- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Úgy hangzik a ZFS funkciók bekapcsolása mintha az orosz rulettet játszanék az adatokkal.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Fontos adatot kizarolag kotablaba vesve tarolunk! Ahhoz kepest minden orosz rulett.
I hate myself, because I'm not open-source.
- A hozzászóláshoz be kell jelentkezni
Az emberiség 10 legfontosabb mondatát is azon adták ki, aztán 40 évnyi sétálgatás alatt elvesztették.
- A hozzászóláshoz be kell jelentkezni
elvesztették
De az user hiba, az ellen semmi sem ved.
I hate myself, because I'm not open-source.
- A hozzászóláshoz be kell jelentkezni
És nem volt backup!?
( •̀ᴗ•́)╭∩╮
"speciel a blockchain igenis hogy jó megoldás, ezért nagy erőkkel keressük hozzá a problémát"
"A picsat, az internet a porno es a macskas kepek tarolorandszere! : HJ"
- A hozzászóláshoz be kell jelentkezni
Korábban azt mondtad, hogy nem használsz zfs-t.
- A hozzászóláshoz be kell jelentkezni
A probléma elég idegesítő, de alapvetően nem egy adatsérüléssel járó eredmény, hanem a működést befolyásoló esemény. A snapshot marad ott üresen, amit a scrub kijavít, de amikor megtörténik a hiba a dataset-et olyan állapotba hozza, hogy azt csak a modul újratöltésével lehet megoldani. Szóval reboot, hossz scrub ami miatt prod környezetben egy elégé "nyehh" de ez alatt a 3 év alatt még én nem láttam "tényleges" adatsérülést (főleg a zfs voltának köszönhetően)
- A hozzászóláshoz be kell jelentkezni
Azért elég ritka csillagállás kell a hibához. Ha van egy natívan titkosított dataset amin vannak snapshot-ok és a dataset-re használod a send/recive-et akkor sérülhet snapshot.
Azért arról szó sincs, hogy megy a levesbe éles adat.
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
- A hozzászóláshoz be kell jelentkezni
A filerendszer feladata az hogy adatot tároljon.
Ha ezt elfelejti mert épp olyan a holdfázis, akkor az nem filerendszer, hanem szégyen - mondom úgy hogy amúgy szeretem a zfs-t.
- A hozzászóláshoz be kell jelentkezni
Én sem azt mondom, hogy ez dicsőség :)
Csak annyit, hogy ennél azért láttunk már sokkal durvább dolgokat is, amíg javítják együtt lehet (kell) vele élni.
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
- A hozzászóláshoz be kell jelentkezni
Hát natívan titkosított dataset amit mentenek, rolling módszerrel nem egy ritka csillagállás, hanem egy napi használati konfiguráció prod környezetben.
- A hozzászóláshoz be kell jelentkezni
Ezen nem fogunk összeveszni, de egy védett szerverszobában szvsz nem sok jelentősége van a titkosított fájlrendszenek. Ha gépet törik meg, akkor nincs szerepe, ellopni meg nemigen fogják a szervert.
Elég sok helyen megfordulok, de nem jellemző a használata. Érdekes lenne egy szavazás róla, hogy mennyien használják.
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
- A hozzászóláshoz be kell jelentkezni
Ezen nem fogunk összeveszni, de egy védett szerverszobában szvsz nem sok jelentősége van a titkosított fájlrendszenek.
Légy szíves ne. Ezt a hozzáállást ne. Mi lesz ha a hardver tönkremegy? RMA, Kiselejtezés? Baleset, beázás bűncselekmény. Ne haragudj. Ezzel mindenhol kiröhögnek, ha ezt mondod.
Nem hogy a titkosítás kötelező, de az is kötelező sok helyen, hogy a titkosításhoz szükséges információ ne legyen elérhető az adott számítógépen, hogy illetéktelen akkor se tudjon hozzáférni, ha közvetlenül hozzáfér minden elemhez. SED (self-encryption drive, opal2) távoli kulcsmenedzsmenttel, vagy filerendszer natív, távoli kulcsmenedzsmettel.
