25.6 ZFS 委托管理

用户级 ZFS 管理

ZFS 允许非特权用户进行管理操作，这一机制称为 ZFS 委托管理（ZFS delegation）。

自 FreeBSD 14.1 以降（请参阅发行说明，由此变更实现），bsdinstall(8) 使用的工具 adduser(8) 会在用户主目录的父目录位于 ZFS 数据集上时自动为用户主目录创建一个 ZFS 数据集（例如，当 /home 是 ZFS 数据集时，/home/xxx 也会是独立的数据集）。adduser 的参数 -Z 可以禁用这一行为。此外，adduser 现已支持为非特权用户的 ZFS 主目录启用加密功能。

基础的用户级 ZFS 管理

首先介绍非特权用户的 ZFS 数据集。

我们首先在安装系统时，创建了两个普通用户“aria2”和“safreya”。

列出系统中所有 ZFS 文件系统及其属性：

% zfs list
NAME                                           USED  AVAIL  REFER  MOUNTPOINT
zroot                                         53.7G   396G    96K  /zroot
zroot/ROOT                                    12.8G   396G    96K  none
zroot/ROOT/14.1-RELEASE-p3_2024-09-17_194642     8K   396G  11.6G  /
zroot/ROOT/default                            12.8G   396G  11.9G  /
zroot/aria2                                    187M   396G   187M  /usr/local/data/aria2
zroot/home                                    7.74G   396G    96K  /home
zroot/home/aria2                               128K   396G   128K  /home/aria2   # 请注意此行
zroot/home/safreya                            7.74G   396G  7.70G  /home/safreya # 请注意此行
zroot/jails                                   3.12G   396G  3.12G  /usr/jails
zroot/sec                                     28.5G   396G  28.5G  /usr/local/data/sec
zroot/tmp                                      102M   396G   102M  /tmp
zroot/usr                                     1.34G   396G    96K  /usr
zroot/usr/ports                               1.34G   396G  1.34G  /usr/ports
zroot/usr/src                                   96K   396G    96K  /usr/src
zroot/var                                     1.58M   396G    96K  /var
zroot/var/audit                                 96K   396G    96K  /var/audit
zroot/var/crash                                 96K   396G    96K  /var/crash
zroot/var/log                                 1.02M   396G  1.02M  /var/log
zroot/var/mail                                 168K   396G   168K  /var/mail
zroot/var/tmp                                  120K   396G   120K  /var/tmp

其中：

zroot/home/aria2                               128K   396G   128K  /home/aria2
zroot/home/safreya                            7.74G   396G  7.70G  /home/safreya

即，在创建用户时，系统已默认为用户 aria2 和 safreya 分别创建了各自独立的数据集 zroot/home/aria2 和 zroot/home/safreya。

接下来，分别查看一下两个数据集上的用户权限。

% zfs allow zroot/home/aria2        # 显示或设置 zroot/home/aria2 文件系统的权限授权
---- Permissions on zroot/home/aria2 ---------------------------------
Local+Descendent permissions:
        user aria2 create,destroy,mount,snapshot
safreya ~ % zfs allow zroot/home/safreya
---- Permissions on zroot/home/safreya -------------------------------
Local+Descendent permissions:
        user safreya create,destroy,mount,snapshot

可以看到，系统在创建用户时，会默认为其数据集授予 create、destroy、mount 和 snapshot 四项权限。

所以，对于这两个数据集，普通用户亦可使用快照功能：

% zfs snapshot zroot/home/safreya@snap1   # 为 zroot/home/safreya 文件系统创建名为 snap1 的快照
% zfs list -t snap                        # 列出所有 ZFS 快照
NAME                                       USED  AVAIL  REFER  MOUNTPOINT
zroot/home/safreya@snap1                     0B      -  7.70G  -

再来看 create、destroy 和 mount 权限：

% zfs create zroot/home/safreya/dataset_1        # 在 zroot/home/safreya 下创建一个新的 ZFS 数据集 dataset_1
cannot mount 'zroot/home/safreya/dataset_1': Insufficient privileges
filesystem successfully created, but not mounted

以 root 用户执行以下命令，将 vfs.usermount 设置为 1，以允许非 root 用户挂载文件系统：

% su -m root -c 'sysctl vfs.usermount=1'
Password:
vfs.usermount: 0 -> 1
% zfs create zroot/home/safreya/dataset_2        # 在 zroot/home/safreya 下创建一个新的 ZFS 数据集 dataset_2
% zfs list        # 列出所有 ZFS 文件系统及其属性
NAME                                           USED  AVAIL  REFER  MOUNTPOINT

