Разбиение диска, советы

Как оно у btrfs с SSD? Пашет ли оно, и хорошо ли?

Пашет, хорошо.

Знаю про btrfs, что у нее нет нормального fsck, и только.

Присоединяюсь к анонимусу, иди читай.

LUKS+LVM

Зачем это все?

Сильный ли получаем bloat?

см. выше.

Это же ноут?

Мой вариант такой: SSD: MBR, огромный btrfs-том. HDD: MBR, огромный btrfs-том, свап «чтобы было» HDD-USB: не нужон

Зачем вообще шифровать ноутбук — ума не приложу. Вот у меня даже AES-NI есть, убеди меня, что это хоть для чего-то полезно.

Пашет, хорошо

Отлично.

иди читай

Анон имел в виду школьный список литературы, насколько я понял. Тем не менее.

Зачем

Очевидно, для шифрования файлов и выстраивания мегаконструкций. (=

Очевидно, для шифрования файлов и выстраивания мегаконструкций. (=

Второе очевидно вредно, но чем оправдаешь первое?

шифровать

Я бы не стал криптовать (ибо это лишняя морока), не будь у меня оснований. (= Рассказывать долго.

MBR

С EFI? Зачем? О_О

не нужон

Оно - на будущее, когда диск загадится. А произойдет это через не такое уж и большое количество времени.

первое

Выше.

Рассказывать долго

«Похвастать перед одноклассниками» — ух ты, смотри! У меня получилось быстро!

Неверная причина. (=

(((=

MBR

С EFI? Зачем? О_О

Без, конечно же. Зачем?

Я бы не стал криптовать (ибо это лишняя морока), не будь у меня оснований. (= Рассказывать долго.

Жаль, а то я не верю.

Оно - на будущее, когда диск загадится.

Нифига не понятно, раскрой. Что такое тебе нужно, что нельзя сделать подтомами btrfs?

Зачем?

Secure Boot.

Жаль

Родаки упорно пытаются дознаться, чем я занимаюсь. Возможно привлечение дополнительных людей на эту же задачу, уровень их квалификации неизвестен. От них нагорожено еще немало параноидальных няшек, но иногда я думаю, что и вышеуказанных достаточно (крипт).

что нельзя сделать

Хомяк не очень хочется делать в btrfs. Что-то не очень я доверяю ей. Ну и да, саб btrfs толком не криптанешь, насколько я понимаю.

Зачем?

Secure Boot.

Зачем?

Родаки упорно пытаются дознаться, чем я занимаюсь.

Лол, при наличии физического доступа тебя ничего не спасет.

Возможно привлечение дополнительных людей на эту же задачу, уровень их квалификации неизвестен. От них нагорожено еще немало параноидальных няшек, но иногда я думаю, что и вышеуказанных достаточно (крипт).

А казался адекватным O_O. Я умываю руки. Помни, при наличии физического доступа вся эта туфта совершенно бесполезна!

А казался адекватным O_O

Ты впервые его увидел, что ли?

Я не запоминаю лиц...

при наличии физического доступа

По максимуму стараюсь оный ограничить.

Зачем

Параноидальный упорин. Это уже именно упорин для страховки.

Как оно у btrfs с SSD? Пашет ли оно, и хорошо ли?

Вполне.

Знаю про btrfs, что у нее нет нормального fsck

Чушь!

cryptsetup/LUKS и SSD - как оно вместе?

Это всего лишь контейнеры, так что пофиг.

убьет ли крипт/раскрипт SSD

При декрипте ничего на диск не пишется, и не важно — SSD это, или HDD. Декрипт будет быстрее из-за скорости чтения, писаться на диск будет уже криптованные данные (насколько я понимаю), так что совсем пофиг.

@drives, subvolume (/mnt/drives), opts (nodatacow)

Что это и нафига?

@logs, subvolume (/var/log)

Насколько я помню, у тебя systemd, а он делает flush логов при старте системы. Помести на SSD с nodatacow.

