Исправление soko1, (текущая версия) :
Я использую softraid на /, настраивал по инструкции http://www.bsdnow.tv/tutorials/fde
А можно ведь создать криптоконтейнер и в нём уже непосредственно поделить всё на разделы? А то один / не есть гуд (после FAQ'ов на сайте, что прочёл). Просто интересно как оно будет тогда себя вести в случае сбоя ФС - всё запорится, или только та ФС на которую производилась запись. В общем, нужно наверное поставить и протестить самому. А то когда я это делал (в релизе 5.5) - оно ЖУТКО тормозило в qemu, потом ещё багрепортнул через человека одного и в current уже сей баг исправили. Хотя тестить наверное уже буду не в виртуалке, а на живом железе.
Кстати, а можно будет этот пароль менять, как в случае с LUKS? Или он вообще навсегда?
Что AES-XTS, то хорошо! Жаль, правда, что выбирать метод шифрования нельзя (и интересно почему). А ещё интересно почему шифрование разделов не пропагандируется (+ не доступно в инсталяторе в удобном формате) и похоже что у большинства разработчиков такого подхода вообще нет, хотя имхо - это очень глупо. Шифровать разделы нужно в первую очередь когда речь идёт о безопасности информации. При чём не только хомяк, а вообще всё что только можно, потому что системные файлы можно подменить внедрив бекдор, пока например человек спит. Просто немного смешно выглядит когда видишь вот такие серьёзные и умные заметки: http://www.openbsd.org/faq/ports/guide.html#PortsSecurity (я реально офигел когда прочёл, они действительно крутые специ своего дела) и в тоже время никто и нигде не оговаривает о том что данные на носителях необходимо шифровать.
В плане производительности - сложно сказать, т.к. я не пробовал устанавливать без шифрования. Если знаешь способ протестировать, могу прогнать тест. Субъективно - примерно то же самое, но на Linux c LUKS поверх LVM поверх ext4.
Наверное обычный dd только с шифрованной ФС и без неё. Можешь на /altroot (он ведь не зашифрован?) попробовать создать файлик dd и потом на шифрованной ФС и посмотреть скорость. А что по скорости не особо отстаёт от LUKS с ext4 - гуд!
В том, что касается файловых систем, я 1. Не в восторге от ffs (журналирование бы не помешало, а вообще пора бы уже HAMMER портировать) 2. Не в восторге от реализации FUSE (низкая скорость, kernel panic при определенных обстоятельствах).
Во-во, те же самые мысли и у меня. Не нравятся мне эти старые BSD-шные ФС, хоть убей. Особенно когда речь идёт о терабайтных винтах и отключении питания во время записи.
ЗЫ если у тебя есть жаббер и желание поговорить на тему OpenBSD - добавляйся ко мне (JID в профиле), а то реально не с кем поговорить на эту тему.
Исправление soko1, :
Я использую softraid на /, настраивал по инструкции http://www.bsdnow.tv/tutorials/fde
А можно ведь создать криптоконтейнер и в нём уже непосредственно поделить всё на разделы? А то один / не есть гуд (после FAQ'ов на сайте, что прочёл). Просто интересно как оно будет тогда себя вести в случае сбоя ФС - всё запорится, или только та ФС на которую производилась запись. В общем, нужно наверное поставить и протестить самому. А то когда я это делал (в релизе 5.5) - оно ЖУТКО тормозило в qemu, потом ещё багрепортнул через человека одного и в current уже сей баг исправили. Хотя тестить наверное уже буду не в виртуалке, а на живом железе.
Кстати, а можно будет этот пароль менять, как в случае с LUKS? Или он вообще навсегда?
Что AES-XTS, то хорошо! Жаль, правда, что выбирать метод шифрования нельзя (и интересно почему). А ещё интересно почему шифрование разделов не пропагандируется (+ не доступно в инсталяторе) и похоже что у большинства разработчиков такого подхода вообще нет, хотя имхо - это очень глупо. Шифровать разделы нужно в первую очередь когда речь идёт о безопасности информации. При чём не только хомяк, а вообще всё что только можно, потому что системные файлы можно подменить внедрив бекдор, пока например человек спит. Просто немного смешно выглядит когда видишь вот такие серьёзные и умные заметки: http://www.openbsd.org/faq/ports/guide.html#PortsSecurity (я реально офигел когда прочёл, они действительно крутые специ своего дела) и в тоже время никто и нигде не оговаривает о том что данные на носителях необходимо шифровать.
