Como devo criptografar o Ubuntu Server 14.04 com o AES no RAID 10 e no RAID 5?

Navegue suas respostas
0

Depois de pesquisar, cheguei à conclusão de que minha configuração não é padrão o suficiente para ter uma resposta direta flutuando nas interwebs.

Meu hardware:

  • CPU i7 950
  • 24 GB DDR3
  • 7 HDDs de 2 TB de 7200 RPM

Minhas metas:

  • Servidor rápido, leve e seguro para executar programas intensivos de CPU / memória (basicamente executa o servidor a 80% continuamente)
  • Grande espaço de armazenamento para filmes, TV, qualquer outra coisa
  • Hospedar algumas VMs (digamos 3 desktop Ubuntu 14.04)
  • firewall do sistema (inclinado para ufw) além do HW FW externo
  • Criptografar todos os 7 discos
  • requer uma unidade USB e senha para acessar unidades e inicializar o servidor Ubuntu 14.04

Partições de RAID de software:

  • md0 300GB RAID 10 de software
  • md1 9.5TB RAID 5 de software

Partições de cada disco:

  • RAID de software de 100 GB 10
  • RAID 5 de software de 1,9 TB
  • troca de 10 GB

Eu entendo que o instalador do Ubuntu Live usa dm-crypt com a opção de AES. Quanto isso afetará meu desempenho? Vale a pena não criptografar o array RAID 5 para armazenamento, onde a criptografia não é tão importante? Como posso exigir uma unidade USB com uma chave privada para inicializar o sistema, além de uma frase secreta? Eu gostaria que a unidade USB fosse necessária apenas para inicializar o sistema e ser removida se o sistema estivesse em uso. Existe uma maneira de usar criptografia mais strong?

Tanto quanto eu posso dizer, AES é a melhor opção para o desempenho .

Como devo proceder para criptografar o Ubuntu Server 14.04 com o AES no RAID 10 e no RAID 5 usando os parâmetros acima?

    
por conman253 23.02.2015 / 14:31

2 respostas

1

  • RAID de software: Não faça isso!

    Eu nunca em toda a minha carreira vi um software RAID na verdade graciosamente recuperar de hardware danificado, enquanto eu vi toneladas de RAIDs de software cagar criar problemas quando não havia nenhum problema de hardware ...

  • Backup:

    O RAID é uma proteção contra uma única falha de disco (ou falha de disco duplo no caso do RAID-6)! Não é um substituto para backups!

    Faça backups mensais do sistema usando o CloneZilla e backups de arquivos semanais usando qualquer software de sua preferência. Não criptografe as cópias de segurança, a menos que a criptografia seja puramente baseada em hash de senha, pois um backup criptografado criptografado por chaves é inacessível se você perder as chaves ...

    Faça backups regulares da chave USB que você usará para inicializar o sistema (por exemplo, no desligamento do sistema) e use um SLC USB stick (4GB deve ser suficiente) e não um MLC um.

  • Criptografia de software:

    No topo do hardware RAID, estou aconselhando você a ter uma placa-mãe de criptografia de hardware decente em cima da sua placa-filha RAID de hardware.

Essa é a minha recomendação para o seu caso de uso ...

    
por Fabby 23.02.2015 / 15:56
0

Para usar um arquivo-chave além de uma senha, este link deve ajudar (embora eu não tenha tentado essas instruções): link

O impacto da CPU no FDE com o LUKS é insignificante, especialmente porque você tem um i7 que vem com otimização AES integrada. A menos que você esteja tentando extrair os últimos 2% de poder de processamento de seu servidor, isso não será um problema. Sua velocidade de IO sempre será o gargalo, não o AES. Como comparação, as opções de montagem do seu sistema de arquivos, como atime ou habilitar / desabilitar a suspensão da unidade, causarão um impacto muito maior no desempenho em todos os casos de uso.

Edit: Além disso, eu realmente sugiro ataque ao software. O Hardware RAID é ótimo até que a sua placa RAID apague e você tenha que descobrir como extrair os dados ou reconstruí-los, o que envolve o fornecimento de um modelo duplicado exato do seu cartão (o que provavelmente levará dias com o envio). E se você pode ou não simplesmente ligar as unidades e ir depende de quais opções a placa oferece. O hardware RAID pode aumentar significativamente o desempenho em relação ao software RAID, mas pode ser uma dor de cabeça quando falha. O RAID de software também é muito mais fácil de gerenciar na maioria das situações.

    
por Mr. T 19.08.2018 / 10:30
wlan0 não foi encontrado após a instalação do ath9k do backport - ubuntu 14.04 Controle de brilho (Fn +…) não funciona no Ubuntu 14.04 Asus Q502LA [duplicado]