@overlays, subvolume (/mnt/portage/overlays)

На SSD портажу даст прирост, хотя, дело твоё.

zram0 (/tmp, tmpfs, 200 MB)

Зачем? zram лучше на /var/tmp/portage, а на /tmp это не имеет смысла.

Я не вижу у тебя вынесения /usr/src, а значит оно у тебя будет на SSD. Сорцы ядра туда нафиг?

писаться на диск будет уже криптованные данные (насколько я понимаю), так что совсем пофиг.

Тут весь вопрос в том, как слоеный пирог имени ТС обработает TRIM.

Если он TRIMать будет LUKSом, то проблемы не возникнет, а вот если он помимо этого ещё и btrfs внутри контейнера будет монтировать с discard, тогда я даже не представляю, что будет. И уж тем более не представляю, как он будет монтировать сабволюм btrfs из LUKS в криптоконтейнере, но это уже не мои проблемы.

btrfs внутри контейнера будет монтировать с discard

Да-да, любопытно это или fstrim на раздел.

И уж тем более не представляю, как он будет монтировать сабволюм btrfs из LUKS в криптоконтейнере, но это уже не мои проблемы.

А вот тут не понял проблемы.

fstrim

Зачем? Сейчас даже vfat умеет в discard в опции монтирования.

А вот тут не понял проблемы.

Внутри криптоконтейнера лежит LUKS-контейнер, внутри которого лежит btrfs-партишн, внутри которого лежит subvolume, который планируется монтировать как /. Ядро умеет монтировать сабволы btrfs, но как этот слоёный пирог обработается — совсем не понятно.

Зачем? Сейчас даже vfat умеет в discard в опции монтирования.

Затем, чтобы TRIMать не тогда, когда ты с нетерпением ждешь конца удаления файлов, а ночью раз в неделю, когда всем пофигу.

Внутри криптоконтейнера лежит LUKS-контейнер, внутри которого лежит btrfs-партишн, внутри которого лежит subvolume, который планируется монтировать как /. Ядро умеет монтировать сабволы btrfs, но как этот слоёный пирог обработается — совсем не понятно.

Что тут не понятного? Если GRUB вытянет с /boot или этого пирога initrd, то дальше все как по маслу. Контейнер c / — штука отлаженная, какой именно subvol с него монтировать в корень — дело одного параметра. Не ищи проблему там, где ее нет.

Затем, чтобы TRIMать не тогда, когда ты с нетерпением ждешь конца удаления файлов, а ночью раз в неделю, когда всем пофигу.

Но это же происходит гораздо быстрее, чем даже на пустой HDD писать.

ночью
когда всем пофигу

Мне не пофигу, я как раз ночью за компом и интенсивно насилую фс.

Не ищи проблему там, где ее нет.

Ну так я и сказал:

но это уже не мои проблемы.

не вижу /usr/src

Спасибо за указание. @src в «portage» в LVM. Просто забыл про оное.

Помести на SSD с nodatacow

Принято. @logs в btrfs на SSD.

Внутри криптоконтейнера лежит LUKS-контейнер

Это одна и та же вещь так-то.

Пардон, я хотел написать LVM.

@src в «portage» в LVM.

Зачем? Просто make mrproper, и ничего не останется от твоего конфига и скомпиленного хлама, который может тебя скомпрометировать. А конфиг можно достать из /proc/config.gz или скриптом, что я тебе не раз кидал, прямо из файла ядра.

Нет, пока таки лучше его оставить. Компромата там минимум (если не считать за таковой sys-kernel/hardened-sources-3.14.44), а пересобирать ядро с вероятностью 95% придется не раз.

Весь геморой только для того чтоб родители не спалили что ты смотришь пони?

Гораздо проще и надёжнее зашифровать весь диск целиком. Иначе никогда не знаешь, куда твои мокрые аниме писечки просочатся. Тем более сейчас все процессоры умеют AES-NI, так что оверхед приближается к нулю.

