Perguntas sobre 'encryption'

Perguntas sobre criptografia, como criptografia de pasta base, criptografia de partição e criptografia de arquivo.
3
respostas

IO pobre devido ao ordenamento de LUKS / Software RAID / LVM? ______ qstntxt ___

Estou tentando determinar se devo reorganizar minha matriz RAID devido ao desempenho ruim do IO. Primeiro, o sistema:

  • i7 920
  • 4 unidades verdes WD 5400 de 4 TB
  • CentOS 6.3 host

Em segundo lugar, a configuração do disco:

  • / dev / sda2, b2, c2, d2 são criptografados individualmente pelo LUKS
  • / dev / mapper / a2, b2, c2, d2 fazem parte de um software RAID5 / dev / md1
  • / dev / md1 tem LVM além disso
  • O LVM é usado para separar /, / storage e swap

Eu escolhi essa estrutura para permitir várias instâncias do kcryptd, pensando que, ao fazer isso, eu obteria suporte multithread na criptografia, já que uma instância está sendo executada por unidade. No entanto, estou começando a me perguntar se foi uma boa ideia.

Por exemplo, se eu executar uma rotina de descompressão pesada em um arquivo RAR de dados aleatórios, meu IO Wait aumenta para cerca de 25% e diminui o sistema geral. Eu estou querendo saber se todos os conjuntos de instruções estão recebendo backup de alguma forma devido a todos os processos do kcryptd.

Por isso, estou pensando em mudar para:

  • / dev / sda2, b2, c2, d2 são colocados em / dev / md1
  • / dev / md1 é criptografado e mapeado para / dev / mapper / 1
  • LVM em cima de / dev / mapper / 1

Isso cairia em um único processo kcrpytd, que poderia ser um gargalo por si só também. Alguém acha que isso ajudará no meu problema de IO?

    
______ azszpr114452 ___

Suas camadas são abaixo do ideal porque colocar o RAID 5 em cima da criptografia significa aumentar em 25% o número de operações de criptografia / descriptografia, pois 4 * 4 TB são criptografados.

Ao colocar a criptografia na parte superior da invasão 5, apenas 3 * 4 TB são criptografados.

O raciocínio por trás disso é: você não precisa criptografar dados de paridade (que ocupam 4 TB em seu exemplo) de dados criptografados porque isso não aumenta sua segurança.

Sua presunção sobre vários processos kcrypt é apenas isso. Ao basear as decisões nele, é uma otimização prematura que pode ter o efeito oposto. Seu i7 é bastante robusto, provavelmente incluindo algumas instruções especiais que ajudam a acelerar o AES - e o kernel do Linux inclui várias variantes otimizadas de primitivas criptográficas que são automaticamente selecionadas durante a inicialização.

Você pode verificar se as rotinas otimizadas para sua CPU são usadas via %code% (por exemplo, sinalizador %code% ), %code% , %code% (a menos que os módulos aes sejam compilados no kernel) e log do kernel.

Você deve comparar o throughput do kryptd sem envolver nenhum disco lento para ver qual é o limite superior (isto é, em um disco RAM usando o iozone).

Para diagnosticar possíveis problemas de desempenho mais tarde, também é útil fazer um benchmark de sua configuração de escolha de RAID sem qualquer criptografia para obter um limite superior nesse ponto.

Além do tópico de criptografia, o RAID 5 envolve mais IO-Operations do que o RAID 1 ou 10. Como o armazenamento é meio barato, talvez seja uma opção para comprar mais discos rígidos e usar outro nível de RAID.

    
______ azszpr114404 ___

Eu Raid 1 + 0 [a2, b2] + [c2, d2], depois LVM sobre LUKS.

Exemplo

%pre%

OBSERVAÇÃO: Estruturar desta forma criará uma faixa de espelhos permitindo que um máximo de 2 discos falhe (um em cada espelho max) e lhe dará um espaço total / 2 em oposição a raid5 que é total * ~ 0,75.

Também acredito que este esquema é significativamente mais rápido porque o RAID5 é conhecido por prejudicar o desempenho, mas você terá menos espaço disponível.

Você também pode verificar a cifra, embora eu ache que aes-cbc-essiv é o padrão e razoavelmente rápido, mas você poderia usar aes-xts-plain, que deveria ser mais rápido.

    
______ azszpr114424 ___

Sua configuração significa que mais dados precisam ser criptografados no total ao gravar (os dados de paridade). Se sua criptografia já estiver lenta, a propriedade de vários núcleos pode não ser suficiente para compensar isso. Ao ler, não deve fazer diferença (os dados de paridade normalmente não são lidos). Isso ainda não está considerando quaisquer efeitos colaterais com o tempo mdadm ou o que quer que seja.

Eu tomei uma abordagem diferente; em vez de fazer um grande RAID, particionei meus discos e criei vários discos menores (por exemplo, 8x 250G partições em um disco de 2TB). Isso significa 8 RAIDs em vez de 1, 8 contêineres LUKS e o LVM conecta tudo novamente em um grande VG.

Em seguida, contanto que você tenha processos trabalhando em diferentes áreas do disco, os vários contêineres e RAIDs do LUKS funcionariam independentemente um do outro. Não é verdadeira criptografia paralela (o kernel ainda não suporta isso sozinho?), Mas funcionou muito bem para mim.

Eu mantive essa configuração até mesmo em minha nova caixa Haswell, onde a criptografia não é um problema, graças ao AES-NI. Eu fiz isso porque há outros efeitos colaterais positivos. Por exemplo, um único setor defeituoso faria com que apenas uma parte de 250G de um disco caísse do RAID, enquanto o outro 1750G permanecesse redundante; ou se há um bug como o pânico do kernel RAID5 no 3.13.0, apenas um dos RAIDs precisa ser ressincronizado ao invés de todos eles.

Ao mesmo tempo, não notei nenhum problema de desempenho, diferente de outras soluções, como o bitmap com intenção de gravação, etc.

    
___

Estou tentando determinar se devo reorganizar minha matriz RAID devido ao desempenho ruim do IO. Primeiro, o sistema: i7 920 4 unidades verdes WD 5400 de 4 TB CentOS 6.3 host Em segundo lugar, a configuração do disco: / dev / sda2...
09.02.2014 / 18:03
2
respostas

ext3 criptografado danificado; como proceder?

Minha partição home em uma instalação wheezy do Debian é um volume LVM criptografado. É ext3. Hoje cedo, eu tive uma mensagem estranha em uma janela de terminal sobre uma tentativa de gravar em um arquivo em minha árvore /home com falha devid...
11.05.2014 / 00:45
1
resposta

LUKS armazenando o arquivo-chave na unidade usb criptografada

Eu já perguntei sobre o desbloqueio LUKS de vários HDDs em Linux: LUKS e vários discos rígidos . Agora eu gostaria de saber como proteger o armazenamento do arquivo de chaves usado para o desbloqueio automático das partições associadas. M...
15.02.2013 / 11:04
1
resposta

dmsetup luksFormat criando uma inconsistência de alinhamento

Ao desbloquear um volume LUKS recém-formatado, recebi um aviso no log do kernel: kernel: device-mapper: table: 253:14: adding target device sdk1 caused an alignment inconsistency: physical_block_size=4096, logical_block_size=512, alignment_of...
03.02.2018 / 07:09
4
respostas

A melhor maneira de fazer backups criptografados enquanto preserva as permissões para um sistema de arquivos do Windows

Para minha rede doméstica, eu queria comprar um NAS que suporte criptografia de disco e NFS, pois é importante para mim que o backup seja criptografado, mas também que ele preserve o proprietário, grupos e permissões (portanto, NFS). Dessa forma...
17.08.2012 / 11:01
2
respostas

O uso da criptografia de disco completo afeta a probabilidade de perda de dados em caso de erros de armazenamento?

Então ... se houver um bloqueio ruim no HDD, o que pode sobreviver melhor? não usa FDE (criptografia completa do disco) usando FDE - como todo o disco tem "1 partição" - o criptografado, é mais provável que perca todos os dados se houve...
27.11.2013 / 19:19
1
resposta

Como usar keyfiles, para criptografia de disco inteiro do ZFS?

Alguém tem uma implementação em funcionamento usando keyfiles, preferencialmente no cartão SD, em vez de um prompt para o ZFS? Eu sei como fazer isso com o Linux LVM / LUKS. Na minha opinião, as soluções de criptografia de disco completo do Free...
19.08.2011 / 15:18
2
respostas

Criando um arquivo grande com conteúdo aleatório: atalho copiando?

Suponha que eu queira criar uma grande unidade criptografada armazenada em um arquivo usando cryptsetup, o primeiro passo é criar um arquivo aleatório, suponha que este seja de tamanho 3T: dd if=/dev/urandom of=$FILE bs=1G count=3000 o pr...
11.09.2015 / 17:33
1
resposta

cryptsetup: modo simples dm-crypt usando keyfile AND passphrase

Eu sinto que um arquivo-chave e uma frase-senha fornecem benefícios diferentes. Eles não podem ser obtidos da mesma maneira (um que você precisa adquirir fisicamente, o outro que você precisa saber). Assim, acho que há grande benefício em cripto...
30.05.2015 / 11:12
1
resposta

Desinstale a função LVM criptografada para remover a entrada de senha solicitada durante a inicialização do Ubuntu

Quando instalei o Ubuntu 11.04 e me ofereceram a opção de ativar o "LVM criptografado" para o meu disco rígido. Depois de escolher essa opção, eu sou solicitado para a minha senha durante a inicialização para descriptografar o LVM. Agora, est...
01.03.2012 / 10:47