AbcLinuxu:/ Poradna / Linuxová poradna / Šifrování diskového pole

Štítky: bezpečnost, disk, dm-crypt, LinuxEXPRES, pěkné, pole, práce, RAID, rychlost, šifrování, TrueCrypt

Dotaz: Šifrování diskového pole

5.2.2014 11:21 marek ž.
Šifrování diskového pole

Přečteno: 596×

Odpovědět | Admin

Potřeboval bych poradit s návrhem struktury dat, aby byla ukládána duplicitně a přitom šifrovaná. Mám v plánu použít raid 1 se třemi disky a nevím, v jaké fázi šifrovat a čím. Nejraději bych použil truecrypt, protože ten již znám, pokud doporučíte z nějakých důvodů dm-crypt, nevadí. Prioritou není rychlost a jednoduchost práce, ale spolehlivost a možnost případné obnovy.

Rád bychy se zeptal na následující

Je lepší vytvořit pole a to celé zašifrovat, nebo nejdříve šifrovat a pak vytvořit pole, jako je to třeba zde: http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-lvm-a-diskove-sifrovani ?
Jak se v kterém případě postupuje, pokud odejde disk nebo chci nějaký dodat?
Pokud vezmu jeden disk z raidu 1 a připojím ho samostatně, dostanu se ke všem datům stejně, jako bych měl pole kompletní? Chci se jen ujistit, protože toto je hlavní důvod, proč nechci raid 10.

Děkuji pěkně

Nástroje: Začni sledovat (0) ?

Odpovědi

5.2.2014 11:45 trubicoid2
Rozbalit Rozbalit vše Re: Šifrování diskového pole

no a FS bude jaky? jestli pouzijes btrfs nebo zfs a jejich vestaveny raid (doporucuje se), tak je potreba zasifrovat disky a ty zasifrovane pak predhodit zfs nebo btrfs, vyhoda je, ze se bude urcite sifrovat paralelne (i kdyz to mozna jadro dela paralelne ted i u jednoho zarizeni), nevyhoda je, ze se pri startu rozsifrovava vic disku, ale na to si udelas skript

jestli budes mit jiny FS, tak udelas prvne raid nad disky pomoci mdadm, ten raid pak zasifrujes a to pak predhodis FS

no a na vlastni sifrovani doporucuji cryptsetup s Luks, ted novy cryptsetup umi ted i truecrypt, ale mozna ho jeste nebudou umet startovaci skripty tvoji distribuce, tak s tim bude otrava; Luksu stejne verim vic nez truecryptu

nejak nechapu posledni dotaz, k datum z jednoho disku se dostanes, ale proc delat raid1 ze tri disku? stejne muzes udelat raid10 ze dvou disku a layout f je rychlejsi nez raid1 a k datum se taky dostanes z jednoho disku, nebo raid5 ze tri disku, pak ale potrebujes 2 abys dostal data

5.2.2014 12:00 trubicoid2
Rozbalit Rozbalit vše Re: Šifrování diskového pole

a jak se postupuje pri vymene disku?

pokud mas zasifrovany disky a na nich raid, tak zasifrujes novej disk a ten pak predhodis raidu

pokud to mas opacne, tak disk jen predhodis raidu a je to, tedy je to jednoduzsi a v pripade ze nepouzijes btrfs a zfs tak doporucovany zpusob

5.2.2014 12:21 marek ž.
Rozbalit Rozbalit vše Re: Šifrování diskového pole

Děkuji velmi za reakci.

S btrfs nemám zkušenosti, raději bych proto použil ext4 a mdadm. Nebo má btrfs ještě nějaké další zásadní výhody kromě toho paralelního šifrování?

Chci tři disky kvůli redundanci. Nechci riskovat jen dva disky, kdy se jeden zhroutí a druhý padne při obnově. Když bych toto chtěl při raidu 10, musel bych mít šest disků, ne? To raději ty další disky použiji na offline zálohu.

5.2.2014 14:37 trubicoid2
Rozbalit Rozbalit vše Re: Šifrování diskového pole

raid10 lze udelat ze sudeho poctu disku, tedy 2, 4, ...

kdyz udelas ze 2, tak je to stejny jako raid1, lisi se jen tim, ze bloky pri layout far nejsou mezi disky na stejnym miste, tedy na rychle casti disku1 jsou jina data nez na rychle casti disku2 a tim padem je to dohromady rychlejsi

mdamd --create --level=10 --layout=f2

takze v tvem pripade udelas prvne raid a ten potom zasifrujes a na nem pak ext4; udelal bych to stejne ze dvou disku a na treti bych daval zalohu

btrfs umi trebas checksum, kompresi, deduplikaci, cow, defragmentaci (to umi uz i ext4)

5.2.2014 16:05 marek ž.
Rozbalit Rozbalit vše Re: Šifrování diskového pole

Znovu děkuji, nyní v tom mám jasno a pravděpodobně dám na doporučení.

