Mittwoch Jun 12, 2013

Den root pool erweitern

Zwischendurch mal ein wenig Laptop-Erfahrung...  Ich habe endlich entschieden, dieses zweite OS von der Platte zu verbannen (Ich hatte es so selten benutzt, dass ich regelmaessig das Passwort zuruecksetzen musste...).  Der Ertrag waren 50g wertvoller Laptop-Plattenplatz - gluecklicher Weise an der richtigen Stelle auf der Platte.  In der Theorie muesste ich also nur die Solaris-Partition erweitern, ZFS Bescheid sagen und den Platz geniessen.  Aber natuerlich gibt es da so verschiedene kleine Fallen.

Um Verwirrung vorzubeugen - es geht hier um x86.  Bei einem normalen SPARC Server hat man die Probleme, fuer die ich hier Loesungen beschreibe gar nicht.

Erste Lektion: Man sollte nicht versuchen, mit fdisk die Partition zu veraendern solange Solaris darauf noch laeuft.  Das funktioniert zwar, aber es gibt freundlichere Varianten des Shutdowns.  (Was hier passiert ist, dass fdisk nicht nur die Partition neu anlegt, sondern auch ein dazu passendes Label schreibt.  Das bedeutet allerdings, dass ZFS den Slice fuer den rpool nicht mehr findet.  Und das wiederum fuehrt zu einem sehr introvertierten Solaris...)  Richtig macht man das, indem man von irgendetwas anderem bootet (PXE, USB, DVD, etc) und dann die Partition veraendert.  Danach nicht vergessen, den Slice fuer den ZFS pool wieder anzulegen.  Wichtig dabei ist, dass dieser Slice wieder mit genau dem gleichen Zylinder anfaengt.  Die Laenge ist natuerlich eine andere.  (Ich zumindest musste das so machen, da  mein rpool in s0 lag.)

Danach ging es weiter wie im Handbuch:  Solaris booten und entweder  "zpool set autoexpand=on rpool" oder zpool online -e rpool c0t0d0s0" und schon waren da 50g mehr Platz.

Habe ich vergessen zu erwaehnen, dass ich doch tatsaechlich vor all dem ein volles Backup gemacht habe?  Ich werde doch langsam alt...

Mittwoch Nov 24, 2010

Dateisystem verschluesseln mit ZFS und AES128

Mit Solaris 11 Express ist nun auch die Dateisystemverschluesselung mit ZFS verfuegbar.  Damit schliesst Solaris eine Luecke, die zumindest fuer all jene Festplatten die man ueblicherweise mit sich herumtraegt, dringend geschlossen werden musste.  Aber natuerlich gibt es auch viele gute Gruende, die im RZ gut gesicherten Festplatten zu verschluesseln - schliesslich werden auch diese irgendwann einmal das RZ verlassen...

Genug der Vorrede - so einfach geht das Ganze: 

  1. Der Zpool, der das zu verschluesselnde Dateisystem enthalten wird, muss mindestens auf Version 30 gebracht werden.  Das geht mit einem einfachen "zpool upgrade <poolname>.  Bei einem neu installierten Solaris 11 Express entfaellt dieser Schritt natuerlich.
  2. Jetzt kann man ein neues Dateisystem anlegen: zfs create -o encryption=on <poolname/newfs>
    Das Kommando fragt jetzt interaktiv nach einem Passwort, aus dem der Schluessel fuer das Dateisystem erzeugt wird. Und schon ist es fertig.  Ein Dateisystem nachtraeglich verschluesseln geht nicht.  Natuerlich gibt es weitere Optionen fuer den Schluessel, die in der Manpage beschrieben sind.

Ebenfalls gibt es diverse Wahlmoeglichkeiten bei der Schluessellaenge fuer AES.  Die einfache Variante mit "encryption=on" waehlt AES-128 im CCM Modus.  Alternativ koennen auch 192 oder 256 Bit Schluessel verwendet werden.  Bei der Entwicklung von ZFS crypto wurde diskutiert, welche Schluessellaenge als Default verwendet werden sollte.  Die Wahl fiel aus zwei Gruenden auf 128 Bit:  Erstens ist die Verschluesselung, insbesondere wenn keine Hardware-Beschleunigung wie bei der SPARC T2/T3 oder Intel 5600 CPU vorhanden ist, bei 128 deutlich weniger aufwendig als bei den groesseren Schluessellaengen.  Zweitens gibt es neue Untersuchungen und auch erfolgreiche Angriffe auf AES256 und AES192 mit Aufwaenden von nicht mehr als 2\^39.  Diese Angriffe greifen bei AES128 nicht, weswegen diese Variante nicht nur schneller, sondern auch sicherer ist als die Variante mit groesserer Schluessellaenge.

Weitere Details zu ZFS Crypto gibt es im ZFS Admin Guide.

Dienstag Sep 08, 2009

Verschluesselung im Dateisystem

Eines meiner Steckenpferde ist Verschluesselung, ein Thema, an dessen Oberflaeche ich immer wieder kratze.  Vor einiger Zeit war ich angehalten, eine kleine Zusammenfassung zum Thema "Verschluesselung im Filesystem" zu schreiben.  Nachdem einige Leser der Meinung waren, es sei mir ein brauchbarer Ueberblick gelungen, stelle ich das Ergebnis hier zur allgemeinen Verfuegung.  Viel Spass beim Lesen!  Und ueber Kommentare freue ich mich natuerlich :-)

About

Neuigkeiten, Tipps und Wissenswertes rund um SPARC, CMT, Performance und ihre Analyse sowie Erfahrungen mit Solaris auf dem Server und dem Laptop.

This is a bilingual blog (most of the time). Please select your prefered language:
.
The views expressed on this blog are my own and do not necessarily reflect the views of Oracle.

Search

Categories
Archives
« April 2014
MoDiMiDoFrSaSo
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Heute