- A hozzászóláshoz be kell jelentkezni
Köszi a szokásos személyeskedő primitív stílusod.
Nem hogy a titkosítás kötelező...
Mármint szerinted. A NIST, vagy NIS2 mondjuk melyik szinten írja elő?
Mi lesz ha a hardver tönkremegy?
https://nmhh.hu/cikk/225140/Mar_elerheto_a_vegleges_adattorlo_alkalmazas
Baleset, beázás
:D ez ellen valóban a titkosítás a tuti védelem LOL
A szerverekhez nem szokás hozzáférni, mert álltában őrzött helyen vannak, ahol nem, ott jogos a titkosítás. A kliens oldal egész mást, de ott meg ZFS nincs.
Na ez esetleg kötelező: https://njt.hu/jogszabaly/2015-41-20-0A
Jelöld be amiről beszélsz.
De tudod mit, tegyél ki egy szavazást és meglátjuk.
Tudom, hogy a te világnézeted az egyetlen szent igaz út, allahu akbar.
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
- A hozzászóláshoz be kell jelentkezni
pedig nagyon is igaza van. a fizikai sekuricsi es a crypt nem valtjak ki egymast, masra jok, egyutt alkalmazandoak. tudod, pl. a bankokat is orzik, oszt' megis van/volt/lesz olyan, hogy bankrablas.
- A hozzászóláshoz be kell jelentkezni
Akkor nézzünk egy szavazást.
A biztonság egyik szabálya, hogy a védekezésnek arányban kell állnia a kockázattal. Egy banknál ez még jogos is lenne, ha tele lenne a sajtó azzal, hogy betörtek az xy bank szervertermébe (ami jó eséllyel cloud) ellopták a szerveket és az azokról szerzett dolgokkal hatalmasat kaszáltak.
Manapság online szokás betörni, ott meg nem segít az fs encrypt, csak az adatokat kell titkosítva tárolni, ott azt ami tényleg fontos.
A beázás ellen viszont én is titkosítást használok az ablak szigetelésére :D
Ahol viszont kritikus a cégvezetők laptopjain, akik a strandon bebaszva elhagyják azt (true story).
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
- A hozzászóláshoz be kell jelentkezni
ha nem latod a titkositatlan diszk/storage rmi-jeben a kockazatot es nem latod be miert nem vagy-vagy kapcsolat van fizikai vedelem es titkositas kozott, nem vagy valo IT security teruletre.
bank szervertermébe (ami jó eséllyel cloud) > ezt konkretan a kisujjadbol szoptad. en pl. megfordultam mar penzintezet szervertermeben. te? :)
meg mindig igaz, hogy a human a leggyengebb lancszem, igen, fizikai szekuricsi eseten is, lasd altalad is emlegetett bebaszott cegvezeto, ugyanugy emberek dolgoznak a szervertemekben/korul is. ezt a sechole-t (is) veded a titkositassal. idealista elkepzeleseid vannak arrol, hogy mennyire nehez fizikailag hozzaferni dolgokhoz, vagy mennyire nehez benezni valamit, emberi felelotlensegbol/figyelmetlensegbol/"vanazapenz" alapon megkorrumpalva valakit ilyenbe belefutni.
Manapság online szokás betörni > napersze, pl. ilyenek miatt is fontos mindketto, de majd jol megszakerted
- A hozzászóláshoz be kell jelentkezni
titkosítatlan fájlrendszer != titkosítatlan értékes adat
Kicsit jobban kéne figyelni. Ezen kívül nem csak a bankokról beszélünk. Léci mutass már egy cikket, ahol bármilyen nagy cégtől éles pruduction szervereket loptak (az már igazából rablás, mert van őrség, meg üzemeltetés) és felhasználták az adatokat. Lehetőleg ne ZS kategóriás hollivúdi produkció legen :D
És várom a NIS vonatkozó hivatkozását is.
