Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Postanowiłem trochę pospamować - a co !
Sprawa jest tego typu - zamówiłem sobie dysk (Seagate Momentus XT Hybrid) do lapka. A ze lapka używam także w pracy, a bezpieczeństwo danych dość ważna sprawa postanowiłem, że system będzie na szyfrowanych LVM'ach + kontenery TrueCrypte. I teraz pytanie do tych co się w takie pierdoły bawili na różnych systemach. Jak się przedstawia konfiguracja, obsługa etc na Debianie i na Gentoo.
Na dysku będzie przynajmniej 4 partycji, a właściwie wolumenów LVM
/boot - ext2, nieszyfrowany
/ LVM szyfrowany
swap - szyfrowany losowym kluczem
/home - LVM szyfrowany
Ponadto $HOME będzie kontenerem TC montowanym przy logowaniu danego użytkownika. Klucz do TC albo wpisywany z passphrase albo na kluczu USB.
Co więcej. Czy przy LVM jest sens robić np osobnego /var, /usr, /tmp (wolumeny bardzo ładnie się skalują a i tak nie używam wiele miejsca więc z tym nie ma problemu żeby zrobić kilka(naście) takich wolumenów i stopniowo, w razie potrzeb i konieczności dokładać miejsce.
1) Jaki FS wybrać - zastanawiam się nad ext4, ResierFS, btrfs (choć podobno lubi się sypnąć), XFS.
2) Czy klucze do LVM'a da się umieścić na pendrive'ie (tak jak klucz do kontenera TC)
Wiem, że w Debianie da się w trakcie instlacji wybrać LVM'a szyfrowanego, Gentoo standard z chroota więc też problemów nie ma. Znacie jakieś dobre howto do Debiana i/lub Gentoo jak postawić system na LVM'ach. I na koniec tak ogólnie jak się na to zapatrujecie i jakie są wrażenia tych którzy z tego korzystali.
I jak np wygląda sprawa z multibootem w takiej sytuacji. Czy mając utworzony wolumen na /dev/sda i czy da się bez większego bólu zainstalować kolejny system (spod znaku pingwina/diabełka) obok?
Kiedyś (dawno temu) postawiłem Debiana (jeszcze bodajże Etcha) na LVM'ach ale trochę mnie irytowało wpisywanie 5 haseł zanim będę mógł się zalogować do systemu ;))
No i najważniejsze - jak z wydajnością (głównie odczyt/zapis na HDD) na takiej kombinacji? Samo szyfrowanie programowe trochę zasobów pożera - wiadomo co hardware'owe rozwiązanie to hardware'owe rozwiązanie :)
Wszelkie uwagi mile widziane. Dysk będzie około poniedziałku - wtorku więc wtedy pewnie zabiorę się za stawianie systemu.
Sorry za lamerskie pytania ale ja cienka dupa jestem jeśli chodzi o linuxa a i szczerze to nie chce mi się eksperymentować, wole wiedzieć wcześniej na czym stoję niż męczyć się n dni z instalacją i konfiguracją tego.
Google już przeglądałem - co prawda po łebkach ale w robocie czasu nie było a w domu to mnie więcej nie ma jak jestem ;]
Nie linczujcie :)
Jeśli topic wylądował nie w tym dziale, uprzejmie proszę szanowne grono administratorów/moderatorów o przeniesienie.
