Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam, posiadam nowego cruciala mx200 (250gb) i męczy mnie kwestia ustawień TRIM przy dysku zaszyfrowanym podczas instalacji (LUKS+LVM). Z tego co wyczytałem to aby aktywować TRIM w takiej konfiguracji, należy dodać opcję discard nie tylko w crypttabie ale też w konfiguracji lvm oraz jeszcze w /etc/fstab, przy czym, jeśli chodzi o LUKS obniża się wtedy bezpieczeństwo szyfrowania w jakimś tam sposób (nie wnikam).
Czy jest jakaś alternatywa? A może to olać i po prostu korzystać? Zainteresowało mnie jednak takie zdanie (w wątku SSDOptimization na Wiki Debiana):
"Alternative to setting the "discard" options is to set up an offline-trim cronjob that runs time fstrim -v on the ssd mountpoints periodically"
Ale to chyba dotyczy alternatywy co do umieszczania opcji discard w /etc/fstab a nie całego wcześniejszego procesu (crypttab, lvm)
Jak wy rozwiązujecie kwestie ustawień Trim przy szyfrowanym dysku z LVM-em?
Ostatnio edytowany przez nmarx (2016-05-13 23:01:39)
Offline
Trafiłeś idealnie, to samo 10 minut temu na tym samym dysku robiłem :D
https://wiki.archlinux.org/index.php/Solid_State_Drives#TRIM
Tu jest opis.
Offline
[quote=mati75]Trafiłeś idealnie, to samo 10 minut temu na tym samym dysku robiłem :D
https://wiki.archlinux.org/index.php/Solid_State_Drives#TRIM
Tu jest opis.[/quote]
Hah! :) I jak Ci poszło?
Rozumiem, że dodałeś opcję discard w crypttabie, lvm.conf i /etc/fstab lub skrypt fstrim+cron ew. poprzez systemd?
Tylko właśnie czytałem na wiki debiana, że w przypadku LUKS obniża to bezpieczeństwo szyfrowania.
Więc zastanawiam się czy nie ma innej drogi, ew olać to.
Ostatnio edytowany przez nmarx (2016-05-13 23:10:57)
Offline
przy czym, jeśli chodzi o LUKS obniża się wtedy bezpieczeństwo szyfrowania w jakimś tam sposób (nie wnikam).[/quote]
Z tego co ja wiem, to "problem z bezpieczeństwem szyfrowania" dotyczy nagłówków, w których są klucze szyfrujące i zahashowane hasłą. Przykład: jeśli stworzysz nagłówek na dysku SSD i później przyjdzie ci zmienić klucz lub hasło do tego nagłówka, np. dodasz nowy slot albo wyczyścisz stary, to wtedy właśnie przez to równoważenie zużycia komórek, nowy nagłówek (lub tylko jego część) może zostać zapisana w innym miejscu, zostawiając tym samym stary nagłówek nietknięty. W efekcie może i zmieniłeś klucz czy hasło ale w dalszym ciągu na dysku są te stare dane i przy ich pomocy można otworzyć kontener. Czyli w przypadku, gdy ktoś poznał twoje hasło i ty je zmienisz na dysku SSD, to jest niemal pewne, że ten ktoś przy analizie dysku uzyska dostęp posługując się starym hasłem. xD
Można to fixnąć, przez utworzenie tylko jednego nagłówka i niewprowadzaniu do niego żadnych zmian. Wtedy będzie dobrze.Ostatnio edytowany przez morfik (2016-05-14 10:42:34)
Offline
A co w przypadku partycji /boot, która znajdzie się poza obrębem zarówno lvm jak i luks? Czy wystarczy, że manualnie będę wykonywał fstrim na ten partycji?
Offline
GRUB od jakiegoś czasu wspiera pełne szyfrowanie włącznie z /boot. Nie wiem jak na jessie, ale na testingu dziś się bawiłem i potwierdzam że jest w stanie postawić system z szyfrowanego /boot ;)
Nitki:
https://wiki.archlinux.org/index.php/Dm-crypt/Specialties#Securing_the_unencrypted_boot_partition
http://dustymabe.com/2015/07/06/encrypting-more-boot-joins-the-party/
Zauważone wady rozwiązania:
1. Po wstukaniu hasła odszyfrowanie /boot zajęło mojemu i5-2520M jakieś 12 sekund, normalnie robi to w okolicach 5.
2. Po odszyfrowaniu /boot i wybraniu z menu systemu/jądra potrzeba podać ponownie hasło do dysku
To drugie da się obejść wrzucając na zaszyfrowany /boot plik z kluczem dodanym w LUKSie do odszyfrowania dysku, ale nie miałem niestety czasu się pobawić.
Offline
To rozwiązanie z szyfrowaniem /boot raczej odpada, za dużo dłubania i niepotrzebne utrudnienia. Chyba jednak wolę pozostawić tą partycję samą sobie.
Mam jeszcze pytanie co do wyrównywania partycji - czy instalator debiana "robi to tak jak trzeba" czy trzeba się bawić gparted czy innymi narzędziami?
Chodzi mi o wyrównywanie pod kątem ssd.
Offline
Nic nie trzeba ręcznie wyrównywać.
Offline
Time (s) | Query |
---|---|
0.00006 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00043 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.136.26.156' WHERE u.id=1 |
0.00071 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.136.26.156', 1732504517) |
0.00026 | SELECT * FROM punbb_online WHERE logged<1732504217 |
0.00064 | SELECT topic_id FROM punbb_posts WHERE id=301455 |
0.00090 | SELECT id FROM punbb_posts WHERE topic_id=28618 ORDER BY posted |
0.00033 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28618 AND t.moved_to IS NULL |
0.00024 | SELECT search_for, replace_with FROM punbb_censoring |
0.00056 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28618 ORDER BY p.id LIMIT 0,25 |
0.00092 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28618 |
Total query time: 0.00509 s |