Linux 上的 zfs：如果您不知道必须在哪里安装密钥，如何导入加密池？

我已经使用 ZFS 十多年了，但从未使用过 ZFS 加密，所以虽然我对 ZFS 了解很多，但我肯定不是 ZFS 加密方面的专家。

AFAIK，如果没有导入池，您将无法获取数据集的 keylocation 属性（因为它是数据集的属性，而不是池 - 可能有一种方法可以使用zdbZFS 调试实用程序来完成，但如果有的话，我不知道）。

但是，您可以在导入池之后但在装载数据集之前覆盖该属性，并手动告知zfs密钥文件的位置。

通过阅读文档，我很确定这就是-L选项的zfs load-key用途。来自man zfs-load-key:

zfs load-key [-nr] [-L keylocation] -a|filesystem

加载文件系统的密钥，允许访问它和所有继承 keylocation 属性的子项。

密钥应采用 keyformat 指定的格式和 keylocation 属性指定的位置。请注意，如果 keylocation 设置为提示，终端将以交互方式等待输入密钥。

加载密钥不会自动挂载数据集。如果需要该功能，zfs mount -l将要求提供密钥并安装数据集（请参阅 zfs-mount(8)）。

加载密钥后，keystatus 属性将可用。

-r递归加载指定文件系统和所有后代加密根的密钥。

-a加载所有导入池中所有加密根的密钥。

-n进行空运行（“No-op”）加载键。这将使 zfs 简单地检查提供的密钥是否正确。即使密钥已经加载，也可以运行此命令。

-L keylocation- 使用 keylocation 而不是 keylocation 属性。这不会更改数据集上的属性值。请注意，如果与-ror一起使用-a，keylocation 只能作为提示给出。

所以，尝试类似的东西：

1. 在任何你喜欢的地方安装包含密钥的 USB 记忆棒
2. 在不加载密钥的情况下导入池，因为你想用覆盖keylocation属性zfs load-key。如果没有这个-l选项，任何加密的数据集都不会被挂载，这正是你想要的。
3. 加载数据集的键
4. 安装数据集。

zpool import rpool    # without the `-l` option!
zfs load-key -L /path/to/keyfile rpool
zfs mount rpool

顺便说一句：请记住称为池rpool和该池的顶级数据集（也称为rpool）之间的区别 -zpool子命令与池一起使用，zfs子命令与数据集、zvols、快照等一起使用。