Jak postawię system - napiszę małego arta/faq na ten temat ;)
Offline
Moje uwagi
- szyfrować tylko partycje z danymi
- co do truecrypta i kluczy można się zaopatrzyć w takie sprzętowe zabezpieczenie http://www.televox.pl/index.php/BEZPIECZENSTWO/TeleToken_4_TrueCrypt/ (o ile pamietam 70zł sztuka)
- system plików ja bym wzięła reiserfs ze względu na stabilność
- nie ma lamerkich pytań
Offline
Moje uwagi
- Debian jest systemem, który można szybciej postawić na nogi (takie jest moje zdanie), tak więc łatwiej będzie w razie "WU" postawić Debiana niż męczyć się z Gentoo/Funtoo
- Gentoo jest dla hard corów więc jeśli czujesz sie hard corem, możesz się tym bawić, ja jednak cenię czas, którego mam mało (studia, praca), dlatego wybrał bym Debiana (no i nie jestem hard corem :D:D)
- Debian Sid żyje swoim życiem, jak to się mawia, ale ponoć o to w tym wszystkim chodzi
Gentoo kojarzy mi się z rzeźnią, płaczem i lamentem :D Doprawdy, wolałbym już Debian experimental :D
Offline
Mam partycję zaszyfrowaną Luksem - aes-xts-plain 512 bit - montowana klikiem w nautilusie - gnome - działa.
Założona w Ubuntu, odziedziczona przez Gentoo - wszystko ok.
Mam też od kilku lat partycję zaszyfrowaną truecryptem - trzema algorytmami aes-twofish-serpent, działa identycznie na:3 wersjach Ubuntu, 2 Debiana, 2x Suse, 4 razy Gentoo (3 Default i 1 Hardened - gresec/pax).
Nigdy nie zauważyłem - żeby wersja Linuksa miała wpływ na jakość działania szyfrowanej partycji.
Zarówno truecrypt, jak i cryptsetup i luks - to sprawdzone i stabilne rozwiązania.
W truecypcie używam ext3 - w Luksie ext4 - działają tak samo - jak bez szyfrowania, trochę wolniej.
Klucz szyfrujący możesz zawsze trzymać na penie poza komputerem, cryptsetup i luksa można też ożenić z pam-fprint (czytnik linni papilarnych) - jeszcze tego nie obczaiłem dokładnie, ale wiem że działa.
Poza tym - klucze vpn, hasła, zapasowe konfigi typowo serwerowe i rozmaite notatki prywatne, tudzież niektóre fotki przyjaciółek - to bym trzymał (i trzymam) na szyfrowanych partycjach,
ale co tajnego jest np. w mplayerze, czy w ogóle w katalogach określonych w $PATCH ?
Nic - czego nie byłoby na typowej instalce Debiana, lub w repo.
Czyli rzeczy niezwykle tajne :))))
Natomiast z szyfrowanego dysku ucieszy się elektrownia i producent baterii do twojego lapka.
Kiedy z ciekawości wrzuciłem obraz iso do partycji zaszyfrowanej luksem - to procek się BAAAARDDZOOOO ucieszył, aż wiatrak świętował :)))
[url=http://forums.gentoo.org/profile.php?mode=viewprofile&u=137888]Ten gość[/url] chwalił się kiedyś lapkiem z lvm zaszyfrowanym aes-xts-plain-512 (pod funtoo), więc na twoim miejscu bym go trochę pomęczył ;)
Tutaj: http://forums.gentoo.org/viewtopic-t-814625-start-0.html
Inne sznurki:
http://www.gentoo.org/doc/pl/lvm2.xml
http://en.gentoo-wiki.com/wiki/DM-Crypt
http://wiki.archlinux.org/index.php/System_Encryption_with_LUKS_for_dm-crypt
Pozdrawiam
;-)
[quote=sir_lucjan]Moje uwagi
.............
Gentoo kojarzy mi się z rzeźnią, płaczem i lamentem :D Doprawdy, wolałbym już Debian experimental :D[/quote]
Wyrazy współczucia, u mnie Debian Testing i stabilne Ubuntu przegrały z rzeźnią na całej linni.
