программный raid + шифрование

0

1

Всю жизнь сначала создавал raid, а уже после его зашифровывал. Но вот на глаза попалась статья в журнале «Хакер» #200 за сентябрь 2015: Наследники «Энигмы» (стр. 297), где упоминается, обратный алгоритм действий, и я глубоко задумался..., но так и не пришел к единому тру-мнению.

Так как же поступать?

создавать raid массив, а потом его зашифровать;
зашифровать диски входящие в массив, а уже потом собирать на их основе raid.

Хотелось бы не привязываться к оборудованию и уровню raid - обобщить тему.

P.S. конечно понятно, что все в нашей жизни зависит от поставленных целей, но хотелось бы найти наиболее универсальный вариант.

Ссылка

←	Macbook Air + Linux

Установка CentOS с флешки и Kickstart. Как может называться флешка?

→

хотелось бы найти наиболее универсальный вариант.

Самый универсальный вариант — делать так, как делают другие. Например по умолчанию CentOS делает luks-контейнер поверх raid-тома:

NAME                                            MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                                               8:0    0 931,5G  0 disk
└─sda5                                            8:5    0 919,8G  0 part  
  └─md124                                         9:124  0 919,7G  0 raid1 
    └─luks-3f925027-c349-4f56-9ce4-6f4ac3905df6 253:0    0 919,7G  0 crypt /home
...
sdc                                               8:32   0 931,5G  0 disk
└─sdc4                                            8:36   0 919,8G  0 part  
  └─md124                                         9:124  0 919,7G  0 raid1 
    └─luks-3f925027-c349-4f56-9ce4-6f4ac3905df6 253:0    0 919,7G  0 crypt /home

ivn86 ★
(04.07.16 19:47:49 MSK)

Ответ на: комментарий от ivn86 04.07.16 19:47:49 MSK

То что предлагается по умолчанию, это не всегда верный подход, особенно то что касается разметки. Но вы конечно правы - предлагается именно универсальный метод.

А универсальный не всегда означает грамотный, хотелось бы все же грамотный.

Допустим, пусть на шифрованном рейде(level-10) стоит ось. Тогда, известные мне плюсы/минусы:

1. шифрование поверх raid
Плюсы:

raid легко администрируется: при замене hdd дешифрация массива не требуется, все необходимые действия может произвести сторонний админ, собрав массив обратно в кучку в любом live-образе.

Минусы:

дополнительная информация в открытом виде: как минимум «враги» будут знать, что система построена на рейде, и какие из дисков зеркала, а значит их можно отодвинуть в сторонку;
где то читал, что dm-crypt работает в одном патоке, а значит распараллеливания зеркальных массивов не прибавит производительности.

1. raid поверх шифрования
Плюсы:

«враги» не узнают ничего :)
на каждый hdd будет работать свой dm-crypt в своем патоке.

Минусы:

одна и та же информация будет шифроваться по нескольку раз, зависит от количества зеркал;
усложняется администрирование raid: для добавление hdd, нужно иметь доступ к шифрованному массиву, прописывать в кучу мест (как минимум /etc/cryptab). В моем случае, еще и дописать скрипты дешифрации initramfs (и естественно все это дело пересобрать).

sukhorukov
(05.07.16 08:22:26 MSK) автор топика

Ответ на: комментарий от sukhorukov 05.07.16 08:22:26 MSK

где то читал, что dm-crypt работает в одном патоке, а значит распараллеливания зеркальных массивов не прибавит производительности

Я тебе посоветую две вещи:

1) Понять как работают подсистемы Device Mapper и Multiple Device.

2) Найти словарь русского языка.

anonymous
(05.07.16 08:57:09 MSK)

Ответ на: комментарий от anonymous 05.07.16 08:57:09 MSK

1) ок, про device mapper почитаю. Этот пункт взял не из головы, а из какой-то статьи - возможно просто неправильно сформулировал 2) спасибо, что указали на мою неграмотность - это очень важная информация...

sukhorukov
(05.07.16 09:25:05 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Macbook Air + Linux

Linux-install

Установка CentOS с флешки и Kickstart. Как может называться флешка?

→

Похожие темы