LINUX.ORG.RU

программный raid + шифрование

 , ,


0

1

Всю жизнь сначала создавал raid, а уже после его зашифровывал. Но вот на глаза попалась статья в журнале «Хакер» #200 за сентябрь 2015: Наследники «Энигмы» (стр. 297), где упоминается, обратный алгоритм действий, и я глубоко задумался..., но так и не пришел к единому тру-мнению.

Так как же поступать?

  1. создавать raid массив, а потом его зашифровать;
  2. зашифровать диски входящие в массив, а уже потом собирать на их основе raid.

Хотелось бы не привязываться к оборудованию и уровню raid - обобщить тему.

P.S. конечно понятно, что все в нашей жизни зависит от поставленных целей, но хотелось бы найти наиболее универсальный вариант.

хотелось бы найти наиболее универсальный вариант.

Самый универсальный вариант — делать так, как делают другие. Например по умолчанию CentOS делает luks-контейнер поверх raid-тома:

NAME                                            MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                                               8:0    0 931,5G  0 disk
└─sda5                                            8:5    0 919,8G  0 part  
  └─md124                                         9:124  0 919,7G  0 raid1 
    └─luks-3f925027-c349-4f56-9ce4-6f4ac3905df6 253:0    0 919,7G  0 crypt /home
...
sdc                                               8:32   0 931,5G  0 disk
└─sdc4                                            8:36   0 919,8G  0 part  
  └─md124                                         9:124  0 919,7G  0 raid1 
    └─luks-3f925027-c349-4f56-9ce4-6f4ac3905df6 253:0    0 919,7G  0 crypt /home
ivn86 ()
Ответ на: комментарий от ivn86

То что предлагается по умолчанию, это не всегда верный подход, особенно то что касается разметки. Но вы конечно правы - предлагается именно универсальный метод.

А универсальный не всегда означает грамотный, хотелось бы все же грамотный.

Допустим, пусть на шифрованном рейде(level-10) стоит ось. Тогда, известные мне плюсы/минусы:

1. шифрование поверх raid
Плюсы:

  • raid легко администрируется: при замене hdd дешифрация массива не требуется, все необходимые действия может произвести сторонний админ, собрав массив обратно в кучку в любом live-образе.

Минусы:

  • дополнительная информация в открытом виде: как минимум «враги» будут знать, что система построена на рейде, и какие из дисков зеркала, а значит их можно отодвинуть в сторонку;
  • где то читал, что dm-crypt работает в одном патоке, а значит распараллеливания зеркальных массивов не прибавит производительности.

1. raid поверх шифрования
Плюсы:

  • «враги» не узнают ничего :)
  • на каждый hdd будет работать свой dm-crypt в своем патоке.

Минусы:

  • одна и та же информация будет шифроваться по нескольку раз, зависит от количества зеркал;
  • усложняется администрирование raid: для добавление hdd, нужно иметь доступ к шифрованному массиву, прописывать в кучу мест (как минимум /etc/cryptab). В моем случае, еще и дописать скрипты дешифрации initramfs (и естественно все это дело пересобрать).
sukhorukov ()
Ответ на: комментарий от sukhorukov

где то читал, что dm-crypt работает в одном патоке, а значит распараллеливания зеркальных массивов не прибавит производительности

Я тебе посоветую две вещи:

1) Понять как работают подсистемы Device Mapper и Multiple Device.

2) Найти словарь русского языка.

anonymous ()
Ответ на: комментарий от anonymous

1) ок, про device mapper почитаю. Этот пункт взял не из головы, а из какой-то статьи - возможно просто неправильно сформулировал 2) спасибо, что указали на мою неграмотность - это очень важная информация...

sukhorukov ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.