Płaczu i lamentu nie stwierdzono :)
Ale o gustach się nie dyskutuje.
gcc version 4.4.4 (Gentoo Hardened 4.4.4-r1 p1.0, pie-0.4.5)
;)))
Ostatnio edytowany przez Jacekalex (2010-10-01 20:24:41)
Offline
Taka dygresja... Ja lama jestem, ale nie rozumiem tego najeżdżania na Gentoo i robienie z niego szczególnie trudnej dystrybucji. Dawno temu, kiedy Mandrake pretendowało do miana "Linuxa z ludzką twarzą", na Linuxa mówiło się Linux, a nie Lynuks, a Óbuntó było jakąś mętną koncepcją z czarnego lądu, bez odzwierciedlenia w realu, wtedy fakt - Gentoo sprawiał ludziom problemy z instalacją. Podobnie jak Windows 95 i jego niekończące się problemy z brakiem wolnych IRQ, czy sterownikami pisanymi przez Masonów i Illuminatów.
Nie uważam, żeby teraz Gentoo był aż taki problematyczny. Łatwiej mi go zainstalować niż np takiego zasmarkanego Blackrunnera, który od 3 miesięcy uparcie odmawia współpracy bez podania przyczyny niezależnie od tego skąd go mam, z jakiego medium go instaluję i na jakim sprzęcie. Pochodne Gentoo, takie jak Sabayon, czy Toorox zainstaluje nawet ktoś kto dopiero zaczyna zabawę z Pingwinem. Prawdę powiedziawszy Sabayona uważam za bardziej rzeczowego niż óbó, ale to dygresja od dygresji.
Czy ktoś mógłby mi więc wyjaśnić na czym polega dokładnie problem z Gentoo ? Skąd się bierze ta jego opinia ?
Ostatnio edytowany przez JesterRaiin (2010-10-01 22:33:50)
Offline
[quote=JesterRaiin]Taka dygresja... Ja lama jestem, ale nie rozumiem tego najeżdżania na Gentoo i robienie z niego szczególnie trudnej dystrybucji.........[/quote]
W przeciwieństwie do większości dystrybucji Linuxa, Gentoo można ekstremalnie dopieścić, tworząc szybki i stabilny system, idealnie dopasowany do potrzeb użytkownika.
Dzięki flagom use, i łatwemu włączaniu samodzielnie kompilowanych programów w strukturę zależności drzewka, można znacznie dalej dojść z optymalizacją, niż w Debianie czy Fedorze.
W dodatku 90% użytkowników Debiana, czy Ubuntu,czy choćby Mandrivy, mówi że zna się dobrze na Linuxie, ale gdyby im dać do instalacji Gentoo i trzy dni czasu, to polegną na polu chwały.
W dodatku - skrypciarze i część hakerów (raczej z dolnej półki), - można poszukać exploita na Debiana czy Fedorę, kiedyś pełno tego było na milwoormie, teraz tez trochę jest na różnych portalach, srawdzić działanie w domu, i potem za jedną noc przetestować je na 200 serwerach z Debianem Lenny, z czego często kilka lub nawet kilkadziesiąt gorzej zarządzanych padnie.
Ponieważ wszystkie mają ta samą wersję jednego pakietu czy biblioteki, i błąd w paczce czy bibliotece jest wspólny dla wszystkich Debianów na świecie, cała robota, to znaleźć exploita 0day.
A jeśli w Gentoo każdy system powstaje na flagach ustawionych przez użytkownika, a każdy użytkownik sam skompilował kompilator, (jedna warstwa flag),tym kompilatorem programy i biblioteki (druga warstwa flag), to jakie jest prawdopodobieństwo, że wszystkie Gentaa będą miały ten sam błąd, i exploit 0day znaleziony lub napisany samodzielnie, będzie działał na wszystkich maszynach z tym systemem? jakie jest prawdopodobieństwo takiej sytuacji w Debianie i Gentoo - takie samo?
Gdzie wojsko skuteczniej naciera, pokonując równą jak stół suchą polanę, czy podmokły, bagnisty las?
I podstawowa dysproporcja między userem Gentoo a userem Ubuntu:
User Gentoo opanuje Ubuntu w ciągu pół godziny, a w jakim czasie user Ubuntu opanuje Gentoo?
