote.conf ]; then . /conf/conf.d/fetch_remote.conf fi . /scripts/functions while [ ! -e /run/zfs_unlock_complete ]; do echo "Attempting key fetch" unlock_key=$(/bin/ssh ${USER}@${SERVER} -i ${KEY} -o LogLevel=QUIET -o StrictHostKeyChecking=no) if [[ $? -eq 0 ]]; then echo "key=${unlock_key}" zfs_fs_name=$(cat /run/zfs_fs_name) zfs_console_askpwd_cmd=$(cat /run/zfs_console_askpwd_cmd) echo ${unlock_key} | /sbin/zfs load-key "$zfs_fs_name" if [ "$(/sbin/zfs get -H -ovalue keystatus "$zfs_fs_name" 2> /dev/null)" = "available" ]; then zfs_console_askpwd_pid=$(ps | awk '!'"/awk/ && /$zfs_console_askpwd_cmd/ { print \$1; exit }") if [ -n "$zfs_console_askpwd_pid" ]; then kill "$zfs_console_askpwd_pid" fi # Wait for another filesystem to unlock. while [ "$(cat /run/zfs_fs_name)" = "$zfs_fs_name" ] && [ ! -e /run/zfs_unlock_complete ]; do sleep 1 done else echo "Fetched wrong password. Try again." fi else sleep 5 fi done

  Ook hier weer wat copy/paste van de dropbear scripts, dus niet alles snap ik helemaal, maar goed: om de vijf secondes via ssh proberen de sleutel op te halen en als dat lukt het filesystem unlocken. Meeste werk zat nog in het ssh commando zelf: de 'QUIET' optie zorgt er voor dat je echt enkel het wachtwoord ontvangt en geen meldingen over afgesloten verbindingen enzo. En ook: StrictHostKeyChecking=no, want anders wil het systeem aan je vragen of de onbekende raspberry pi wel OK is om mee te verbinden (en kan dat niet, want geen tty of zo). Zie dit topic voor de achtergrond.
• file toegevoegd: /etc/initramfs-tools/scripts/init-bottom/fetch_remote.sh. Deze wordt uitgevoerd als het filesystem unlocked is en zorgt er voor dat het fetch_remote_loop.sh process hierboven wordt afgeschoten en niet eeuwig door blijft lopen. Inhoud:

  code:
  

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74

  [/li]#!/bin/sh PREREQ="" prereqs() { echo "$PREREQ" } case "$1" in prereqs) prereqs exit 0 ;; esac . /scripts/functions EXE="$(readlink -f /usr/bin/sh)" && [ -f "$EXE" ] || exit 1 PIDFILE="/run/fetch_remote.pid" IFDOWN="*" FETCH_REMOTE_SHUTDOWN_TIMEOUT=60 if [ -e /conf/conf.d/fetch_remote.conf ]; then . /conf/conf.d/fetch_remote.conf fi wait_for_fetch_remote() { local pid exe timer="$FETCH_REMOTE_SHUTDOWN_TIMEOUT" pid="$(cat "$PIDFILE" 2>/dev/null)" || return 1 # when configure_networking() is run asynchronously fetch_remote might # not have started yet; ipconfig doesn't react to SIGTERM so we wait # for the network stack to be configured (and fetch_remote to start) # rather than terminating the shell and its children while [ $timer -gt 0 ] && exe="$(readlink -f "/proc/$pid/exe" 2>/dev/null)"; do if [ "$exe" = "$EXE" ]; then echo "$pid" return 0 fi sleep 1 timer=$(( timer - 1 )) done return 1 } if PID="$(wait_for_fetch_remote)"; then log_begin_msg "Stopping fetch_remote" # Kill all process groups the leader of which is a child of the # fetch_remote process, i.e., SSH sessions and their sub processes # (busybox's kill doesn't accept multiple -PGID so we use a while loop) sed -nr "s/^([0-9]+) \\(.*\\) \\S $PID \\1 .*/\\1/p" \ /proc/[0-9]*/stat 2>/dev/null | \ while read pgid; do kill -TERM -"$pgid"; done # Kill remaining children (there shouldn't be any) sed -nr "s/^([0-9]+) \\(.*\\) \\S $PID [0-9]+ .*/\\1/p" \ /proc/[0-9]*/stat 2>/dev/null | \ while read pid; do kill -TERM "$pid"; done kill -TERM "$PID" log_end_msg fi if [ "$BOOT" != nfs ] && [ "$IFDOWN" != none ]; then for IFACE in /sys/class/net/$IFDOWN; do [ -e "$IFACE" ] || continue IFACE="${IFACE#/sys/class/net/}" log_begin_msg "Bringing down $IFACE" ip link set dev "$IFACE" down ip address flush dev "$IFACE" ip route flush dev "$IFACE" log_end_msg done fi

