tükör raid titkosítva

Kezdőlap Fórumok Fedora Core / RedHat /CentOS Fedora/RedHat kezdõ tükör raid titkosítva

10 bejegyzés megtekintése - 31-40 / 54
1 2 3 4 5 6
  • Szerző
    Bejegyzés
  • 2010-09-17-17:39 #2200475
    sk-skuba
    Felhasználó

      szia.
      az LVM és a raid az nem ugyanaz.Mindkettő más célra való,szóval le kellene hogy ülj és át kellene gondolni azt hogy most akkor mit is szeretnél és mi a legmegfelelőbb erre.

      2010-09-17-22:21 #2200476
      wolfman
      Felhasználó

        én alapvetően RAID-ben gondolkodtam, mert ha tükrözés meg biztonság, akkor sztem az emberek zömének ez ugrik. nem tudom miért ez, talán mert ez a legelterjedtebb, viszont több helyen találkoztam LVM+titkosítás leírással, mint RAID+titkosítás, csak ezért kérdezem. meg azért hogy a lehető legegyszerűbben meg lehessen csinálni, hogy én is mint laikus talán össze tudjam hozni.

        http://en.wikipedia.org/wiki/Logical_Volume_Manager_(Linux)#Features

        The LVM can:

        • Mirror whole or parts of logical volumes, in a fashion similar to RAID 1.

        http://www.howtoforge.com/set-up-a-fully-encrypted-raid1-lvm-system

        figyi most letöltöttem a centos legújabb verzióját hogy megnézzem ezt a telepítéskor választható titkosítást stb. hát grafikus módban szétesik a kép, így azt nem tudom megnézni hogy ott megy-e ez a dolog, textmódban meg tök ugyanazok a beállítási lehetőségek mint trixboxban. tehát nem látom sehol a titkosításra vonatkozó lehetőségeket. létezik hogy grafikus módban benne van ez a feature, textmódban meg nincs…?! vagy csak én vagyok ennyire vak? megnézné nekem valaki hogy ott van-e?

        köszi

        na jó most letöltöm a VB-ot is mert látom hogy nem MS virtual pc-vel csinálta Masterminds. na azért ez a VB jóval profibb, mindjárt be is tudtam állítani neki 2 vinyót és tényleg itt van a telepítésnél az encryption.

        namost: viszont ez is berak alapba LVM-et. ezt hogyan kell akkor most értelmeznem? tehát akkor ez így default jó ahogy van? vagy minek van ott az LVM? vagy csak ott van de nem fogom használni?

        large_Clipboard01.jpg

        mert ez a cikk is amit fentebb belinkeltem azt mondja végülis hogy RAID lesz, csak ott lesz az LVM is hogy dinamikusan lehessen az „adatok” helyét növelni. namost végülis ha így lenne csinálva nálam is az nem lenne rossz, ugyanis nálam a usereknek hozzá kell férniük adatokhoz, csak nem ahhoz amit titkosítani szeretnék.

        illetve ezzel kapcsolatban mégegy kérdésem lenne: ha én a rendszert titkosítom komplett, akkor aki egy php file-t akar megnyitni, az meg fogja tudni nyitni végülis? mármint rendeltetésszerűen, böngészőn keresztül. végülis ilyenkor a kérés az apachnak megy, és igazából az nyitja meg a usernek és küldi el neki az adatokat a böngészőjére nem?

        nem kellene véletlenül egyforma méretűre hozni a két vinyót? mármint úgy értve hogy az egyiknél lecsippenti a boot partíciót, így a maradék nem stimmel a másik vinyó méretével. menni fog így a raid? nem kell ahhoz hogy tök egyforma legyen a két vinyó/partíció méretre?

        na úgy érzem valamennyire nyomon vagyok: létrehoztam egy szoftveres raid partíciót az SDA-n (SDA2 lett). csomószor problémázott amíg le nem vettem a méretet. nem tudom min múlik hogy mennyi lehet. mindegy. 8 giga. itt is kiválasztottam hogy encrypt (már a legelején is kiválasztottam egyszer), meg hogy „elsődleges partíció legyen (kikényszerítés)”. miért kell kikényszeríteni? vagy miért van ez a kifejezés, vagy miért így van itt? SDB-n ugyanígy (először klónozni akartam, de azt nem engedte), nem tudom gond-e hogy ennél is beikszeltem hogy „elsődleges partíció legyen (kikényszerítés)”.
        eztán megint RAID gomb, és mondja hogy már 2 raid partíció van, ekkor már nem gondoltam hogy bármit is kéne klónozni, hanem a 2. opciót választottam: „RAID-eszközt szeretnék létrehozni [alapértelmezés=/dev/md0]”.

        csatlakozási pont: lásd később.
        fájlrendszer tipusa: EXT3
        RAID-eszköz: md0
        RAID-típus: na ezt megváltoztattam RAID0-ról RAID1-re mert én tükrözni szeretnék
        RAID-tagok: mindkét RAID partíció be van ikszelve
        itt is magdom hogy encrypt, ez már a 3. ahol megadtam. remélem nem gond hogy mindenhol beikszeltem, lehet hogy elég lett volna csak itt egyszer a legvégén.