5.2.2014 17:44 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Šifrování diskového pole

Je lepší vytvořit pole a to celé zašifrovat, nebo nejdříve šifrovat a pak vytvořit pole, jako je to třeba zde: http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-lvm-a-diskove-sifrovani ?

Osobně bych radši vytvořil pole a až to pak zašifroval. Tak řešíš jedno šifrované zařízení, ne každý disk zvlášť (což by taky mohla být pakárna v distribucích nastavit, minimálně v Debianu jsem to vzdal).

Jak se v kterém případě postupuje, pokud odejde disk nebo chci nějaký dodat?

Normálně mdadm --add. To je vlastně taky výhoda toho mého postupu.

Pokud vezmu jeden disk z raidu 1 a připojím ho samostatně, dostanu se ke všem datům stejně, jako bych měl pole kompletní?

Ano.

Osobně mi přijde RAID1 se třemi disky jako nesmysl - mnohem větší riziko než že odejdou dva disky najednou je, že uživatel něco smaže, ty se při správě serveru uklepneš atd. Líp bys udělal, kdybys udělal RAID1 se dvěma disky a na ten třetí zálohoval (nejlépe kdyby byl v jiném stroji, v jiné síti, na jiné elektrické přípojce, v jiné budově, v jiném státě :-)

5.2.2014 20:36 marek ž.
Rozbalit Rozbalit vše Re: Šifrování diskového pole

Také děkuji za názor, asi to na základě rad od tebe a trubicoid2 právě takto udělám. V případě tří disků vyhrává raid 10 (2 HDD) + 1 HDD záloha. Co byste kdo volil pro čtyři disky? Napadají mě tři možnosti:

RAID 10 (4 HDD)
RAID 10 (2 HDD) + jednou za čas záloha na RAID 10 (2 HDD)
RAID 10 (2 HDD) + jednou za čas záloha na 1 HDD + méně často záloha na čtvrtý HDD

První se od dalších liší dvojnásobnou kapacitou, ale zase nespolehlivostí proti zmíněnému mazání dat a navíc všechny HDD budou náchylné najednou, to vím. Jak byste kdo volil mezi druhou a třetí variantou?

5.2.2014 20:52 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Šifrování diskového pole

Co byste kdo volil pro čtyři disky?

RAID5 přes 3 + záloha na 4. Aha, možná se to nevejde (přijde na to, co tam je za data, třeba část z toho není potřeba zálohovat, nebo se může ten jeden disk koupit větší…)

5.2.2014 21:25 Semo | skóre: 45 | blog: Semo
Rozbalit Rozbalit vše Re: Šifrování diskového pole

Preco sa vsetci tak desia RAID6?

If you hold a Unix shell up to your ear, you can you hear the C.

5.2.2014 22:01 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Šifrování diskového pole

Neděsím se ho, sám ho leckde používám. Ale když má 4 disky a nemá zálohu, tak by měl mít v RAIDu 3 disky, a tam je R6 tak nějak k ničemu.

5.2.2014 21:57 marek ž.
Rozbalit Rozbalit vše Re: Šifrování diskového pole

Jenda: Děkuji, také zajímavá varianta.

Semo: Raid 6 již ne, při koupi čtyřech disků je nechci mít všechny online najednou.

6.2.2014 14:45 trubicoid2
Rozbalit Rozbalit vše Re: Šifrování diskového pole

tak to odpada 1. varianta raid10 na 4 diskach, ktera je dvakrat rychlejsi nez radi10 na dvou diskach

nevyhoda radi10 oproti raid6 na 4 diskach je ze nesmi chcipnout libovolny dva disky (jestli si to dobre pamatuju), kdezto v raid6 muzou chcipnout libovolny 2, ale zato je raid6 pomalejsi kvuliva xoru

7.2.2014 09:11 marek ž.
Rozbalit Rozbalit vše Re: Šifrování diskového pole

Ano, to vím. Ještě jednou všem děkuji, považuji to za vyřešené.

7.2.2014 16:49 j
Rozbalit Rozbalit vše Re: Šifrování diskového pole

Je pripodotek, vzdycky nejdriv RAID a az nad tim cokoli dalsiho ...

V opacnem pripade driv nebo pozdejs narazis na to, ze ti ten raid vlastne nefunguje jak ma - v zavislosti na tom jak mas reseny vrstvy pod tim. Jednoduse proto, ze nevidi na fyzickej disk. Problem to muzou byt neprijemne (vykon) i kriticke (po odpadnuti disku prijdes o data - o vsechny)

Raid zaroven neresi zalohovani - R5 je pro doma/nezatezovane pole zcela optimalni. R6 se pouziva spis vyjimecne - trebas na uloziste kde sou kriticky backupy. Mam tu jedno pole na R6 + je tam jeste spare disk.

Delat tridiskovy zrcaclo pokud nepotrebujes hodne velkej vykon na cteni (coz pri SW raidu je scifi) .. je pak spis nesmysl (a na cteni ti R5 da defakto totez).

Založit nové vlákno • Nahoru

Tiskni Sdílej: