ext4 и все это в Debian Wheezy в ВМ от fastvps.ru

1

2

В общем решил дойти до высшей точки в своих извращениях.
В итоге на имеющийся OpenVZ vps живущий в недрах fastvps.ru
взгромоздил zfs в файловом контейнере живущем поверх ext4
и уже на zfs включил упаковку и разместил шифрованные файлы encfs которая настроена так чтобы шифровать хомячки пользователей даже от рута.

Упаковка gzip-9 честно не справилась с упаковкой зашифрованных файлов и мой основной хомячек кажет такие результаты:

# du -sh --apparent-size n0mad ;du -sh n0mad
1,9G n0mad
2,0G n0mad

т.е. Упакованные данные занимают на 100Mb больше.

Впрочем сейчас налью свой хомяк на чистый zfs с упаковкой
Во время копирование #top кажет:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1578 root 20 0 826m 257m 1524 S 81,5 6,3 84:15.02 zfs-fuse
30647 n0mad 20 0 46596 14m 1368 R 9,6 0,4 6:29.78 encfs

Думаю если упаковку отключить - будут другие пропорции потребления CPU и скорость :) А так эти 2 гига переливались практически час с одного бутерброда на другой.

И на чистом zfs кажет:
# du -sh --apparent-size n0mad.unc;du -sh n0mad.unc
1,9G n0mad.unc
1,7G n0mad.unc
Уже сжалось на 200M (На 11%)

О! Нарисовался примитивный тест для машин/ :)
/usr/bin/time rsync /usr -> /zfs/ext4
/usr/bin/time rsync /usr -> /encfs/zfs/ext4

Время копирования это комплексный показатель работы CPU/FS/Disk а площадку можно организовать на любой машине с Debian (и думаю не только в ней) - благо в Debian и zfs и encfs есть уже составе дистрибутива и монтируются через fuse.

Вот как то так...

Хотел уже это где то в talks разместить, но с другой стороны тут есть и измерения :)

Ссылка

←	Установка Postfix 2.11.1

Помогите написать скрипт обработки логов

→

В общем решил дойти до высшей точки в своих извращениях.

Не хватает LVM и cryptsetup/LUKS, так что точка не высшая и есть еще куда стремиться.

anonymous
(15.10.14 06:01:39 MSK)

zfs через fuse

Привет тебе из 2014 года, ядерный модуль уже запилили.

BOOBLIK ★★★★
(15.10.14 10:52:37 MSK)

Ответ на: комментарий от BOOBLIK 15.10.14 10:52:37 MSK

У него впс, там с ядрёными модулями наверное туго.

blind_oracle ★★★★★
(15.10.14 12:19:59 MSK)

Ответ на: комментарий от anonymous 15.10.14 06:01:39 MSK

Не хватает LVM и cryptsetup/LUKS, так что точка не высшая и есть еще куда стремиться.

Это было реализовано на OpenVZ VM - там нет в принципе ни LVM ни устройств, разве только шифровать файловый контейнер...
Но шифровка устройства прозрачна. Если юзер подмонтировал такой раздел то админ хоста или узла на котором крутится ВМ - легко может посмотреть содержимое. В случае с cryptfs монтирующейся через fuse - там своё пространство - недоступное свыше.

В Плане LUKS я сейчас кручу FreeOTFE для Win и надо будет попробовать прочитать из Linux раздел записанный на пкованный ntfs поверх FreeOTFE.

Это из серии носимого hdd с которого можно загрузить Linux и прочитать зашифрованные данные с него же или подключить к винде, запустить с нешифрованного 100Mb ntfs portable драйвер шифрованного тоа :)

n0mad ★★★
(15.10.14 16:33:03 MSK) автор топика

Ссылка

Ответ на: комментарий от BOOBLIK 15.10.14 10:52:37 MSK

Привет тебе из 2014 года, ядерный модуль уже запилили.

1.Я сильно сомневаюсь что на хосте OpenVZ разрешат грузить левый ядерный модуль.
2.Ядерный модуль запилили 2 года назад - еще до fuse, но он запилен в zfsonlinux только для x64, а у меня тесты начинались на Samsung P28 (x32) и уже потом - потащил это на OpenVZ.

n0mad ★★★
(15.10.14 16:37:39 MSK) автор топика

Ссылка

Ответ на: комментарий от blind_oracle 15.10.14 12:19:59 MSK

У него впс, там с ядрёными модулями наверное туго.

Это да, но техсаппорт fastvps.ru все же реализовал возможность использовать fuse - хотя это тоже отдельный модуль. Именно благодаря этой возможности и получились тесты. Думаю далеко не у каждого VPS хостера можно получить эту возможность.

я тут кручу халявные VM от haphost.com и vps.me - там это не позволено и тех саппорт халявщикам не отвечает.

n0mad ★★★
(15.10.14 16:40:25 MSK) автор топика
Последнее исправление: n0mad 15.10.14 16:47:19 MSK (всего исправлений: 1)

Ссылка

шифрованные файлы encfs которая настроена так чтобы шифровать хомячки пользователей даже от рута.

https://defuse.ca/audits/encfs.htm

Его даже из следующего релиза Debian выкинули по этой причине.

Deleted
(15.10.14 16:51:27 MSK)

Ответ на: комментарий от Deleted 15.10.14 16:51:27 MSK

https://defuse.ca/audits/encfs.htm
Его даже из следующего релиза Debian выкинули по этой причине.

Спасбо за интересное чтиво.

Заказали аудит - получили результат.
Интересно - а есть аудит какой либо системы с отсутствием уязвимостей?
Как по мне так аудиторы всегда накопают потенциальные проблемы.
Эксплойтов то нет...

Описанные уязвимости смогут быть использованы профессиональными взломщиками с онлайн доступом к ломаемой системе, а у меня нет таких данных для взлома которых их могут привлечь. Просто так закрытую encfs структуру обычный обыватель не прочтет. Если злоумышленникам попадет каталог с данными то в оффлайн режими они никак его не дешифруют, описанные уязвимости требуют доступа к промежуточным данным.

Думаю гораздо проще взломать через fuse не дающий доступа к encfs.

Хотя конечно мой Английский не так хорош - мог понять неверно.
Жаль что debian отказался в дистр класть. Придется плясать с бубном.

n0mad ★★★
(15.10.14 19:42:37 MSK) автор топика
Последнее исправление: n0mad 15.10.14 19:44:18 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от Deleted 15.10.14 16:51:27 MSK

шифрованные файлы encfs которая настроена так чтобы шифровать >хомячки пользователей даже от рута.

В любом случае заинтересовала эта система по этой причине. Любая другая крипто-фс ломается рут шеллом в атакуемую систему - и забирай что хочешь - например из хост системы виртуализации. Здесь в условиях VPS гораздо выше защищенность не смотря на описанные уязвимости.

А может есть альтернативы encfs ?

n0mad ★★★
(15.10.14 19:52:26 MSK) автор топика

шифровать хомячки пользователей даже от рута

эммм, а что мешает руту сделать «sudo -u target_user -i» и уже потом таки ломиться в хомяк?

Bers666 ★★★★★
(15.10.14 20:34:31 MSK)
Последнее исправление: Bers666 15.10.14 20:36:42 MSK (всего исправлений: 1)

Ответ на: комментарий от n0mad 15.10.14 19:52:26 MSK

я таки тоже ищу альтернативу encfs , потому что ее удобно держать под контролем Git, если нужен криптоконтейнер распределенный под тучу мелких txt файлов. Удобство заключается в том, что по «git pull» ты выкачиваешь только свежий diff и даже перемонтировать не надо. Всякие ecryptfs,LUKS,cryptsetup в качестве бакенда используют один большой файл, который не засунешь в Git, и который непонятно как распределять\синкать между пользователями.

Bers666 ★★★★★
(15.10.14 20:36:04 MSK)
Последнее исправление: Bers666 15.10.14 20:40:36 MSK (всего исправлений: 1)

Ответ на: комментарий от Bers666 15.10.14 20:34:31 MSK

эммм, а что мешает руту сделать «sudo -u target_user -i» и уже потом таки ломиться в хомяк?

Упс... факир был пьян...
Вот такой возможности я не осознавал. Спасибо что привели.
В общем от рута не спрятаться.

Так что encfs только и остается что для шифровки того что хранится в облаке - но тут уже описанный аудит рассказывает про дырки.

n0mad ★★★
(16.10.14 01:58:34 MSK) автор топика
Последнее исправление: n0mad 16.10.14 02:04:12 MSK (всего исправлений: 1)