В плане производительности - сложно сказать, т.к. я не пробовал устанавливать без шифрования. Если знаешь способ протестировать, могу прогнать тест. Субъективно - примерно то же самое, но на Linux c LUKS поверх LVM поверх ext4.
Наверное обычный dd только с шифрованной ФС и без неё. Можешь на /altroot (он ведь не зашифрован?) попробовать создать файлик dd и потом на шифрованной ФС и посмотреть скорость. А что по скорости не особо отстаёт от LUKS с ext4 - гуд!
В том, что касается файловых систем, я 1. Не в восторге от ffs (журналирование бы не помешало, а вообще пора бы уже HAMMER портировать) 2. Не в восторге от реализации FUSE (низкая скорость, kernel panic при определенных обстоятельствах).
Во-во, те же самые мысли и у меня. Не нравятся мне эти старые BSD-шные ФС, хоть убей. Особенно когда речь идёт о терабайтных винтах и отключении питания во время записи.
ЗЫ если у тебя есть жаббер и желание поговорить на тему OpenBSD - добавляйся ко мне (JID в профиле), а то реально не с кем поговорить на эту тему.
Исходная версия soko1, :
Я использую softraid на /, настраивал по инструкции http://www.bsdnow.tv/tutorials/fde
А можно ведь создать криптоконтейнер и в нём уже непосредственно поделить всё на разделы? А то один / не есть гуд (после FAQ'ов на сайте, что прочёл). Просто интересно как оно будет тогда себя вести в случае сбоя ФС - всё запорится, или только та ФС на которую производилась запись. В общем, нужно наверное поставить и протестить самому. А то когда я это делал (в релизе 5.5) - оно ЖУТКО тормозило в qemu, потом ещё багрепортнул через человека одного и в current уже сей баг исправили. Хотя тестить наверное уже буду не в виртуалке, а на живом железе.
Кстати, а можно будет этот пароль менять, как в случае с LUKS? Или он вообще навсегда?
Что AES-XTS, то хорошо! Жаль, правда, что выбирать метод шифрования нельзя (и интересно почему). А ещё интересно почему шифрование разделов не пропагандируется (+ не доступно в инсталяторе) и похоже что у большинства разработчиков такого подхода вообще нет, хотя имхо - это очень глупо. Шифровать разделы нужно в первую очередь когда речь идёт о безопасности информации. При чём не только хомяк, а вообще всё что только можно, потому что системные файлы можно подменить внедрив бекдор, пока например человек спит. Просто немного смешно выглядит когда видишь вот такие серьёзные и умные заметки: http://www.openbsd.org/faq/ports/guide.html#PortsSecurity (я реально офигел когда прочёл, они действительно крутые специ своего дела) и в тоже время никто и нигде не оговаривает о том что данные на носителях необходимо шифровать.
В плане производительности - сложно сказать, т.к. я не пробовал устанавливать без шифрования. Если знаешь способ протестировать, могу прогнать тест. Субъективно - примерно то же самое, но на Linux c LUKS поверх LVM поверх ext4.
Наверное обычный dd только с шифрованной ФС и без неё. Можешь на /altroot (он ведь не зашифрован?) попробовать создать файлик dd и потом на шифрованной ФС и посмотреть скорость. А что по скорости не особо отстаёт от LUKS с ext4 - гуд!
В том, что касается файловых систем, я 1. Не в восторге от ffs (журналирование бы не помешало, а вообще пора бы уже HAMMER портировать) 2. Не в восторге от реализации FUSE (низкая скорость, kernel panic при определенных обстоятельствах).
Во-во, те же самые мысли и у меня. Не нравятся мне эти старые BSD-шные ФС, хоть убей. Особенно когда речь идёт о терабайтных винтах и отключении питания во время записи.