      ...此处省略一部分...
      
zroot/home                                    7.79G   396G    96K  /home
zroot/home/aria2                               128K   396G   128K  /home/aria2
zroot/home/safreya                            7.79G   396G  7.68G  /home/safreya
zroot/home/safreya/dataset_1                    96K   396G    96K  /home/safreya/dataset_1
zroot/home/safreya/dataset_2                    96K   396G    96K  /home/safreya/dataset_2

      ...此处省略一部分...

% zfs destroy zroot/home/safreya/dataset_1       # 删除 ZFS 数据集 zroot/home/safreya/dataset_1 
% zfs destroy zroot/home/safreya/dataset_2        # 删除 ZFS 数据集 zroot/home/safreya/dataset_2

可以看到，创建（create）和销毁（destroy）权限可以正常使用，而挂载（mount）权限需要通过开启内核参数 vfs.usermount 来允许用户级挂载。

至此，用户级 ZFS 管理的基本需求已经满足。但仔细观察会发现 rollback 权限默认不可用，需要由 root 用户为普通用户授权该权限。

将 zroot/home/safreya 文件系统回滚到 snap1 快照状态：

% zfs rollback zroot/home/safreya@snap1
cannot rollback 'zroot/home/safreya': permission denied

以 root 用户授予 safreya 用户对 zroot/home/safreya 文件系统执行回滚操作的权限：

% su -m root -c 'zfs allow safreya rollback zroot/home/safreya'
Password:
% zfs rollback zroot/home/safreya@snap1

用户级 ZFS 加密功能

在 FreeBSD 14.1 中，若要在用户级使用 ZFS 加密功能，必须为用户授予特定权限。

授权用户 safreya 对 zroot/home/safreya 文件系统执行密钥管理和加密操作：

% su -m root -c 'zfs allow safreya change-key,load-key,keyformat,keylocation,encryption zroot/home/safreya'
Password: # 此处输入 root 账户密码然后按回车键

显示 zroot/home/safreya 文件系统的当前权限授权设置：

% zfs allow zroot/home/safreya
---- Permissions on zroot/home/safreya -------------------------------
Local+Descendent permissions:
        user safreya change-key,create,destroy,encryption,keyformat,keylocation,load-key,mount,snapshot

change-key、load-key、keyformat、keylocation 和 encryption 这五项权限属性用于 ZFS 的加密功能。

创建启用加密的 ZFS 数据集 zroot/home/safreya/secret，并将密码用作密钥格式：

% zfs create -o encryption=on -o keyformat=passphrase zroot/home/safreya/secret
Enter new passphrase:     # 在此处输入密码，密码不会回显
Re-enter new passphrase:  # 在此处重复输入密码，密码不会回显

查看加密情况：

% zfs get mounted zroot/home/safreya/secret        # 查询 zroot/home/safreya/secret 数据集是否已挂载
NAME                       PROPERTY  VALUE    SOURCE
zroot/home/safreya/secret  mounted   yes      -

查看 mounted 属性，加密数据集创建即挂载，现在创建一个文件，然后卸载加密数据集：

% cd secret                                      # 进入 secret 数据集目录
% echo "a secret makes a man mad" > abc.txt     # 在 secret 数据集中创建文件 abc.txt 并写入内容
% cd ..                                          # 返回上一级目录
% zfs unmount zroot/home/safreya/secret         # 卸载 secret 数据集
% zfs unload-key zroot/home/safreya/secret      # 卸载 secret 数据集的加密密钥
% zfs get mounted zroot/home/safreya/secret     # 查询 secret 数据集是否已挂载
NAME                       PROPERTY  VALUE    SOURCE
zroot/home/safreya/secret  mounted   no       -
% ls secret # 并无输出

卸载加密数据集时必须同时卸载其密钥；挂载加密数据集时也必须先加载密钥：

% zfs load-key zroot/home/safreya/secret   # 加载 secret 数据集的加密密钥
Enter passphrase for 'zroot/home/safreya/secret':  # 提示输入密钥密码
% zfs mount zroot/home/safreya/secret      # 挂载 secret 数据集
% ls secret                                 # 列出 secret 数据集中的文件
Permissions Size User    Date Modified Name
.rw-r--r--    25 safreya 19 Sep 20:26  abc.txt

