Re: geom mirror + geli

From: Marc Santhoff <M.Santhoff(at)web.de>
Date: Sun, 09 Oct 2016 14:32:18 +0200

On Sa, 2016-10-08 at 23:39 +0200, Oliver Fromme wrote:
> Hallo,
>
> Marc Santhoff wrote:
> > ich möchte am liebsten einen geom mirror (RAID 1) mit zusätzlicher
> > Verschlüsselung mittels geli aufsetzen. Fundstücke per Suchmaschine
> > machen mich optimistisch, daß das geht. Was die nicht verraten, ist die
> > Vorgehensweise.
> >
> > Was kommt zuerst? Die nackten Platten mit geli initialisieren und dann
> > in den .eli-Partitionen den Mirror aufsetzen oder umgekehrt?
>
> Umgekehrt.
>
> Wenn Du zuerst auf beiden Platten separat Geli aufsetzt,
> dann verdoppelst Du den CPU-Aufwand beim Schreiben, da die
> Daten immer zweimal verschlüsselt werden müssen (für jede
> Platte einmal). Außerdem ist der Tausch einer (defekten)
> Platte aufwendiger, da Du dann erneut zuerst Geli aufsetzen
> müsstest, bevor Du sie in den Mirror hängst. Und wenn Du
> es vergisst, hast Du plötzlich eine unverschlüsselte
> Komponente in Deinem Mirror. Nicht gut.

OK, das macht wirklich einen gewaltigen Unterschied.

> Daher solltest Du zuerst den Gmirror aufsetzen, und darauf
> dann Geli. In dem Fall werde beim Schreiben die Daten nur
> einmal verschlüsselt, und die verschlüsselten Daten werden
> dann vom Gmirror auf die beiden Platten verteilt. Und bei
> einem Plattentausch musst Du nichts weiter beachten: Alte
> raus, Neue rein.

So soll es sein.

> Von der Sicherheit her macht es keinen Unterschied, außer
> dass im ersten Fall zusätzlich auch die Meta-Daten vom
> Gmirror verschlüsselt werden, aber das sollte in der Praxis
> keine Rolle spielen.

Nicht wirklich. Es ist nur das Übliche, externe Platten sind nicht
festgeschraubt. Alles was beweglich ist, kann auch mal abhanden kommen.
Der Hardware-Verlust ist dabei nicht so schmerzhaft wie die Aussicht,
daß jemand die Daten bekommt.

Danke Olli, ich leg los...
Marc

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 09 Oct 2016 - 14:32:38 CEST

search this site