Re: geom mirror + geli

Hallo,

Marc Santhoff wrote:
> ich möchte am liebsten einen geom mirror (RAID 1) mit zusätzlicher
> Verschlüsselung mittels geli aufsetzen. Fundstücke per Suchmaschine
> machen mich optimistisch, daß das geht. Was die nicht verraten, ist die
> Vorgehensweise.
>
> Was kommt zuerst? Die nackten Platten mit geli initialisieren und dann
> in den .eli-Partitionen den Mirror aufsetzen oder umgekehrt?

Umgekehrt.

Wenn Du zuerst auf beiden Platten separat Geli aufsetzt,
dann verdoppelst Du den CPU-Aufwand beim Schreiben, da die
Daten immer zweimal verschlüsselt werden müssen (für jede
Platte einmal). Außerdem ist der Tausch einer (defekten)
Platte aufwendiger, da Du dann erneut zuerst Geli aufsetzen
müsstest, bevor Du sie in den Mirror hängst. Und wenn Du
es vergisst, hast Du plötzlich eine unverschlüsselte
Komponente in Deinem Mirror. Nicht gut.

Daher solltest Du zuerst den Gmirror aufsetzen, und darauf
dann Geli. In dem Fall werde beim Schreiben die Daten nur
einmal verschlüsselt, und die verschlüsselten Daten werden
dann vom Gmirror auf die beiden Platten verteilt. Und bei
einem Plattentausch musst Du nichts weiter beachten: Alte
raus, Neue rein.

Von der Sicherheit her macht es keinen Unterschied, außer
dass im ersten Fall zusätzlich auch die Meta-Daten vom
Gmirror verschlüsselt werden, aber das sollte in der Praxis
keine Rolle spielen.

Gruß
   Olli

-- 
Oliver Fromme, München   --   FreeBSD + DragonFly BSD
``We are all but compressed light'' - Albert Einstein
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message