Ja és képzeld voltam a pénzügynél jobban védett helyen is, ahol pl. az éles szerveren, egy kézzel futtatott sql query után volt 2-3 perced, mire megjelent a szobában fizikailag a security team :) Titkosított fájlrendszer a szerveren viszont nem volt...
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
- A hozzászóláshoz be kell jelentkezni
te kotottel bele a bankokba :) ha nem tetszik, engedd el, mert kurvara mindegy, hogy bank-e. a hamisan velelmezett fizikai szekuricsi mindent megoldra hoztam neked peldat.
éles pruduction szervereket loptak > nem kell ellopni sem, keress ra a blamara, ahol az ipmi-n keresztul meg*tak az atomszekur vpn szolgaltatot (gy. k.: pont mintha odasetaltak volna), na, nekik pont jol jott volna a titkositott storage :)
balfaszok voltak, megbiztak a 3rdpartyban, hogy az majd nem enged oda senkit. igy jartak. :D
Ja és képzeld voltam a pénzügynél jobban védett helyen is, ahol pl. az éles szerveren, egy kézzel futtatott sql query után volt 2-3 perced, mire megjelent a szobában fizikailag a security team :) > szar hely lehet ahol csak ugy kezzel futtatgathatsz query-ket az eles DB-n... 3 perc alatt hany DB-t lehet eldropolni? :) ha utolag jon oda a szekuricsi, hogy nem volt jogod valamihez, akkor az nem szekuricsi, hanem tuzoltas.
ismetelten mondom, a fizikai security nem valtja a ki a titkositott storage-et es forditva. ha nem erted melyik miert fontos es miert nem bizhatsz meg az altalad velelmezett fizikai biztonsagban, milyen edge case-eket is szamitasba kell venni ilyenkor (aminek 0< az eselye, az be fog kovetkezni, minel ertekesebb az adatod, annal valoszinubb target ugyebar), miert kell a lehetseges human errort minel jobban kizarni a tortenetbol, be is fejezhetjuk a beszelgetest, fundamentalisan vannak hianyossagaid a kerdest illetoen.
- A hozzászóláshoz be kell jelentkezni
Próbálom egyszerűbben, hogy megértsd, mert úgy látom a szövegértés nem megy.
A fájlrendszer titkosítás nem azonos az adat titkosítással. Én azt mondom, hogy a teljes fájlrendszer titkosítás az esetek nagy részében felesleges és erőforrás pazarló, mert elég csak a védendő adatokat titkosítani. Ezen kívül a fájlrendszer titkosítás az online fenyegetés ellen kb nem ér semmit, akkor már érdemes olyan megoldásokat keresni, ami mindkettő ellen jó valamennyire.
Tudod, a védekezés mértéke arányos legyen a fenyegetéssel. Kicsi tanulj még egy kicsit szekurcsit :D
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
- A hozzászóláshoz be kell jelentkezni
nem is beszeltem neked onlany fenyegetesrol, mas ellen ved. fogd fel es tanulj meg egy kis szekuricsit.
bele lehet mindent eroszakolni titkositott DB-be, csak mi a fasznak, ha ott a native speed crypto a diszken/storage-en. :) minden masra ott az encrypted object storage.
mar maga a db structure/business logic is lehet szenzitiv adat, az ellen pedig nem ved, hogy mancika adoszama cryptelt-e a tablaban...
amugy meg b*hatod a kliens oldali kulcsodat, ha viszik a kliensrol, mikor mancika rakklikkel a malware-re.
elindulni _sem_ hagyjuk a DB-t, amig nincs feloldva a crypt. aztan, hogy a kedves szoftverfejleszto hogy kreten/nem kreten ezutan, az mar az o baja. egy masik szint.
ha azt vallalod, hogy az adat cryptelve van tarolva, akkor bizony a kedves ugyfel plaintext file-jait is cryptelve kell tarold. pont.