        viszont a csatlakozási ponttal bajban vagyok. ez / nem lehet mert azt már lefoglalta magának az LVM. viszont én a root-ot szeretném(?) elvileg raidben tükrözve és titkosítva. na ilyenkor mi van? mi ilyenkor a teendő? gondolom a telepítés a rootra megy. vagy eleve az LVM-es rootra települve tudni fogja hogy az valójában a RAID? tehát a RAID nem is lehet / soha? vagy hogy van ez? valamint a boot, és egyéb partíciók azok elsődlegesek lehet/kell legyenek? az(ok) is lehet(nek) titkosítottak?

        na egy részét értem már. nem értettem először miért problémázik hogy a / kisebb mint 250MB és valszeg nem lesz elég. tehát a raid partíció a fenti LVM-es résztől veszi el a helyet.

        előre is köszi

        2010-09-18-05:46 #2200477
        pointux
        Felhasználó

          Sok dolgot írtál, csak néhány dologra reagálok.
          – Az eredményt tekintve az LVM2(linux) meg tudja valósítani a RAID0,1-et és csakis azt. (Hogy melyik mondjuk a gyorsabb, azt nem tudom. A RAID nulla valójában nem RAID: nincs redundancia.)
          – Valójában a RAID akkor ad tényleges, nagy valószínűségű biztonságot, ha mindig van egy üres lemez a fiókodban, amire kicseréled a hibásat.
          – A RAID lemezek mindegyike terhelés alatt van, nagyobb valószínűséggel sérülhet, mint pl. a klasszikus háttérmentés. A háttérmentés biztonságosabb, mivel nincs folyamatos használatban a lemez, sokkal nagyobb valószínűséggel kerüli el az áramszüneteket stb. is (ha nincs ilyen védelem). De valamit valamiért: a háttérmentett adatok nem olyan frissek. Pl. hetente háttérmentesz a raiddel meg azonnal. A megoldás a kettő kombinálása. Így nagy valószínűséggel nem vesztesz adatot, ha mégis, akkor csak 1 hetit. annak meg, hogy a háttérmentésed is tönkremenjen, annak nagyon kicsi a valószínűsége.
          – Az USB nem (csak) a jelszó miatt van, hanem azért, mert így lehet a gépben lévő komplett merevlemezt titkosítani, beleértve a partíció adatait is. És igen, lehet file-ban tartani a titkosítást feloldó számsort. Mint pl. ahogy az ssh stb. privát kulcsait. No, ez utóbbi miatt érdemes titkosítani a merevlemezt (vagy tartalmát). Ugyanakkor az USB-d lesz a mesterkulcsod is (az usb-s linkben, amit adtam azt hiszem pont ez van)… ha azt megkaparintja valaki, akkor… Nyílván az agyadban nem fognak ilyen könnyen turkálni. 😀
          – RAID lehet /, ha van /boot, mert a raid-et is kell valaminek kezelnie, tehát a raid kezelő sem lehet raid-en.

          2010-09-18-14:11 #2200478
          wolfman
          Felhasználó

            szia

            köszi. tehát ha jól értem usb stick akkor kell ha tényleg a komplett vinyót titkosítani szeretném, ellenben ha mondjuk a boot partíciót nem, akkor elvileg nem kell? gond az ha a boot nincs titkosítva? mit tudnak azzal kezdeni? meg tudják úgy hekkelni a bootolást hogy ne kérje a jelszót…? (azért ezt nem hiszem hogy olyan egyszerű lenne) ha jól értem akkor az usb lesz a boot partíció, ha van usb stick. csakhogy nekem ezek az usb stickek egyáltalán nem a megbízhatóság mintaképei.

            elkezdtem a centos telepítővel megcsinálni a cuccot, csakhogy két bibi van: az egyik az hogy ez is megfagyott amikor tovább kellett volna lépni a partícionálásnál, a másik pedig az hogy a trixbox telepítője úgy látom magasról tesz rá hogy milyen partícionálások vannak a vinyón jelenleg, ugyanis mindenképp saját igényei szerint újra fogja rakni.

            azta nem fog menni. ott is van a trixbox telepítőjének az elején hogy azzal hogy ezt feltelepíted, minden adatod el fog veszni a vinyóról. nem lehet másik telepítő által készített particionálásra telepíteni.

            2010-09-18-16:07 #2200479
            pointux
            Felhasználó

              – Amennyiben a kernel el tud végezni egy műveletet pl. raid kezelés, akkor a többi ismerete felesleges. Ha valamilyen speciális program kell, akkor az is kell, akkor az és annak a függőségei sem lehetnek raiden sem. (Ugyanez igaz a titkosításra is.)
              – Az, hogy a rendszer kér-e jelszót, vagy nem, az indifferens, ugyanis jelszó ismerete nélkül nem lehet feloldani a titkosítás, ugyanakkor a jelszó ismeretével nem kell a rendszered, csak a titkosított lemezed – a saját gépébe behelyezi és annyi. Ugyanez igaz az usb-n elhelyezett kulcsra is.
              – Teljesen mindegy, hogy hol van a boot partíció. Egyébként nem olyan megbízhatatlanok – ma már -, ráadásul az úgyis csak a bootoláshoz kell, utána fel sem kell csatolni, tehát nincs használva.
              – Én, ahhoz a telepítőhöz nem értek, viszont ált. a linukszok úgy és arra települnek, ahogy akarod. Az meg természetes, hogy ahova a rendszer települ, ott minden adat meg fog semmisülni. (Ill. még ennek sem kell feltétlenül teljesülnie. Végül is úgy is lehet telepíteni egy linuxot, hogy még a rendszerpartíciót sem kell formázni. Persze, amit felülír, azt felülírja. Más dolog, hogy ez mit rejt magában.)

