Mennyire lassítja egy szervernél a fájlolvasási/írási sebességet a full-disk titkosítás? Különösen akkor ha SSD-ről megy a rendszer.
B kérdés: az áramszünetre érzékeny a titkosított partíció?
- 3665 megtekintés
Hozzászólások
Ha eleg eros a CPU, lenyegeben nem befolyasolja.
Laptopom procija Hardware Accelerated AES-el tudna 2.3GB/s-et kodolni, de az SSD csak 1140MB/s-es tempot bir :D
Nehany %-os lassulas elofordulhat.
x<10%
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Négymagos Xeon E5420. Nem éppen mai darab, ha jól tudom még nincs benne AES-NI.
- A hozzászóláshoz be kell jelentkezni
Mire van hasznalva a szerver?
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
És főleg minek rá titkosítás? Fizikai biztonsággal problémák vannak?
- A hozzászóláshoz be kell jelentkezni
Barmikor betorhetnek barhova, es akkor legalabb az adatok miatt ne kelljen aggodni.
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Így igaz! A telephely munkatársainak levelezése lesz rajta.
- A hozzászóláshoz be kell jelentkezni
Ha csak levelezes lesz rajta, es nem fajlszerverkent funkcional, akkor a gyakorlatban eszre sem lehet venni a kulonbseget.
Fajlszervernel neccesebb mert ott folyamatosan sok adatot kell on the fly kodolnia a procinak.
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Az érintett telephelyen gyakorlatilag chatnak nézik a levelezést, illetve univerzális fájlküldő rendszernek. :-) Filmeket természetesen nem küldözgetnem emailen, de méreted dokumentumokat rendszeresen. Szóval előreláthatólag keményebb használhat hárul az SSD-re mint egy fileservernél.
- A hozzászóláshoz be kell jelentkezni
Szerintem meg igy sem lesz problema belole.
OFF: Egyszer kaptam egy a cegnel dolgozo kollegatol egy 600MB (HATSZAZ) mertu pdf-et emailben.
16GB RAM van a laptopban, de kifagyott minden :D
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Tiszta horror mire képesek az irodákban ha pdf dokumentumokról van szó.
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Hogy érte ezt a méretet el?
--
Dropbox:
Dropbox
Ubuntu One
- A hozzászóláshoz be kell jelentkezni
Tippem sincs, valahol meg megvan de elso blikkre azt mondanam tele volt BMP kepekkel.
(A logfile-t rendszeresen ugy kuldik el nekunk, hogy printscreen-elik, vagy roszabb esetben a monitort fenykepezik le)
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
A kedvencem: az illető lefotózta a telefonjával a Google találatok közt lévő terméket jépegbe, majd azt a képet bitmapként belerakta egy docx-be, utána bezippelte, és el e-mailozta. Ja, és hót homály volt az egész kép, így pont azok a részletek nem látszottak a fényképen, amiknek kellettek volna. :)
Még jó, hogy pár betűt sikerült a fotóból kisilabizálnom, és így rátaláltam az eredeti képre...
Amikor megnyitottam eme levelet, sikeresen lekapcsolt mentálisan kb negyedórára. (szerintem még a nyálam is kifolyt)
- A hozzászóláshoz be kell jelentkezni
Az ilyen kategoriaju emailekre en "ALL IN" szoktam felelni.
Visszakuldom en kitoltve az xls-t, ket peldanyban ahogy kertek, tar.gz-ben, oruljon mar o is.
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Ez semmi... A bürokrácia mégnagyobb csodákra képes. Rendszeresen kapok képújsághirdetésbe(!) hívatalos rendeleteket, a következő módon:
1. Megírják, kinyomtatják
2. Aláírják, lepecsételik
3. Szar minőségben bescannelik, tömörítetlen képnek
4. bepakolják pdf-nek
5. elküldik csatolmányként.
Több oldalas A4-es doksik is jönnek így néha, amikor meg visszaírok, hogy küldjék már el szöveges formába, vagy már nincs meg, vagy nem küldik, mert úgy nincs rajta pecsét :D
-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba
- A hozzászóláshoz be kell jelentkezni
Scannelt doksik is tudnak nagyok lenni ha színesben és nagy felbontással csinálod.