注意
无论数据集是否挂载，destroy 子命令都可以成功销毁数据集，因为 destroy 权限默认已授予用户，因此如果操作的人不是该用户本人，仍可能删除数据集——即出现“我得不到的，就毁灭”的情况。
切记，“授权”是为普通用户授予代理权限，使其在操作授权的数据集时拥有类似 root 的权限，无需输入密码。因此，在授予权限时应综合考虑，合理限制授权范围和权限属性，例如禁用 destroy 权限属性等。

撤销用户 safreya 对 zroot/home/safreya 文件系统的销毁权限：

% su -m root -c 'zfs unallow safreya destroy zroot/home/safreya'
Password:        # 此处输入 root 账户密码然后按回车键

显示 zroot/home/safreya 文件系统的当前权限授权设置：

% zfs allow  zroot/home/safreya
---- Permissions on zroot/home/safreya -------------------------------
Local+Descendent permissions:
        user safreya change-key,create,encryption,keyformat,keylocation,load-key,mount,rollback,snapshot

此处，zroot/home/safreya/secret 继承了 zroot/home/safreya 的权限属性，因此授权或取消授权操作仅针对 zroot/home/safreya，对 zroot/home/safreya/secret 的权限不会生效。操作后属性保持不变，因为 ZFS 不支持“动态继承刷新”：子数据集只会在“创建时”继承父数据集的委托权限，之后父数据集的授权或反授权变更，不会自动向下同步到已存在的子数据集。这种授权是“静态继承设计”，目的是防止父级权限变更意外破坏子数据集的既有管理策略，需要显式、逐级授权或回收。

`adduser` 与用户主目录加密

adduser 命令中可以直接使用加密的用户主目录数据集，但默认给出的权限不足，一经卸载就无法由普通用户直接挂载。

# adduser        # 在系统中添加新用户，按照提示输入用户名、密码及其他信息
Username: test
Full name:
Uid (Leave empty for default):
Login group [test]:
Login group is test. Invite test into other groups? []:
Login class [default]:
Shell (sh csh tcsh zsh rzsh git-shell bash rbash nologin) [sh]:
Home directory [/home/test]:
Home directory permissions (Leave empty for default):
Enable ZFS encryption? (yes/no) [no]: yes #该功能为新增功能
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username    : test
Password    : *****
Full Name   :
Uid         : 1003
ZFS dataset : zroot/home/test
Encrypted   : yes
Class       :
Groups      : test
Home        : /home/test
Home Mode   :
Shell       : /bin/sh
Locked      : no
OK? (yes/no) [yes]:
Enter encryption keyphrase for ZFS dataset (zroot/home/test):
Enter new passphrase:
Re-enter new passphrase:
adduser: INFO: Successfully created ZFS dataset (zroot/home/test).
adduser: INFO: Successfully added (test) to the user database.
Add another user? (yes/no) [no]: no
Goodbye!

查看 zroot/home/test 文件系统的当前权限授权设置：

# zfs allow zroot/home/test
---- Permissions on zroot/home/test ----------------------------------
Local+Descendent permissions:
        user test create,destroy,mount,snapshot

卸载数据集和密钥：

# zfs unmount zroot/home/test        # 卸载 zroot/home/test 数据集
# zfs unload-key zroot/home/test     # 卸载 zroot/home/test 数据集的加密密钥

切换到普通用户 test 挂载尝试：

# su test        # 切换到普通用户 `test`
$ zfs load-key zroot/home/test        # 加载 zroot/home/test 数据集的加密密钥
Enter passphrase for 'zroot/home/test':
Key load error: Permission denied.

Permission denied 表示权限不足，访问被拒绝。

参考文献

man zfs-allow
zfs-allow -- delegate ZFS administration permissions to unprivileged users
zfs-create -- create ZFS dataset
FreeBSD 手册
OpenZFS Encryption Arrives on FreeBSD，说明了 GELI 加密和 zfs 加密的异同点
Merge OpenZFS support in to HEAD，FreeBSD 13.0 才转到了 OpenZFS

上一页25.5 更新 ZFS 的 zpool 下一页25.7 ZFS 压缩

最后更新于14天前

用户级 ZFS 管理

基础的用户级 ZFS 管理

用户级 ZFS 加密功能

adduser 与用户主目录加密

参考文献

`adduser` 与用户主目录加密