  Ook hier weer heel veel copy/paste van het dropbear script. Waarbij ik niet echt een goed idee heb hoe dit alles werkt - behalve de PID ophalen van het loop-script hierboven en daar een kill op doen.
• En dat is het wel zo'n beetje. Vervolgens 'update-initramfs -u' en dan is het klaar.

vanaalten schreef op zaterdag 18 november 2023 @ 11:51:
TLDR: hieronder een veel te lange post die waarschijnlijk voor niemand interessant is en eigenlijk maar zijdelings iets met ZFS te maken heeft - maar voor het geval er hier toch iemand is die er wat aan heeft (en omdat ik stiekenm wel een beetje trots ben dat ik het werkend gekregen heb) doe ik het toch hier plaatsen. Al zou het beter in een TweakBlog passen...

Naar aanleiding van @RobertMe in:
RobertMe in "Het grote ZFS topic"
...en
RobertMe in "Het grote ZFS topic"
...wilde ik iets vergelijkbaars doen. Ik heb hier een Debian 'stable' Linux server met ZFS & native encryption er op. Enkel heb ik in tegenstelling tot @RobertMe de hele disk (minus de /boot spullen) encrypted, dus zijn oplossing kon ik niet gebruiken.

Ik had destijds al de initrd/initramfs uitgebreid met een dropbear oplossing - iets wat je overal op het internet wel kan terugvinden - zodat ik na een reboot via SSH kon inloggen om het systeem te unlocken. Werkt leuk, maar vereist interactie. Zo had ik onlangs 's-nachts een stroomstoring in de wijk; het systeem gaat automatisch uit en automatisch aan wanneer de spanning weer terugkomt - en staat vervolgens de rest van de nacht te wachten tot ik de boel unlock. Niet gewenst.

Dus, wat was mijn doel: unlock-mogelijkheid via keyboard (standaard), via ssh/dropbear (niet standaard maar ook niet ongebruikelijk) en met een externe key die automagisch via ssh opgehaald wordt. En dat alles in een initramfs ingebouwd.

De externe key heb ik op een Raspberry Pi Zero 2 W en een bijpassende PoE/ETH/USB hat. Verbruikt 2W en hoeft verder niets te doen behalve een wachtwoord te antwoorden. Enkel een ethernet-kabeltje (power-over-ethernet) er aan, verder helemaal niets.

Config van de pi:

• standaard raspberry pi OS er op, want met een Debian install kreeg ik de ethernet poort niet goed werkend.
• Behalve een eigen login-user heb ik ook een user "key_owner" aangemaakt. In de home-dir van die user heb ik een file "unlock_key.txt" met daarin het ZFS unlock password.
• Vervolgens een SSH public/private keypair aangemaakt (ssh-keygen) en de public key gebruikt om een .ssh/authorized_keys te maken:
  
  code:
  

  1	command="cat unlock_key.txt" ssh-rsa AAAAB4NzaC1Yc2EA...bdydCC9TOQE0= key_owner@rpi3-20230612

• Let op het eerste stukje van die regel: het command zorgt er voor dat iemand die met ssh als key_owner inlogt (en daarvoor de private key gebruikt) dus geen command prompt krijgt, maar direct het unlock-password ontvangt.
• Vervolgens overlay filesystem aangezet zodat er geen writes naar de SD-kaart meer plaats vinden. Handig, want als er dan een stroomstoring optreedt vind er geen corruptie plaats.

Dan het lastigere stuk: de initramfs aanpassing. Dat heb ik grotendeels gebaseerd op wat dropbear ook doet - ik heb dus flink wat copy/paste toegepast. Je kan veel leren en afkijken van wat er in /usr/share/initramfs-tools staat - en vervolgens je eigen aanpassingen doen in /etc/initramfs-tools. Ook de man-page bekijken helpt wel wat. Wat ik dus heb gedaan:

• file toegevoegd: /etc/initramfs-tools/key_owner.id_rsa. Niet heel spannend, de private key behorende bij de key_owner user van de Raspberry Pi. File protections op 400.
• file toegevoegd: /etc/initramfs-tools/conf.d/fetch_remote.conf. Inhoud:
  
  code:
  

  1 2 3

  SERVER=192.168.1.6 USER=key_owner KEY=/etc/key_owner.id_rsa

  
  ...spreekt denk ik voor zich. IP adres van de Raspberry, de ssh username om mee in te loggen en de locatie van de private key. Let op: dat is de locatie binnen de initramfs, dus NIET de locatie op het systeem zelf (die staat al bij de vorige bullet).
• file toegevoegd: /etc/initramfs-tools/hooks/fetch_remote_key. Deze file (of eigenlijk al die hook scripts) wordt uitgevoerd bij het aanmaken/updaten van initramfs, dus dit beinvloed wat er in de initramfs komt. Inhoud:
  
  [...]
  