Co jest dziwnego w takiej sytuacji, w psioczeniu (jak sir_lucjan), czy jedynie słusznym i świętym obowiązku nawracania Genciarzy na "normalne" "paczkowate" dystrybucje?
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-02-25 00:44:21)
Offline
Żaden system nie jest trudny jeśli się czyta dokumentację. :)
Co do szyfrowania ja używam TrueCrypta na lapku, używam tylko AES-256, obciążenie dla proca jest znikome. Sądzę, że mało kto ma tak cenne dane (czyt. warte niepewnej zabawy w rozszyfrowywanie), żeby stosować szyfrowanie dwu lub trzy-warstwowe. Do systemowej partycji 20-literowe hasło mam tylko w głowie. Każdy klucz zapisany gdzieś, schowany gdzieś poza głową jest kluczem do sytemu dzięki któremu nawet 5-io warstwowe szyfrowanie w łeb bierze. To na Windows. Na Debianie też klepałem hasło z palca do luksa, choć na początku robiłem jakieś dyskietki z kluczem. Na każdej dystrybucji działa tak samo.
O, przy okazji znalazłem http://www.freeotfe.org/. Może uda mi się dostać spod Windows do mojej szyfrowanej, luksowej partycji. :)
Ostatnio edytowany przez czadman (2010-10-01 23:53:52)
Offline
Pewnie z tego, że w Gentoo przejdzie Ci polecenie 'emerge dpkg' i natrzaska tyle outputu na stdout ile pod Debianem globalna flagę --verbose we wszystkim ;)
Tak na poważnie, używam obu dystrybucji i Gentoo z racji domiziania flagami właściwie każdej opcji programu daje spore możliwości, a jak powszechnie wiadomo: nie mając wyboru nie masz problemu ;)
Offline
@sir_lucjan Hard corem nie jestem, nie byłem i raczej nie będę, skrypciarz ze mnie gorzej niż marny, a jednak używam Gentoo w dodatku ~adm64 (przez dłuższy czas no-multilib) i do tej pory miałem może ze dwie niezbyt miłe sytuacje ale dało się opanować "słuchając ze zrozumieniem" co system do mnie mówi i podpytując w wątpliwych kwestiach.
Co do szyfrowania - to po ostatnich wypadkach wolę dmuchać na zimne i nawet ebuildy szyfrować ;]
@Jacekalex dzięki za sznureczki. Jutro/w niedziele poczytam. Co do fingerprinta to nie mam w lapku czytnika linii papilarnych a nie chce mi się inwestować :P
Co do cieszenia się elektroniki i procka tudzież baterii to raczej nie jest problem - lapek przez 98% czasu [s]siedzi przy korycie[/s] jest podpięty do prądu (często bateria wyjęta leży obok ;]) a procek praktycznie cały czas skręcony do 800MHz per rdzeń (czasem przy flashu podkręcam do 1.20 a jak robię upgrade całego systemu to wrzucam 2.20
Co do nawracania "żentowcuff" na paczkowane binarki - dla mnie to tak samo jak nawracanie muzułmanina na chrześcijaństwo czy też skina na anarchizm ;] Całe te wojny ideologiczno-filozoficzne (czy jakkolwiek je nazwać) są po prostu bez sensu, mało tego w większości przypadków mają odwrotny skutek i prowadzą do bezsensownych flejmów. Każdy używa tego co lubi.
@BiExi - zastnanawiałem się nad jakimś kluczem sprzętowym wymaganym np do uruchomienia systemu poszukam jeszcze po alledrogo.
Reasumując ten przydługi i przynudny wpis - jak będę miał pytania to jeszcze was pognębię, ale najpierw zapoznam się z podlinkowanymi materiałami.
P.S.
A wiecie może jak to jest w wyniku nagłego zaniku prądu? Jak tam z danymi - większe spustoszenia jak bez szyfrowania czy też standardowy fsck załatwia sprawę? Oczywiście będzie drugi dysk (na usb podpięty) na którym będą snapshoty volumenów.
