Перенавантаження вводу / виводу пристрою, зашифрованого dm?

10

Що було б надмірним читанням / записом при використанні dm-crypt (LUKS) як повного шифрування диска (включаючи кореневий розділ) на Linux-Desktop (Ubuntu)? Я планую складати його так: LUKS> LVM> ext4 Процесором, який використовується в системі, буде Core2 Duo 2.1 ГГц з 4 Гб оперативної пам’яті.

  • Чи може шифрування такої системи створити великі / помітні накладні витрати?
  • Чи є якісь останні показники, які можна знайти в мережі? Який ваш особистий досвід?
  • Чи можна зробити якісь налаштування для підвищення продуктивності?

Thx за вашу допомогу.

security  filesystems  performance  encryption 
Jottr
джерело

Відповіді:

12

У dm-crypto немає жодного накладного вводу / виводу - просто накладні витрати процесора ...;)

Наприклад, в двоядерній системі Athlon 64 2,6 ГГц я можу копіювати з одного dm-криптовалюти на інший з ~ 40 Мб / сек (2.6.26 ядра, SATA диски Seagate 1.5 TB).

Для продуктивності переконайтеся, що завантажений модуль AES для вашої архітектури, наприклад

$ lsmod | grep aes
aes_x86_64             12416  6 
aes_generic            32552  1 aes_x86_64

Що стосується безпеки даних, немає необхідності відключати кеш-запис із-за dm-crypt. Старі версії не підтримували бар'єрів для запису, але з 2010 року (ядро 2.6.31 або близько того) dm-crypt підтримує їх (відповідно примусовий блок-доступ - FUA).

До речі, можна стверджувати, що шифрувати кореневий розділ насправді не має сенсу.

Однак шифрування свопом має сенс.

maxschlepzig
джерело
1
Можна також заперечити, що возитися з hdparm, коли ви не знаєте, що робите (або думаєте лише, що знаєте), може пошкодити ваші жорсткі диски.
амфетамахін
Шифрування кореневого розділу має сенс, якщо ваша модель загрози включає можливість противника отримати тимчасовий фізичний доступ та завантажуватися в режимі одного користувача або з USB-накопичувача та встановити зловмисне програмне забезпечення, таке як реєстратор ключів або rootkit. Для постійних користувачів це також означає не турбуватися про забуття шифрувати /tmp(якщо він не встановлений із `tmpfs) та будь-які інші каталоги, які можуть витікати приватні дані.
Ентоні Геоґеган
1
@AnthonyGeoghegan, це, мабуть, ефективно проти деяких противників. Але для захисту від описуваної вами моделі загроз ви також повинні захистити завантажувач (наприклад, з вбудованим програмним забезпеченням, яке криптографічно перевіряє завантажувач перед його виконанням).
maxschlepzig
@maxschlepzig Ця думка у мене виникла, коли я писав коментар раніше, але я не хотів перебирати за борт із відмовами та застереженнями у невеликому полі для коментарів. Друга причина, мабуть, важливіша: я використовую FDE (на своєму 10-річному ноутбуці), тому мені не потрібно турбуватися (як багато) про облікові дані та приватні ключі /etcабо про якісь інші конфіденційні дані, якими якимось чином увійшов до системи /var/(дозволено, BTW ).
Ентоні Геоґеган
0

Ext4 може бути поганим вибором файлової системи, якщо ви плануєте виконувати знімки LVM. Я б радив зробити істотну перевірку працездатності диска, перш ніж виходити наживо, відчуваючи розміри блоків як на FS, так і на LVM. Мій досвід був із Ext3, але інші статті, які я бачив у той час, означали, що у Ext4 є симулятори.

Я вирішив це за допомогою XFS як файлової системи.

Майкл Шоу
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.