Лол. Читай выше. Внимательно.

Это одна из мер. Впиливается в обязательном порядке.

Тогда зачем остальные?

Тьфу. Не всего диска, конечно. Указанных разделов. Тем не менее, остальное верно.

Шифруй весь диск и не страдай фигнёй

Угу, угу. Особенно весело будет потом разсвопиваться. А шифровать времянки и вовсе смысла нет.

// Не разсвопиваться, а выходить из гибернации т.е.

А чего не так? Тыкнул питание, bootloader -> kernel+initrd -> cryptsetup/lucs/etc + ввод_твоего_пароля_шифрования_диска -> swap -> wakeup, готово, не?

готово

Говорю же - для времянок шифрование (каким бы оно ни было) - накладные расходы на запись на диск. Нет, спасибо, лучше уж нужные тома криптануть.

Гм. Я тут подумал. Всё равно дешевле будет один криптораздел с томами в нём, если надо шифроваться. А времянки можно вынести на раздел без шифрования.

Говорю же - для времянок шифрование (каким бы оно ни было) - накладные расходы на запись на диск. Нет, спасибо, лучше уж нужные тома криптануть.

Тебе, конечно, виднее, но зачем тогда ты у нас спрашиваешь совета?

В /tmp может попасть всё, что угодно. Скажем, когда ты в файерфоксе тыкаешь в торрент-файл, он сначала скачивается в /tmp, потом открывается торрент-клиентом (продолжая лежать в /tmp и после выключения компа, до следующей загрузки системы).

Накладные расходы - это что? Ты в /tmp на скорость записываешь? Бенчмарки делал?

Если хочешь просто поиграться в куль хацкера, можешь шифровать что угодно и как угодно. Ещё можешь комп обклеить синими светодиодами, это +5 к хакерству.

Если хочешь от чего-то защититься, лучше включить голову и понять, что либо шифруется весь диск, либо можно вообще не заморачиваться.

Не разсвопиваться, а выходить из гибернации т.е.

То есть, ты хочешь что-то там шифровать, но при этом сохранять образ памяти на нешифрованный раздел?

У меня вопросов больше нет.

Да ладно тебе. Его ещё не поздно наставить на путь истинный.

Ты, например, пояснил ему, что нешифрованный своп с дампом оперативки - это идиотизм, если надо в безопасность.

Я, надеюсь, смогу убедить, что шифровать времянки не зло, а способ защититься от прострела Фаберже.

Дешевле оно будет, да. Но дополнительный crypt LVM PV - как-то странно смотрится. Да и юзерские данные я не хочу поверять btrfs.

А теперь прикинь, что интересного в МОЕМ юзкейсе может найтись в оперативке при гибернации. Гарантирую - чисто.

Пост выше.

дополнительный crypt LVM PV - как-то странно смотрится.

Вот с фига ли? Это во-первых. Во-вторых, а не умеет ли твой проц во всякие aes-ni и прочую лабуду, которая аппаратно ускоряет шифрование, в том числе и томов диска?

Да и юзерские данные я не хочу поверять btrfs.

А кто тебя заставляет-то? Что-то я не пойму никак... Ну используй extN, xfs, whatever, в чем проблема?

Ext4 и так юзается, но ты же говоришь про сабволы. -> ты говоришь про btrfs.

Это во-первых

«Странно» - чисто при взгляде на структуру.

и прочую лабуду

Умеет, отдельно включаю в ядре дополнительные криптофункции.

ты же говоришь про сабволы

Я говорил про хомяк. Откуда там сабволы? И в твоей схеме их там тоже нет.

Мы друг друга неправильно поняли?!

«Странно» - чисто при взгляде на структуру.

Ну, у меня тут другое слово напрашивается. И это явно не «структура») На фоне твоего песца лишний PV просто не заметен.

И, да, зачем тебе нужен этот спортивный онанизм с btrfs?

Хе, по календарю мне пошёл 4 десяток..