- A hozzászóláshoz be kell jelentkezni
Én azt mondom, hogy a teljes fájlrendszer titkosítás az esetek nagy részében felesleges és erőforrás pazarló
Ehhez lesznek valami szamok meg meresi eredmenyek is?
Amugy teljesen hetkoznapi problema, hogy valami nem vart helyre kerul erzekeny adat, pl. egy crash-nel nem vedett helyre kerul ki dump, vagy valami rossz helyre general temp fajlt, logot, vagy akarmit. Ez a lehetoseg mindig nyitva lesz, akkor is, ha ti nagyon pengek vagytok, es veletek sosem tortenhet ilyesmi. Dehogynem.
Lehet vetiteni, hogy a gyorsreagalasu SWAT-team majd beront a terembe, es lelovi a betolakodokat, de az at-rest titkositas nem ez ellen ved.
- A hozzászóláshoz be kell jelentkezni
Köszi a szokásos személyeskedő primitív stílusod.
Nem személyeskedtem. Az írásod minősítése nem személyeskedés. Segítettem, hogy _ne sülj fel_ azzal a hülyeséggel amit ide írtál a jövőben ott ahol ez tényleg számít. Ha használod, akkor használod, ha nem nem.
"Baleset, beázás"
:D ez ellen valóban a titkosítás a tuti védelem LOL
Amiket én láttam: vízszint alatt szerverterem beázott, elindult az oltási mechanizmus, hurrikán kis híján megnyitotta a helyet, vízben álltak a rackek, robbanás történt, elromlott hűtőtorony. Havária esetén szart sem ér a "fizikai biztonság" mert le se szarják, nem garantálható, de ettől még nem megy tönkre minden, ergo jó lenne, hogy ha valaki megtalálta a HW-t akkor ne szivárogjon.
- A hozzászóláshoz be kell jelentkezni
Nem személyeskedtem.
Ja persze. Önértékelés, ülj le elégtelen :) Hát nem csodálom, hogy téged tartanak itt a leghülyébbnek :)
ergo jó lenne, hogy ha valaki megtalálta a HW-t akkor ne szivárogjon.
Anyám, ez a baromságot el is hiszed? Beégtél, ez van, lépj tovább :)
Kezdjük újra. Először is, a fájlrendszer nem titkosítás, nem zárja ki az adat titkosítást. Sokkal értelmesebb, mondjuk egy adatbázisban a kritikus adatokat titkosítva tárolni, sózni és a kliens oldalon visszafejteni, mert akkor az online támadástól is valamennyire védve van az adatbázis és az általad vizionált világvége beázás ellen is. De ez gondolom túl bonyi :)
Egyébként pedig, melyik audit szabvány szerint "kötelező", ahogy állítod, a fájlrendszer titkosítás? Léci mutasd meg. Én számtalan NIST800 és NIS2 auditon vagyok túl, de valamiért ezt nem követelték sosem.
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
- A hozzászóláshoz be kell jelentkezni
Ez mar bullshit, ami ossze lett hordva a temaban.
FDE pro:
- ved bizonyos kockazatok es tamadasi vektorok ellen
- ved bizonyos emberi mulasztasok ellen (lasd fentebb, amit irtam)
- egyszeru
- olcso
FDE kontra:
- ???
Ha nincs konkret okod nem hasznalni FDE-t (pl. hardver nem tamogatja), akkor hasznald nyugodtan, nem harap.
- A hozzászóláshoz be kell jelentkezni
Engedd el. Ez az a nárcisztikus jegyekkel megszórt szint amivel nem tudsz mit kezdeni, észérvek nem hatnak, mindent személyesnek és támadásnak vesz, ha nem egyezik a véleményed. El kell az ilyet engedni, hadd mondja, ha ez neki jó, hogy úgy érzi "jólmegmondta" akkor win-win.