              2010-09-19-19:05 #2200480
              wolfman
              Felhasználó

                az első választ nem nagyon értem.

                rosszul fogalmaztam, nem minden adat el fog veszni, hanem minden partíciókiosztás el fog veszni, ill. csak a meglévőkön kívüli üres helyre tett új partíciókra hajlandó felmenni. ha jól látom.

                de lehet hogy megoldható amit szeretnék, mert nem biztos hogy feltétlenül ragaszkodnom kell a trixboxhoz, hanem lehet hogy simán centos-re feltéve egy asterisket is elérhető ugyanaz ami nekem kell.

                de akkor még mindig ott fogok tartani hogy eleve a titkosított raid-es rendszert meg kell tudnom csinálni. de a kísérletek folyamatban vannak. egyszer már elindult a centos így hogy volt raid, meg titkosítás is.

                2010-09-20-15:16 #2200481
                pointux
                Felhasználó

                  az első választ nem nagyon értem.

                  Tegyük fel, hogy birtokodban van a zár kulcsa (jelszó), de a házadon (titkosított partíció) a zárat (titkosító program) csak belülről lehet nyitni. Soha nem fogod tudni kinyitni. Ezért a zárnak az ajtón kívül kell lennie. (Az, hogy most ez egy raid, vagy egy titkosítási eljárás, az teljesen mindegy.)

                  hanem minden partíciókiosztás el fog veszni

                  Mondom, nem ismerem, de ált. szokott „manuális” particionálás lenni.

                  egyszer már elindult a centos így hogy volt raid, meg titkosítás is.

                  Hát, akkor csak le kell „másolni” és max. átírni a device neveket.
                  Persze, ez igaz a linkre is. Pl. az ott szereplő sda, helyett a saját pl. mdX
                  No, pl. abban az esetben, ha a bootot is a lemezen tartod, akkor
                  pl.:
                  cfdisk
                  sda1 500 MB, sdb1 500 MB (sda lesz a boot, a másik üres, vagy a boot másolata – ezt sda lemez csere esetén újra el kell készíteni) – sda1-et formászni
                  sda2 adb2 -> md2 (mdadm –create /dev/md2 –level=X –raid-devices=2 /dev/sda2 /dev/sdb2) md2-őt formázni
                  ez titkos lesz (lehet md0 is, ezt csak a hibalehetőség kikerülése miatt írtam így)
                  cryptsetup -c (…) luksFormat /dev/md2
                  stb.
                  Tehát valami ilyesmi… természetesen van több lehetőség is.

                  2010-10-01-07:56 #2200482
                  wolfman
                  Felhasználó

                    még annyit hadd kérdezzek, hogy ha mondjuk áramszünet miatt megáll a gép, akkor mik a lehetőségek egy titkosított fájlrendszerű gépnél?
                    ha bootolás is le van védve jelszóval akkor értelemszerű hogy ott kell lenni és beírni, gondolom ez távoli kapcsolattal nem működik. bár a bootolást talán nem is érdemes levédeni jelszóval. viszont ha a kötetekhez is elérkezik a bootlás és kéri a jelszót, akkor azt még mindig nem lehet távolról megadni neki. az usb kulcs az egyetlen megoldás ha mondjuk azt szeretném hogy más is el tudja indítani ugye? ha valakinek megvan a kulcs, akkor az azt jelenti hogy a jelszót is tudja, vagy lehet úgy usb kulcsot csinálni, hogy az csak arra legyen jó hogy bedugom, a gép elindul, de az usb-n lévő adatokat nem tudja megnézni?

                    2010-10-01-08:17 #2200483
                    sk-skuba
                    Felhasználó

                      Mondjuk tikkosithatnad az usb fajlrendszeret es a kulcsot egy masik usb-n lehetne eltarolni :).

                      2010-10-01-08:47 #2200484
                      wolfman
                      Felhasználó
                        sk-skuba wrote:
                        Mondjuk tikkosithatnad az usb fajlrendszeret es a kulcsot egy masik usb-n lehetne eltarolni :).
                        végülis tényleg 🙂

                        node mi a lényege ennek az egész usb kulcs készítésnek? röviden tömören mi a folyamata?

                      • Szerző
                        Bejegyzés
                      10 bejegyzés megtekintése - 31-40 / 54
                      1 2 3 4 5 6
                      • Be kell jelentkezni a hozzászóláshoz.