Vollständige Version anzeigen : dm-crypt und luks verschlüsselung


R2Dzwo
20.11.2012, 19:28

hey,

bau mir gerade nen nas bzw nen kleinen server.
Als Distru kommt Ubuntu server zum Einsatz.

Macht es Sinn die Platten zu Verschlüsseln bzw wie stark wird dort Leistung gebraucht. Habe nur einen AMD Sempron 145.
Anforderung sind eigentlich: FTP zugriff (datengrab) , pyload, transmission und eventl. DLNA für streamen zur ps3


wie schaut das aus, wenn ich die keyfile auf einen stick habe, sollte es zu einer durchsuchung kommen, haben die ja auch den key und können trotzdem die files sehen?


greez

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
°EraZoR°
20.11.2012, 21:46

Also von der Performance kann ich dir nix sagen..
Probiers doch einfach?
Solange du noch kein RAID gebaut hast (falls du das überhaupt machst) und/oder da Daten drauf hast, kannste das doch testen?
Reicht ja ne 10GB Partition oder so.. Eben nen paar Testdaten raufwerfen und dasselbe auf ne unverschlüsselte 10GB Partition..
Denn weißt du was Sache ist..

Frage:
Wenn du nen Server baust, der vermutlich im Idealfall 24/7 läuft: Warum der USB-Key?

Mach doch einfach per Passwort..
Und falls das Ding doch mal rebooten sollte, setzt du nen Hook, der dir ne Mail schickt.. Dann gehste per SSH aus der ferne drauf und gibst eben dein PW beim mounten ein.

Hab zwar keinen Plan, wie das mit dem USB-Key genau läuft. Aber wenn der das einzige ist, was zum Entschlüsseln gebraucht wird, dann natürlich.. Ganz doof sind die ja auch nicht.

Würde dir außerdem eher Truecrypt empfehlen.. Gibts auch ohne GUI für Linux und hat folgenden Aspekt:
TrueCrypt - Plausible Deniability (;;;truecrypt~org/docs/?s=plausible-deniability)

Du kannst ja gezwungen werden, deinen PW rauszugeben. Wenn dir aber keiner Nachweisen kann, dass es ein verschlüsseltes Device ist, kann dich auch keiner zwingen einen Schlüssel herauszugeben ;-)
Weiß nicht wie das bei dm-crypt ausschaut..

Ideal wäre natürlich ein Prozessor mit AES-Hardwareunterstützung.. (klick (;geizhals~de/?in=&fs=AES-NI))


coach
20.11.2012, 23:16

Hab zwar keinen Plan, wie das mit dem USB-Key genau läuft. Aber wenn der das einzige ist, was zum Entschlüsseln gebraucht wird, dann natürlich.. Ganz doof sind die ja auch nicht.

Würde dir außerdem eher Truecrypt empfehlen.. Gibts auch ohne GUI für Linux und hat folgenden Aspekt:
TrueCrypt - Plausible Deniability (;;;truecrypt~org/docs/?s=plausible-deniability)

Du kannst ja gezwungen werden, deinen PW rauszugeben. Wenn dir aber keiner Nachweisen kann, dass es ein verschlüsseltes Device ist, kann dich auch keiner zwingen einen Schlüssel herauszugeben ;-)
Weiß nicht wie das bei dm-crypt ausschaut..


das ist so nicht richtig, in deutschland hat man das recht zu schweigen und muss sich nicht selbst belasten (ganz abgesehen davon, dass man das passwort auch vergessen haben kann vor lauter aufregung;-) ). man findet zwar meist nur schwammige ausdrücke, aber z;b. hier
Daten verschlüsselt: Ab in den Knast! | Hyperland (;blog;zdf~de/hyperland/2010/11/ab_in_den_knast_fur_verschluss/) oder im lawblog gibts es nähere infos (abgesehen von threads hier im board).

aber b2t: meiner erfahrung nach ist die performance von truecrypt schlechter als die der linuxeigenen mechanismen, aber da würde ich dir auch einfach empfehlen, nen feldversuch zu starten unter echten bedingungen=)..;mfg coach


rockenderzwerg8
21.11.2012, 13:50

ich hab hier nen alten p4 als backupserver im lan, der hat 3,0 ghz und 2 gb Ram, schafft bei truecrypt aes ca 80-100mbit, ich denke auch das du mit dm-crypt schneller unterwegs sein wirst.

Auf deie unverschlüsselte Systemplatte kann ich mit 400-500mbit uploaden.
Bei neueren Prozessoren ist es eigentlich egal, da die Festplatten die CPU Werte nicht erreichen können.
Der Sempron ist halt nicht gerade ne Rakete. Der wird ungefähr so einzuordnen sein wie mein p4.