- A hozzászóláshoz be kell jelentkezni
Új kérdés, hogy áramszünetre érzékenyebb-e a titkosított partíció mint a titkosítás nélküli?
- A hozzászóláshoz be kell jelentkezni
" Plain format is just that: It has no metadata on disk, reads all parameters from the commandline (or the defaults), derives a master-key from the passphrase and then uses that to de-/encrypt the sectors of the device, with a direct 1:1 mapping between encrypted and decrypted sectors.
Primary advantage is high resilience to damage, as one damaged encrypted sector results in exactly one damaged decrypted sector. Also, it is not readily apparent that there even is encrypted data on the device, as an overwrite with crypto-grade randomness (e.g. from /dev/urandom) looks exactly the same on disk."
https://code.google.com/p/cryptsetup/wiki/FrequentlyAskedQuestions
------------------------------------------------------------------------------
www.woodmann.com/searchlores/welcome.htm
- A hozzászóláshoz be kell jelentkezni
Kösz.
- A hozzászóláshoz be kell jelentkezni
Szerver, ráadásul ssd-vel. Ne legyen már áramszünet. Kell egy normális ups, bekonfigurálva az os-en.
SSD-k nem díjazzák a hirtelen áramszüneteket, pontosabban az összes adat el tud veszni róluk ilyen esetben.
- A hozzászóláshoz be kell jelentkezni
Ez igy van, ahogy a stabil tapellatasra is kenyesek tudnak lenni, ezert nem art hozzajuk egy minosegi tap sem.
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Bár koros de minőségi Dell szervervas kerül alá. Évek során a használattal is tesztelve lett és sosem volt vele hiba.
Szünetmentes tápok miatt felrobbant PC tápegységekről egy korábbi fórumban volt szó Százezres szünetmentest nem akarunk pluszba venni.
- A hozzászóláshoz be kell jelentkezni
Aztán annak hogy koros és minőségi a szerver, mi köze van az áramellátás folyamatosságához?
Koránt sem kell 100 ezerért ups-t venni, normális APC-k vannak már 40 ezer környékén.
Ez a link, hogy felrobbant az abit nf-8-as alaplap a vargáné táp mögött meg egy vicc kb.
- A hozzászóláshoz be kell jelentkezni
Életben nem tapasztaltam ilyesmit. De még ha kicsi is a valószínűsége, ijesztők az ott leírtak. Egyesek szerint nemcsak gagyi táppal fordulhat elő, és még az APC tápok is négyszög-áramot adnak szinusz helyett ezen az árszinten. De lehet, hogy nincs igazuk.
- A hozzászóláshoz be kell jelentkezni
A négyszög-áram (feszültség, pontosabban) kb. mindegy egy kapcsolóüzemű tápnak. Kicsit nagyobb lesz az elektromágneses sugárzás, kicsit nagyobb lesz a diódák terhelése, oszt ennyi. Ha a táp rendesen túl van méretezve (ugye az 500W-os tápot nem 500W-on használjuk), akkor ez nem lehet gond.
- A hozzászóláshoz be kell jelentkezni
A szerverek tápja kapcsoló üzemű, 100-240V között bármit megeszik, akár egyenáramot is.
Ami nem bírta a négyszögjelet, az a trafó (modem, stb. tápja).
A "vargánya" táp magától is felrobbant, mert az alkatrészek és a hűtőbordák (alumínium!!) jelentős részét kispórolták.
Minden (,minden) szerverünk, router-ünk, stb. UPS mögött van legalább 20 éve és a munkaállomások jó része is.
A rack-es APC-től a nagyon gázos kínaiig, minden előfordul, de még egyik ügyfelünknél sem cseszte szét az UPS a gépet (maximum saját magát :)
Az áramkimaradásból rengeteg adatvesztéssel kellett megküzdeni, néha kézzel kellett visszaállítani a RAID-et vagy a file-rendszert.
Szóval UPS mindenképpen kell, lehetőleg olyan, amivel tud a gép kommunkálni.
Az eredeti kérdésre visszatérve, egy régi dual Xeon-os szerveren (3GHz, ECC DDR1 RAM, no HW AES) szinte alig volt észrevehető, moderált office használat közben.
---
http://plazmauniverzum.hu <> A látható anyag 99.999%-a plazma <>
- A hozzászóláshoz be kell jelentkezni
Emlekszem a "vargánya" tapos korszakra, nagyon sok durrant el 1 ev alatt mindenhol, es legtobbszor vitt magaval amit tudott.
