Hallihallo :)

Bin ein wenig verwirrt, sodass ich hier mal nachfragen wollte, wie ihr das am besten regeln würdet.

Ich möchte meinen File und Medienserver neu aufsetzen. Diesmal mit Verschlüsselung.

Zur Verfügung stehen 4x 300GB IDE Platten, dual p3 600 (ist die CPU stark genug für Software Raid 1 oder 5?), 768mb ram

Ich frage mich, in welcher Reihenfolge ich das ganze Aufbauen soll.. zuerst ein LVM (mit 2 Festplatten), die crypten (mit dm-crypt??) und daraus dann ein Raid 1 machen?

Oder soll ich das ganz anders anstellen? Kein LVM, nur Raid oder so?

Ich möchte den Speicherplatz ggf. erweitern, daher hatte ich an LVM gedacht. Aber wenn ich weitere PVs hinzufüge, wie sieht das dann mit der Verschlüsselung und vor allem mit der Spiegelung aus?! Kann ich LVs problemlos vergrößern/verkleinern??

Oder ist es vielleicht viel sinnvoller ein Raid 5 zu machen (hätt' ich persönlich nichts gegen, 900GB sind besser als 600Gb ;) )?

Wie gesagt bin äußerst verwirrt und bräuchte vllt. ein paar Anregungen von euch.

Danke im Vorraus,
deadball

edit: OS wird Debian mit Kernel 2.6.x (hier irgendwelche Vorschläge?)

Wenn solltest Du das ganze so aufbauen (von unten nach oben).

5 - FS (XFS oder JFS)
4 - LVM
3 - DM-Crypt
2 - RAID
1 - HDD

Wenn Du RAID5 verwenden willst, solltest Du zuerst testen, ob die Performance (Lesen und Schreiben) dann noch ausreicht.

Und du solltest Dir auch Gedanken um die Datensicherung machen (Zeit- und Platzbedarf).

okay, ich verschlüssel das raid 1 und lege darüber mein LVM. Die LVM Partitionen sind dann vollständig verschlüsselt? Funktioniert resize normal?

will ich irgendwann weitere festplatten hinzufügen, so mache ich aus denen ggf. ebenfalls ein raid, verschlüssel das und füge dann das raid als PV dem LVM hinzu.
Richtig verstanden?!

Warum als FS unbedingt xfs oda jfs?

Dankeschön für deine Antwort, so herum hab ich mir das bisher noch garnicht angeguckt.

Gruß,
db

Hi db,

bitte gestatte mir unabhängig zu deiner gestellen Frage auch eine Frage:
Du hast einen Server, also etwas was imho läuft und läuft und läuft ... .
Wozu willst du dann bei den ständig gemounteten Platten das FS verschlüsseln?

MfG Peter

Hi Peter :)

Hab' schon auf diese Frage gewartet und kann sie (hier) nicht befriedigend beantworten fürchte ich.
Sagen wir, ich fühle mich sicherer mit einer Verschlüsselung.

Btw, dm-crypt ist doch - eine vernünftige passphrase vorrausgesetzt unknackbar, oder?

Gruß,
db

edit :

ich bin die ganze zeit am überlegen, welchen raid modi ich nehme .. raid 5 kann ich noch nicht testen, da morgen erst 2 HDs kommen ..
in meinem Fall wären es ja 2 mal ein Raid1 à 300GB.. Fasse ich die dann per lvm zusammen?

Und was wäre, wenn ich aus dem Raid 1 ein Raid 10 machen würde??

also so :

FS
|
LVM
|
crypt
|
Raid0
|------|------|
Raid 1 Raid 1
|-----------| |-------------|
300gb 300gb 300gb 300gb


oder wäre das kompletter schwachsinn für einen Server? Wie verhält sich das mit der Datensicherheit? Kann das raid 0 im grunde ausfallen? Irgendwie doch nicht, oder?

Ich bin hier am rotieren, kann mich nicht für eine Geschichte entscheiden. Helft mir ;)

danke,
db

okay, ich verschlüssel das raid 1 und lege darüber mein LVM. Die LVM Partitionen sind dann vollständig verschlüsselt? Funktioniert resize normal? Für das vergrößern einer Partition mit XFS Dateisystem kann ich das definitiv bejahen. Auch mit dem verkleinern sollte das funktionieren. Das geht aber nicht mit allen Dateisystemen.


will ich irgendwann weitere festplatten hinzufügen, so mache ich aus denen ggf. ebenfalls ein raid, verschlüssel das und füge dann das raid als PV dem LVM hinzu. Ja, genau.


Warum als FS unbedingt xfs oda jfs? Du kannst auch was anderes nehmen. Aber meiner Erfahrung nach ist ext3 deutlich langsamer andere FS (FAT32, NTFS) sind in deinem Fall sowieso nicht brauchbar.