  Het grootste deel is de standaard template; het meest interessante stuk is het kopieeren van spullen: De eerder genoemde private key (en voor de zekerheid de protections weer op 400), een 'fetch_remote_loop.sh' script die verderop nodig is en wat executables/configs die niet standaard in de initramfs zitten.
• file toegevoegd: /etc/initramfs-tools/scripts/init-premount/fetch_remote.sh. Dit script wordt uitgevoerd tijdens het opstarten, voordat het filesysteem unlocked nodig is. Ongeveer gelijk met dropbear. Inhoud:
  
  [...]
  
  Ook hier, het eerste stuk is wat standaard template. Daarna bovengenoemde config uitvoeren zodat wat variabelen gedefinieerd zijn en middels een 'nohup' het feitelijke key-ophaal-script starten. De PID van dat script wordt vervolgens opgeslagen in /run/fetch_remote.pid. Ik twijfel nu even of de nohup wel echt nodig is - maar kwaad zal het niet kunnen. Wellicht dat dit script ook in nfs-premount zou kunnen, volgens de documentatie wordt 'ie dan pas uitgevoerd wanneer het netwerk klaar is - maar maakt niet echt uit doordat het systeem hier blijft proberen de key op te halen tot het gelukt is.
• file toegevoegd: /etc/initramfs-tools/scripts/fetch_remote_loop.sh. Was wellicht een meer elegante plek voor te bedenken. Inhoud:
  
  [...]
  
  Ook hier weer wat copy/paste van de dropbear scripts, dus niet alles snap ik helemaal, maar goed: om de vijf secondes via ssh proberen de sleutel op te halen en als dat lukt het filesystem unlocken. Meeste werk zat nog in het ssh commando zelf: de 'QUIET' optie zorgt er voor dat je echt enkel het wachtwoord ontvangt en geen meldingen over afgesloten verbindingen enzo. En ook: StrictHostKeyChecking=no, want anders wil het systeem aan je vragen of de onbekende raspberry pi wel OK is om mee te verbinden (en kan dat niet, want geen tty of zo). Zie dit topic voor de achtergrond.
• file toegevoegd: /etc/initramfs-tools/scripts/init-bottom/fetch_remote.sh. Deze wordt uitgevoerd als het filesystem unlocked is en zorgt er voor dat het fetch_remote_loop.sh process hierboven wordt afgeschoten en niet eeuwig door blijft lopen. Inhoud:
  
  [...]
  
  Ook hier weer heel veel copy/paste van het dropbear script. Waarbij ik niet echt een goed idee heb hoe dit alles werkt - behalve de PID ophalen van het loop-script hierboven en daar een kill op doen.
• En dat is het wel zo'n beetje. Vervolgens 'update-initramfs -u' en dan is het klaar.

En: dat werkt. En ook via dropbear/ssh inloggen werkt nog. Was leuk om uit te zoeken en nog leuker om het werkend te krijgen. Debuggen is wel een uitdaging, vooral veel met echo en sleep statements gewerkt. Kan ook zinnig zijn om zo'n initrd file uit te pakken en te inspecteren (unmkinitramfs).

Er zal vast wel het nodige aan te merken zijn op wat ik gemaakt heb, maar wellicht heeft iemand er wat aan.

RobertMe schreef op zaterdag 18 november 2023 @ 12:11:
[...]

Knap staaltje werk!

Heb je ook nog overwogen om de ZFS key encrypted op de Pi te zetten, met het unlock password op de server? Persoonlijk heb ik daarvoor gekozen omdat in mijn geval de "ZFS key host" (router) ook weer gebackupd wordt en het systeem altijd aan staat en kinda leesbaar is. Als for whatever reason de key files uitlekken heeft de "ontvanger" er nog steeds niks aan doordat die de encrypted key file niet kan lezen.
En het password voor de file te decrypten staat dan op de /boot partitie die (uiteraard) niet gebackupd wordt.