Regi szep idok :D
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Ritkán de előfordulhat. Egyébként olyan SSD-t kell használni szerverben amiben van supercap.
- A hozzászóláshoz be kell jelentkezni
Továbbra sem értem miért ide titkosítás? És hogy indul ez a szerver? Belépsz távolról és adatpartíció felcsatolása előtt megadod a jelszavát?
- A hozzászóláshoz be kell jelentkezni
Mivel virtuális gépben megy a szerver ez nem probléma.
- A hozzászóláshoz be kell jelentkezni
Ugyanaz a mese, hogy indul?
- A hozzászóláshoz be kell jelentkezni
Host rendszerre bejelentkezés, utána virtuális gép indítása. A host nincs titkosítva, de ott nincs semmilyen fontos adat.
- A hozzászóláshoz be kell jelentkezni
Remélem nem Virtualbox-ban fut.
- A hozzászóláshoz be kell jelentkezni
És mi akadályozza meg a támadót abban, hogy a futó virtuális gépből kilopja az adatokat?
- A hozzászóláshoz be kell jelentkezni
+1
Ha sikerül root-ot szereznie, és készít egy snapshotot, a guest számára észrevétlenül ellophatja annak tartalmát (memóriával, ezáltal a titkosítási kulccsal együtt). De te tudod.
- A hozzászóláshoz be kell jelentkezni
És hogyan fog root jogot szerezni egy olyan hoston ami kívülről nem érhető el egyáltalán és egyébként is csak a minimálisan szükséges szolgáltatások futnak rajta?
- A hozzászóláshoz be kell jelentkezni
Nincs hozzá szünetmentes táp amivel bekapcsolva tud elszaladni az egyébként csöppet sem könnyű géppel. :-)
Ha pedig hozzáférést szerez a virtuális gépen futó szerverhez az már régen rossz. De ehhez felesleges betörni a telephelyre, távolról is lehet kísérletezni.
- A hozzászóláshoz be kell jelentkezni
Te tudsz olyan esetről, amikor itthon úgy loptak információt cégtől, hogy fizikailag betörtek és elvitték az adatokat?
Szerintem ez túlzott paranoia, mindenesetre sok sikert kívánok a projekthez. :)
- A hozzászóláshoz be kell jelentkezni
Volt példa már erre is. Persze gyakoribb, hogy egy volt bosszúszomjas alkalmazott az illető.
Az nyílt internet felé bármilyen szolgáltatást nyújtó szerverek biztonsága egy teljesen más problémakör. Ha betörnek és megszerzik a root jogot, vagy legalább hozzáférést a fájlokhoz, akkor azon nyilván nem segít az, hogy egyébként titkosított adathordozón vannak az adatok. A partíciók titkosítása a "szerver megszerzése" esetén viszont hatékony védelem, a rajta tárolt adatokra.
- A hozzászóláshoz be kell jelentkezni
A titkosításnak több oka lehet. Én akkor alkalmazom, ha nem ítélem megfelelőnek a szerver fizikai védelmét.
Egyébként egy HP microserverben levő N54L processzor is 85 MB/mp adatolvasást tesz lehetővé titkosított partícióról. Egy E3-xxxx procinál kb. 500 MB/másodperc vihet el egy procimagot a sok közül.
- A hozzászóláshoz be kell jelentkezni
Vagy van a szerverben valami ILO, vagy fogja magát aztán beforgat egy busybox-ot initramfs-be.
- A hozzászóláshoz be kell jelentkezni
ILO az jó lenne, de ebben sajnos az nincs.
- A hozzászóláshoz be kell jelentkezni
Dell gépekben iLO helyett DRAC van (már ha benne van a bővítő kártya)
- A hozzászóláshoz be kell jelentkezni
Belerak az initrd-be egy Dropbear-t.
------------------------------------------------------------------------------
www.woodmann.com/searchlores/welcome.htm
- A hozzászóláshoz be kell jelentkezni
Én úgy oldottam meg több helyen is, hogy egy kiemelt ("admin") felhasználó kap egy speciális pendrive-ot, amit be kell dugni, amikor (újra)indul a szerver. Ennek segítségével nyíl[i|na]k a titkosított partíció(k).