Wozu willst du dann bei den ständig gemounteten Platten das FS verschlüsseln? Abgesehen von größeren Unternehmen mit Sicherheitspersonal, das 24/7 den Zugang zur EDV kontrolliert, sollte jeder darüber nachdenken, ob er wirklich keine Datenverschlüsselung braucht.
Eine Festplattenverschlüsselung hat (abgesehen vom Aspekt der Performance) meiner Meinung nach nur Vorteile. Darauf Verzichten kann eigentlich nur jemand, der einen Diebstahl seines Rechners sicher ausschließen kann.


dm-crypt ist doch - eine vernünftige passphrase vorrausgesetzt unknackbar, oder? Kein Verschlüsselungssystem ist unknackbar (außer OTP). Und DM-Crypt ist nur ein Verfahren, um Daten auf einer HDD zu verschlüsseln.
Für die Verschlüsselung benötigst Du einen Verschlüsselungsalgorithmus. Und der ist dann für die Sicherheit zuständig.

Ich würde aber eher zu LUKS raten und dann "aes-cbc-essiv:sha256" verwenden. Infos siehe Verschlüsselte Festplatten (http://www.fedorawiki.de/index.php/Verschl%C3%BCsselte_Festplatten)


Zu deiner Frage RAID1 / RAID10

Ein RAID10 macht IMHO wenig Sinn. Vor allem bei einem Software RAID.
Ich würde bei der eingesetzten Hardware ein (oder mehrere) RAID1 verwenden. Ein RAID5 wird auf dem System wahrscheinlich zu einem deutlichen Geschwindigkeitsverlust führen. Wie hoch der genau ausfällt, musst Du aber ausprobieren.

super, danke thorashh.

Luks werd ich mir überlegen, das selbe betrifft das FS.

Auf einem Fileserver spielt doch eigentlich die festplatten performance nicht so die große rolle .. meinst du ein Raid10 wäre sinnvoll?

Oder wirklich 2 mal Raid 1, das crypten und per LVM zusammenfassen?

danke ,
db

Ein RAID0 verteilt die Daten gleichmäßig über alle Platten. Dadurch erhältst Du eine höhere Leseperformance, da bei großen Dateien beide Platten gleichzeitig Daten liefern können.
Nachteile: Du musst gleich große Platten verwenden und bei einem Ausfall einer Platte sind mit Sicherheit alle Daten futsch. Deshalb macht in dem Fall ein RAID10 Sinn.

In Deinem Fall brauchst Du die höhere Leseperformance nicht. Die wird ohnehin durch die Verschlüsselung limitiert.

Also RAID1 und dann per LVM in eine VG zusammenfassen.

Noch mal zu meiner Frage.

OK, was die Begründung "Diebstahl der Hardware betrifft", gebe ich euch 100pro Recht. Keine Frage. Deshalb haben unsere (leider als WinDOSe bootenden) Notebooks auch eine Vollverschlüsselung der Festplatte, sogar mittels einer gewissen PC-Card incl. Smardcard ... .

Ich habe die Frage bewusst gestellt, weil es immer noch Leute geben soll, die nicht wissen dass eine gemountete Krypto-Partition eben unverschlüsselt ist ... .
Damit für mich erledigt.

Trotzdem empfehle ich immer abzuwägen, ob durch die Kryptierung nicht auch ein zusätzliches Risiko eingebracht wird. IT-Sicherheit beinhaltet ja auch das Kriterium der Verfügbarkeit.

MfG Peter

hi Peter,

ich weiß wofür die Verschlüsselung in meinem Fall ist, und bin mir auch bewusst, dass gemountete Partitionen durchaus unverschlüsselt sind ;)

Es ist auch richtig, dass - falls etwas schief geht - gerne mal nen haufen oder sogar alle daten weg sein können. Deswegen werde ich ich die Szenraien vorher ein paar mal durchspielen bis ich sie auf dem Server als solches einsetzen werde.

@thorashh

habe mich auch für die Raid 1 Lösung entschieden. Es geht zwar viel Platz drauf *schnüff*, aber ist einfacher zu handhaben als R5 und besser zu erweitern.
Ich mache mich mal ans werk, sobald die anderen beiden Platten da sind und dann frag ich hier nochmal nach, sollten Fragen auftauchen, ok? ;)

danke & gruß,
db

edit: schätze mal, doppelposts sind nich so erwünscht, deswegen schreib ichs heir nochmal rein:

wenn ich die reihenfolge von lvm + crypt so mache, brauche ich bei meiner jetzigen situation ja schon 2 Passwörter, für jede weitere Platte ebenfalls eins. Richtig soweit oder?
Kann ich LVM + crypt tauschen? So dass ich zuerst die PLatten zusammenfasse und dass die ganze VG verschlüssel? Kann man dann noch vernünftig erweitern?

gruß,
db