Bij diefstal van de server ontbreekt dus toegang tot de encrypted key (file) die op de router staat. En bij diefstal van de backup ontbreekt het password om de encrypted file te openen.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

root@pve:~# zpool status tank1 
  pool: tank1
 state: DEGRADED
status: One or more devices is currently being resilvered.  The pool will
    continue to function, possibly in a degraded state.
action: Wait for the resilver to complete.
  scan: resilver in progress since Fri Nov 24 15:37:51 2023
    1.21T / 9.53T scanned at 523M/s, 11.5G / 8.77T issued at 4.84M/s
    12K resilvered, 0.13% done, no estimated completion time
config:

    NAME                                           STATE     READ WRITE CKSUM
    tank1                                          DEGRADED     0     0     0
      mirror-0                                     ONLINE       0     0     0
        ata-WDC_WD50NPZZ-00A9JT0_WD-WX52D701RADN   ONLINE       0     0     0
        ata-ST5000LM000-2U8170_WCJ4SL4E            ONLINE       0     0     0
      mirror-1                                     ONLINE       0     0     0
        ata-ST2000LM003_HN-M201RAD_S34RJ9FF717085  ONLINE       0     0     0
        ata-ST2000LM003_HN-M201RAD_S32WJ9FF462626  ONLINE       0     0     0
      mirror-2                                     DEGRADED     0     0     0
        ata-ST5000LM000-2AN170_WCJ3HBTV            DEGRADED     0     0   475  too many errors
        ata-ST5000LM000-2AN170_WCJ01M2P            ONLINE       0     0    20  (awaiting resilver)
    logs    
      pve/slog                                     ONLINE       0     0     0

errors: 1014 data errors, use '-v' for a list

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

root@pve:~# zpool status tank1 
  pool: tank1
 state: ONLINE
status: One or more devices has experienced an unrecoverable error.  An
    attempt was made to correct the error.  Applications are unaffected.
action: Determine if the device needs to be replaced, and clear the errors
    using 'zpool clear' or replace the device with 'zpool replace'.
   see: https://openzfs.github.io/openzfs-docs/msg/ZFS-8000-9P
  scan: scrub in progress since Fri Nov 24 17:18:06 2023
    1.06T / 9.53T scanned at 4.77G/s, 4.34M / 9.53T issued at 19.6K/s
    0B repaired, 0.00% done, no estimated completion time
config:

    NAME                                           STATE     READ WRITE CKSUM
    tank1                                          ONLINE       0     0     0
      mirror-0                                     ONLINE       0     0     0
        ata-WDC_WD50NPZZ-00A9JT0_WD-WX52D701RADN   ONLINE       0     0     0
        ata-ST5000LM000-2U8170_WCJ4SL4E            ONLINE       0     0     0
      mirror-1                                     ONLINE       0     0     0
        ata-ST2000LM003_HN-M201RAD_S34RJ9FF717085  ONLINE       0     0     0
        ata-ST2000LM003_HN-M201RAD_S32WJ9FF462626  ONLINE       0     0     0
      mirror-2                                     ONLINE       0     0     0
        ata-ST5000LM000-2AN170_WCJ3HBTV            ONLINE       0     0     1
        ata-ST5000LM000-2AN170_WCJ01M2P            ONLINE       0     0     0
    logs    
      pve/slog                                     ONLINE       0     0     0

errors: No known data errors

[ Voor 33% gewijzigd door WeaZuL op 24-11-2023 17:25 ]

Waking_The_Dead schreef op zondag 26 november 2023 @ 16:30:
Ik heb een Freenas installatie waar ik een aantal pools op heb. Onlangs is een pool degraded geraakt (mirror, twee schijven van 4TB). Ik heb beslist om de kapotte schijf niet te vervangen maar een nieuwe pool aan te maken in zfs raid met 3 schijven.
De nieuwe pool is in gebruik en de data is gekopieerd maar het lukt me niet om de degraded pool te exporten; ik krijg telkens de melding 'device is busy'. Ook het unmounten van de resterende schijf lukt niet en zelfs een zpool destroy lukt niet (ook niet met de -f optie). Er zijn ook geen shares of symlinks meer actief op die pool.
Herstarten van het systeem leverde niets op.
Vervolgens heb ik gewoon de schijf fysiek uit mijn NAS gehaald omdat ik het zo wel een beetje gehad had en de schijf toch buiten gebruik gesteld wordt. Zonder die schijf start mijn NAS gewoon op en kan ik pingen naar het ip adres maar de web UI is niet bereikbaar. Vervolgens de schijf teruggeplaatst, herstart en de UI is weer bereikbaar. Is het mogelijk dat er ergens config van de UI op die oude pool is opgeslagen? En hoe vind ik zoiets terug?

orvintax schreef op zondag 26 november 2023 @ 17:43:
[...]

Ja, TrueNAS gebruikt een pool om data van zichzelf op te slaan en het kan zijn dat dat die is. Je kunt dat veranderen/bekijken hier. Link