Offline
Ekspertem nie jestem, ale jeśli na szyfrowanym volumenie zakładasz normalny system plików, to jest to normalny system plików.
Wada takiego rozwiązania (było kiedyś na forum) - co się stanie, jak wskutek jakiejś awarii (w lapku np wstrząsu), zniknie kawałek szyfrowanego woluminu, na którym jest klucz lub hasło, potrzebne do identyfikacji ?
Jeśli na dysku jest 500GB - a klucze (wszystkie np 5 sztuk) mają 5x4 - 20 kB - to trzeba wybitnego "szczęścia" - żeby się coś takiego zdarzyło, ale.......
Dlatego szyfrowane dane bezwzględnie muszą mieć backup.
Ale nie oszukując się, jaki procent dysku 500GB trzeba zaszyfrować - cały? - raczej nie.
I dlatego IMHO da się to sensownie zaprojektować.
Pozdrawiam
Offline
Ja mam zasadę "System ma działać a nie komplikować" , mam Susła i jestem zadowolony.
Offline
[quote=sir_lucjan]Ja mam zasadę "System ma działać a nie komplikować" , mam Susła i jestem zadowolony.[/quote]
Ostatnio również zacząłem wyznawać tę zasadę... mam Gentoo i jestem zadowolony :)
Offline
Albo - system jest dla użytkownika, a nie użytkownik dla systemu ;)
Offline
a ja mam msdos i tez jestem bardzo zadowolony.
Przed kim chcesz tak ukrywać informacje/dane ?
Czy tylko robisz to dla idei ?
Niech się coś stanie i tracisz wszystkie zaszyfrowane dane. Gra nie warta świeczki.
Offline
@Yampress - Co msdosa, to ja bym nie był z niego zadowolon, troszkę to stare :(. A co do reszty wypowiedzi - w 100% popieram.
Offline
Imho laptopa warto szyfrować, ale i trzeba robić backup. Chyba, że ktoś lapka z domu w ogóle nie wynosi.
Offline
Ja do Gentoo jestem zdecydowanie za głupi i za leniwy :P
Offline
Dysk zewnętrzny S(r)ATA+LVM+Truecrypt+bootloader na "pędrajwie" +zestaw haseł wielkości małego tomiku poezji.
Wszystko było piknie do momentu jak się sypnęło. Samo nie wstało, wiedzy i umiejętności mi nie starczyło na szybkie podniesienie, żadne livecd jakie posiadałem mi nie pomogło. Trzy doby spędziłem (jak w piosence "trzy noce płakałem") na próbach naprawy. Niestety, agencja reklamowa, dla której wtedy miałem coś przygotować nie miała czasu na takie duperszwance i podziękowała mi za współpracę.
Od tej pory wbijam w zabezpieczenia. Ext3/Ext4, jedno hasło typu "d*pa", autologowanie, distra na jednym dysku, dane na drugim...
Taka dygresja kolejna. :)
Offline
Nikt rozsądny nie trzyma swojej pracy na jednym nośniku. Są systemy kontroli wersji, synchronizatory plików, backupy, etc, etc.
Poza tym po co komplikować sobie życie z LVM i innymi podobnymi jeśli można utworzyć sobie "dysk" z szyfrowanego pliku-pojemnika przy pomocy TrueCrypta, który jest sam w sobie/l bardzo zacnym narzędziem. Na ja jaki ch**j te elfałemy. LVM na zewnętrznym dysku to IMHO jakieś nieporozumienie.
Zresztą, może pora wypróbować coś nowego: http://www.seagate.com/www/en-us/products/external/blackarmor/blackarmor_ps_110/ :)
Coś do środka : http://www.seagate.com/www/en-us/products/self-encrypting-drives/
Ostatnio edytowany przez czadman (2010-10-02 18:44:16)
Offline
Co prawda, to prawda, LVM to zabawka na macierze RAID, na jednym dysku można zrobić to prościej i stabilniej przez np [url=http://pl.wikipedia.org/wiki/GUID_Partition_Table]GPT[/url] - masz wtedy tyle partycji podstawowych, ile dusza zapragnie, i np:
system, system zapasowy, home, szyfrowana, wspólny /var/log i do hibernacji swap.
