[Linuxtrent] Re: Crittografia della home e btrfs

• From: Flavio Visentin <THe_ZiPMaN@xxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Wed, 20 Aug 2014 03:32:23 +0000

On 08/19/2014 09:50 PM, Daniele Pizzolli wrote:

On 08/19/2014 10:51 PM, Flavio Visentin wrote:

Buongiorno a tutti,

Buongiorno Flavio,
ma in che time zone sei?

Sono in fase di migrazione e ho tutto incasinato :)

Da squeeze (credo) di aver sempre avuto tutto su lvm.

Ibidem, con pregi e difetti.

Ha senso una home crittata se tutto il resto non lo è?

Sì, anzi tendenzialmente secondo me ha più senso crittare la sola home che tutto.

Dipende da
cosa ti difendi, però crittare tutto è praticamente ininfluente con i
dischi ssd e le cpu recenti per quel che riguarda le prestazioni per
un utilizzo desktop...

Io ho circa 500GB di porcherie varie che mi porto appresso di cui la stragrande maggioranza sono ISO di prodotti da installare o roba simile. Tutto quello che è documenti et simila sono rigorosamente nella mia home, e quella è da sempre crittata (finora come te ho usato luks).

Sono due i vantaggi principali nel crittare la sola home:

- il primo è un vantaggio di performance, dato che ovviamente tutti i programmi e le porcherie varie che non ha senso crittare in quanto liberamente disponibili restano in chiaro sul disco. - il secondo è la possibilità di usare il sistema anche senza sbloccare il device crittato cosa utile in due casi: 1) se non vuoi digitare la passphrase per accedere al desktop (come accade in aeroporto se viaggi negli USA dove ti chiedono di accendere il PC... in questo caso puoi fare login con un utente pippo idiota senza dover sbloccare la parte crittografata, e considerando che sei costantemente sotto gli occhi di una telecamera è cosa buona e giusta) 2) se il PC è usato da più utenti (nel qual caso il secondo utente può entrare senza che tu sblocchi tutto).

L'unica altra cosa che critto è la swap perché uso l'ibernazione.

L'uso della crittografia naturalmente è finalizzato ad evitare la perdita di informazioni in caso di furto o smarrimento del dispositivo. Le cose che devono rimanere segrete non le tengo proprio sul PC o le crittografo a parte, tipicamente con encfs.

Non capisco cosa intendi per "vincolato dallo spazio disco
preallocato", su lvm puoi ingrandire la partizione di e con ext4 anche
ridimensionare il filesystem a caldo (almeno in crescita).

Sì, e l'ho fatto più volte, ma è particolarmente scomodo ridimensionare i lv specie in shrinking, e per come gestisco io il sistema mi è capitato almeno una decina di volte nell'ultimo anno di mettervi mano... Una volta rubo 10GB alla home e li do alla work, poi ne rubo 20 alla work e li do alla temp, poi disfo la temp e do lo spazio alla Virtual... l'ho sempre fatto ma è una rottura e comunque avendo diversi device si spreca un tot di spazio per ciascuno; fa conto che io avevo sul portatile due VG (uno per disco) e 11 LV complessivi e di spazio se ne spreca una quantità smodata (ogni FS non dovrebbe mai crescere oltre l'80% per non incorrere in problemi di frammentazione e cali di performance, quindi ho sprecato quasi 100GB solo per gli sfridi).

Con un unico volume btrfs invece si possono usare le quote per limitare la crescita di ogni subvolume (che corrispondono ai LV) ma è un limite dinamico, e lo spreco di spazio è ridotto al minimo essendo un unico device a blocchi.

Da quasi tre anni: Con i5 CPU M 540 con aes, Intel X18-M/X25-M/X25-V
G2 SSDs, ext4 rw,relatime,user_xattr,commit=600,barrier=1,data=ordered
su luks con dm-crypt e lvm per tutto

+ o - il mio setup precedente. Come opzioni io usavo noatime e discard.