A cégnél van még egy ilyen pendrive biztonságos helyen, ha az első megsérülne. Enélkül nem indul el a rendszer.
Távolról pedig újra tudom indítani egy script segítségével, ami ideiglenesen preparálja a megfelelő fájlokat, majd újraindulás után takarít.
- A hozzászóláshoz be kell jelentkezni
Ezt lehet kiegészíteni azzal, hogy a pendrive nem közvetlenül van a gép seggébe dugva (mert esetleg a támadó észrevehetné), hanem a sok belőle kijövő vezeték közül az egyik egy USB hosszabbító, ami valami fixen lecsavarozott/jól eldugott/nehezen elmozdítható dobozba vezet, és abban van a pendrive. Én pl. ha egyszer lesz a házam alagsorában egy szerver, tuti be lesz falazva az indításhoz szükséges pendrive :) Aztán ha valaki úgy gondolja, hogy majd talál valami terhelőt rám nézve a gépen, az meg fog lepődni :D
- A hozzászóláshoz be kell jelentkezni
A szerverrel átadott dokumentációban benne van, hogy a szerver indulása után (amit 3 hangos csippanás jelez), AZONNAL el KELL távolítani és biztonságba kell helyezni a pendive-ot. Az soha nem marad bedugva a gépbe, sem előlről, sem hátulról, sem hosszabbítón keresztül...
- A hozzászóláshoz be kell jelentkezni
Irtam PM-et, majd olvasd el ha lesz egy kis idod.
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Elolvastam, de nem szeretem kiadni a privát email címemet idegeneknek, ne haragudj.
Kérdezz itt bátran, szívesen válaszolok, nem szégyenlem a megoldást, amit használok. :)
- A hozzászóláshoz be kell jelentkezni
Persze, semmi gond.
Erdekelne hogy oldottatok meg, de szerintem meg jopar masik embert is.
A pendrive-n csak egy kulcsfajl van, vagy esetleg tobb?
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
A pendrive végére (pl.
gparted-del) csináltam egy minimális partíciót. Ezen van a kulcsfájl (el is lehet rejteni), adhatsz neki egzotikus fájlrendszert, ...
Az
/etc/fstab-ban bemountolom valahová (pl.
/mnt). Itt megint lehet trükközni id, vagy uuid, vagy sdXY hivatkozással.
Az
/etc/crypttab-ban a következőképpen adom meg a kulcsfájl helyét:
logikainev /dev/fizikai_particio /mnt/kulcsfajlhelye/kulcsfajlneve luksA következő rész Linux disztribúciótól függően értelemszerűen eltérhet:
/etc/init.d/after.localtartalma az umount-ért és a 3 csipogásért (be kell kötni speakert, ha nincs a gépben!):
umount /mnt
echo -e "\a" >/dev/tty3
/usr/bin/sleep 1
echo -e "\a" >/dev/tty3
/usr/bin/sleep 1
echo -e "\a" >/dev/tty3
/usr/bin/sleep 1
A script titkosítatlan partícióra másolja a kulcsfájlt, elmenti az eredeti
/etc/fstabés az
/etc/crypttabtartalmát (pl. .orig kiterjesztéssel), majd a helyükre másolja az előre elkészített
fstab.ssh-t és
crypttab.ssh-t.
Az
fstab.ssh-ból ki kell törölni a kulcs pendrive mountolását, a
crypttab.ssh-ban pedig át kell írni a kulcsfájl útvonalát a titkosítatlan helyen lévő kulcsfájléra.
A
/etc/init.d/after.local-ban, vagy a
/var/spool/cron/tabs/root"@reboot" bejegyzésében töröljük induláskor a kulcsfájlt a titkosítatlan partíciórol.
Ha kihagytam valamit, kérdezz, segítek szívesen.
- A hozzászóláshoz be kell jelentkezni
http://browser.primatelabs.com/geekbench3/search?q=Xeon+E5420
Elég változóak az eredmények konfigurációtól függően, de úgy látom, ez a processzor nem tartalmaz még hardveres AES gyorsítást, így SSD esetén valúszínáleg erős a lassulás.
Az első találat, egy HP workstation:
AES
Single-core
106.8 MB/sec
AES
Multi-core
701.8 MB/sec
- A hozzászóláshoz be kell jelentkezni