Probiers einfach aus ;-)


R2Dzwo
21.11.2012, 15:02

danke erstmal für die antworten..;dann werde ich wohl den feldversuch mal machen ;)


Frage:
Wenn du nen Server baust, der vermutlich im Idealfall 24/7 läuft: Warum der USB-Key?


sollte eigentlich nicht 24/7 laufen... möchte ihn halt auch per wol ausm netz starten können ;)

raid wird wohl nicht zum einsatz kommen, werde wohl aus allem ein lvm machen und dann auf 2 gesonderte hdd's wichtige backups machen.


R2Dzwo
23.11.2012, 16:05

So die Ergebnisse sehen so aus :



Ohne crypt

root;# hdparm -tT /dev/sda

/dev/sda:
Timing cached reads: 3792 MB in 2;00 seconds = 1895;85 MB/sec
Timing buffered disk reads: 206 MB in 3;03 seconds = 68;05 MB/sec

root;# hdparm -tT --direct /dev/sda

/dev/sda:
Timing O_DIRECT cached reads: 438 MB in 2;01 seconds = 218;26 MB/sec
Timing O_DIRECT disk reads: 132 MB in 3;01 seconds = 43;89 MB/sec

root;# hdparm -tT --direct /dev/sda
/dev/sda1:
Timing cached reads: 3810 MB in 2;00 seconds = 1904;42 MB/sec
Timing buffered disk reads: 196 MB in 3;03 seconds = 64;76 MB/sec

root;nas:/home/nas# hdparm -tT --direct /dev/sda1

/dev/sda1:
Timing O_DIRECT cached reads: 432 MB in 2;01 seconds = 215;12 MB/sec
Timing O_DIRECT disk reads: 114 MB in 3;04 seconds = 37;50 MB/sec




ca 6MB/s weniger..;oder hab ich da einen ''Messfehler'' gemacht? Ist ein bisschen wenig oder?


pyro
23.11.2012, 16:15

/dev/sda und /dev/sda1 sind auf alle Fälle physische Festplatten/Partitionen, du greifst also ohne Verschlüsselung darauf zu.

Die Blockdevices, die dm-crypt anlegt, sind unter /dev/mapper/ zu finden.


R2Dzwo
23.11.2012, 17:55

ohje.;~ja hast recht...

/dev/mapper/nas-root:
Timing O_DIRECT cached reads: 38 MB in 2;04 seconds = 18;64 MB/sec
Timing O_DIRECT disk reads: 56 MB in 3;00 seconds = 18;65 MB/sec

/dev/mapper/nas-root:
Timing cached reads: 3664 MB in 2;00 seconds = 1831;69 MB/sec
Timing buffered disk reads: 54 MB in 3;03 seconds = 17;84 MB/sec


sieht schon ganz anders aus -;- ....;wie würdet ihr die werte beurteilen?


pyro
23.11.2012, 20:45

Ja das sieht schon eher nach dm-crypt aus. Du könntest mal schauen, wie die CPU-Auslastung während dem Test ist. Ob nur ein Kern ausgelastet wird oder alle.

Ich hab grad gegoogled ob dm-crypt multicore Unterstützung hat, aber nicht arg viel gefunden.

edit: Grade lokal getestet, dm-crypt lastet bei mir alle Kerne aus. Mit meinem AMD E-350 komme ich so auf 60 MB/s wenn ich auf eine Ramdisk schreibe.


R2Dzwo
24.11.2012, 10:26

hab doch eh nur nen Single-Core und der liegt dann bei 60%..;konnte das jetzt nur mit ''top'' testen, da munin noch nicht läuft.

müsste aber eigentlich reichen oder?


Ähnliche Themen zu dm-crypt und luks verschlüsselung
  • True Crypt externe Festplatte - Volumen verschlüssen + portable True Crypt?
    hallo, wollte meine externe festplatte verschlüsseln und fragen welche möglichkeit sich da anbieten würde hab mich zwar schon bischen schlau gemacht mir ist allerdings noch nicht alles klar will die komplette platte verschlüsselt haben und sie an jedem beliebigen rechner, selbst die ohne l [...]

  • Drive Crypt Verschlüsselung wieder rückgängig machen?
    Hi, ich wollte meine mit Drive Crypt verschlüsselte HDD wieder total "entschlüsseln". Weiß jemand wie ich das machen muss? mfg linki [...]

  • Frage bei True Crypt Verschlüsselung von KOMPL. System
    hallo zusammen, ich möchte mein Notebook gerne KOMPLETT mit truer crypt verschlüsseln: ich weiss, dass die platte formatiert wird, sofern ich eine datenplatte oder so verschlüsseln möchte, aber wie sieht das aus wenn ich das ganze system verschlüssel? ich habe 2 partitionen. eine mit windows un [...]

  • True Crypt Verschlüsselung rückgängig machen ?
    Hallo ! Wollte mal anfragen, ob man bei True Crypt die Verschlüsselung rückgängig machen kann.. Ich versuchs mal zu erklärn ;D Also habe sagen wir mal 300 GB Daten auf der Platte, von anfang an, habe ich sie mit True Crypt formatiert. Nun will ich die Platte in ein NAS Gehäuse hauen, wo die [...]



raid-rush.ws | Imprint & Contact pr