I wszystko będzie działać, backup /etc/ może być na szyfrowanej, home można mieć zaszyfrowany, to wszystko.
I będzie działać, bez jednej nawet partycji logicznej.
A backup na dysku w domu, + [url=http://pl.wikipedia.org/wiki/Berne%C5%84ski_pies_pasterski]bydlę[/url] do pilnowania tego dysku z backupem :)
To wszystko ;)
Pozdrawiam
;-)
EDYTA:
[quote=sir_lucjan]Ja do Gentoo jestem zdecydowanie za głupi i za leniwy :P[/quote]
Nie widzę powodu, żeby podważać takie szczere i prawdziwe wyzwanie, ale co takie posty wnoszą do wątku o szyfrowaniu partycji pod Gentoo czy Debianem?
Ostatnio edytowany przez Jacekalex (2010-10-02 23:02:23)
Offline
Hehe, nic i dlatego wnoszę o ich usunięcie :)
Offline
Co do szyfrowania to - trochę dla siebie i jak wspomniałem mam dość ważne dane firmowe na lapku, a ostatnio wpierdolili się i zajebali lapka więc, sorry, szyfrowanie być musi...
A co do LVM może i jest to zbędę ale nie ma problemu z rozmiarami partycji - braknie mi miejsca to się szybko da rozszerzyć bez kombinacji...
Ostatnio edytowany przez winnetou (2010-10-03 12:51:48)
Offline
Dopiszę pod postem coby nie uciekło :)
Do tej pory (w końcu znalazłem trochę czasu!) pobawiłem się w LVM - i po raz kolejny stwierdzam, że jest to genialne narzędzie :) LVMy są nie na zwenętrznym dysku tylko na dysku w lapku.
Koncepcja troszkę mi się zmieniła - ale nie powiem na jaką bo będziecie się śmiać :P
@Jacekalex dzięki za sznureczki zwłaszcza te z wiki archa i gentoo są ciekawe.
Muszę przyznać, że jak LVMy ogarnąłem stosunkowo szybko tak całe szyfrowanie jeszcze takie mało skrystalizowane :) Za głupi jestem na to, ale się nie poddam ;] (chyba)
Offline
Sznurki z Gentoo, Archa, Slacka czy *BSD często są nieco ciekawsze, niż z Ubuntu czy innych "Friendly" Linuxach, zwłaszcza przy różnych hardcorowych ustrojstwach.
;)))
Ostatnio edytowany przez Jacekalex (2010-10-09 17:40:37)
Offline
[quote=Jacekalex]Sznurki z Gentoo, Archa, Slacka czy *BSD często są zazwyczaj nieco ciekawsze, niż z Ubuntu czy innych "Friendly" Linuxach, zwłaszcza przy różnych hardcorowych ustrojstwach.
;)))[/quote]
True. Debian w tej kategorii też cieniuśko pierdzi :P W końcu jest dystrybucją ubuntupochodną ;)
No co, przecież to wątek [s]prowakacyjny[/s] prowokacyjny :)
Ostatnio edytowany przez ippo76 (2010-10-09 11:36:09)
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00142 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.38.100' WHERE u.id=1 |
0.00141 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.38.100', 1733365264) |
0.00055 | SELECT * FROM punbb_online WHERE logged<1733364964 |
0.00047 | SELECT topic_id FROM punbb_posts WHERE id=154861 |
0.00007 | SELECT id FROM punbb_posts WHERE topic_id=17443 ORDER BY posted |
0.00052 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=17443 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00124 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=17443 ORDER BY p.id LIMIT 0,25 |
0.00101 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=17443 |
Total query time: 0.00689 s |