Il resto l’ho utilizzato solo per qualche prova, non sufficiente per
fare esperienza vera.

Beh, adesso l'esperienza me la faccio perché ormai il passo è fatto :)
Non ho avuto molta pazienza.

Per quanto concerne btrfs sono orientato verso il creare un unico volume
su ciascuno dei due dischi (un SSD e un tradizionale), e sfruttare i
sottovolumi al posto dei LV che ho utilizzato finora.
Qualcuno ha già affrontato il tema e sa/vuole darmi consigli in merito?

No, però se lo fai raccontaci come va.  Seguo alla lontana btrfs e non
mi sembra ancora maturo per usarlo intensamente da quanto dice chi lo
usa e lo testa con più regolarità:
http://etbe.coker.com.au/tag/btrfs/

Beh, è il PC personale su cui uso Debian Sid, quindi è già abituato a piantarsi una volta al mese :D D'altronde bisogna pur iniziare ad usare le tecnologie per impararle e non trovarsi impreparati quando le si andranno a proporre ai clienti :) Uno dei motivi per cui ho reinstallato Siduction è proprio il fatto di essere ancor più bleeding edge di Sid, trovando i nuovi kernel il giorno dopo la loro uscita, cosa importante se si usano feature come btrfs che sono molto dinamiche essendo in forte sviluppo.

Per cui un backup su un volume non btrfs, mi sembra il minimo.

Il backup lo faccio già tutte le notti sul server di casa con backuppc, però sto valutando qualche altra soluzione che sfrutti anch'essa btrfs. Per il momento mi sto creando degli script che sfruttano gli snapshot con rsync --inplace, ma ho visto che ci sono un paio di prodotti che già sfruttano le nuove feature. In particolare ho dato un'occhiata veloce a urbackup e ad una versione patchata di rsnapshot. Vi saprò dire... per il momento vado avanti con backuppc fino a che non trovo la soluzione definitiva.

TNX in advance.

Grazie a te per aver intavolato la discussione e tienici aggiornati,
Daniele

Primo aggiornamento... innanzitutto ho scelto di non fare un unico volume ma ne ho fatti comunque due per motivi di praticità. Un volume root da 30GB e un volume home da 212GB (più una swap da 8GB).

Per la mia home ho optato alla fine per ecryptfs (e mi sono già scontrato con il primo problema... ha un limite per la lunghezza dei nomi dei files a 143 caratteri... poco male, lo aggirerò) perché mi permette di crittare dir diverse con passphrase diverse e la cosa mi torna utile. Da un primo test spannometrico non ho riscontrato differenze significative rispetto a LUKS, con scritture di grossi files che viaggiavano a 50-70MB/s. Rispetto a dm-crypt però ha il grosso vantaggio che il backup lo si può fare direttamente dei dati crittati, quindi anche quando l'utente non ha fatto login e per quanto mi riguarda è un plus non da poco (prima avrei dovuto fare un backup del device per ottenere lo stesso risultato). Può tornare utile anche per un backup su cloud come già faccio con dropbox su android (encfs con cryptonite in quel caso).

Domani finisco il ripristino di tutti i dati e poi quando ho configurato tutte le funzionalità vedo di preparare qualche guida per chi fosse interessato... per il momento comunque mi sento soddisfatto.

--
Flavio Visentin

A computer is like an air conditioner,
it stops working when you open Windows
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• References:
  • [Linuxtrent] Crittografia della home e btrfs
    • From: Flavio Visentin
  • [Linuxtrent] Re: Crittografia della home e btrfs
    • From: Daniele Pizzolli

Other related posts:

• » [Linuxtrent] Crittografia della home e btrfs- Flavio Visentin
• » [Linuxtrent] Re: Crittografia della home e btrfs- Daniele Pizzolli
• » [Linuxtrent] Re: Crittografia della home e btrfs - Flavio Visentin

1. Home
2. linuxtrent
3. Archive
4. 08-2014

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---