- A hozzászóláshoz be kell jelentkezni
Hát ennyit tudsz, személyeskedni. Szakmai válasz persze nincs.
Mi az, hogy kötelező a fájlrendszer titkosítás? Ki kötelez és hol?
Mennyire jó ötlet egy olyan technológiát "kötelezően" használni ami a fejlesztői szerint nem "pruduction redy"?
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
- A hozzászóláshoz be kell jelentkezni
FDE kontra:
- nem production redy (mármint a ZFS amiről jelenleg beszélünk)...
- sok esetben fölösleges, csak egy hibalehetőség
- bonyolult kulcskezelés, bonyolult üzemeltetés
- teljesítmény vesztés
- visszaállítási nehézségeket okoz
- hacker támadások ellen nem ér semmit
- rossz költség kontra előny arány
Az egyszerű és olcsó amit írsz rá, az nem igaz. Nem tudom terveztél-e valaha összetett rendszer, vagy üzemeltetsz-e bármit, de szerintem nem. A kulcskezelés egy nagy rendszerben igen bonyolult és az üzemeltetést is nagyon nehezíti. Már egy frissítés utáni újraindítás is problémát okoz. Kell egy rakás szabályzat, hogy ki és hogy fér a kulcsokhoz, meg hogyan éri él a gépet ha szükséges.
A NIST-800 bullshit? Hát jó nagy security specialist vagy...
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
- A hozzászóláshoz be kell jelentkezni
> Aggályokat vett fel az OpenZFS Native Encryption használata
ezt csak en erzem magyartalannak? esetleg vetett fel, vagy valami
- A hozzászóláshoz be kell jelentkezni
Jó ez így is - ha a vett helyet csak vet van.
- A hozzászóláshoz be kell jelentkezni
trey a magyar nyelv elismert szakértője. Ő nem hibázhat, csak más. Befe téma van, az úgy jó és kész.
Nade sunyiban azert atirta:)
- A hozzászóláshoz be kell jelentkezni
Alapból nem volt aggálya, de commit-okból felvette.
- A hozzászóláshoz be kell jelentkezni
Bezzeg a Qnap hogy döngette a mellét, hogy ők olyan szarral, mint a btrfs, nem bajlódnak, csak a zfs az igazi, miközben lassan minden más konkurens btrfs-re állt át akkor.
- A hozzászóláshoz be kell jelentkezni
Ebben azért még ilyen időnként felbukkanó hibák esetében is igazuk van.
A btrfs nem tudja kiváltani a zfs-t a mai napig. Vannak mindkettőben elérhető szolgáltatások, de pl. redundancia terén a btrfs megmarad a tükörnél, minden ennél bonyolultabb esetben alá kell tenni mondjuk md-t, és az md kötetre tenni btrfs-t. Ellenben a zfs megoldja az összes fajta redundáns kötet kezelését önállóan.
A btrfs-nek sokkal kisebb az erőforrás igénye, így pl. a Synology (meg a többi kisebb gyártó) nagyon gyenge hardveren is tudja futtatni. A QNAP-nál is csak az erősebb hardvereken érhető el a Hero, ami zfs alapú (azt nem is tudom, a kisebb NAS-okon lévő nem-Hero milyen fs-t használ).
Nem utolsó sorban több (jól fizetett) fejlesztő áll jelenleg a zfs mögött, mint a btrfs mögött, aminek az sem tett jót, hogy a Red Hat dobta a támogatását (így sok fizetett fejlesztőt kivett mögüle).
Szerintem jó a sokszínűség, nem kell csak zfs-hez vagy btrfs-hez ragaszkodni, feladathoz lehet és kell eszközt (fs-t) választani. De azt nem lehet (egyelőre) kijelenteni, hogy a btrfs le tudja váltani a zfs-t.
- A hozzászóláshoz be kell jelentkezni
Na ez az, a kis NAS-okon meg marad az EXT és ki is fújt, annyi fáradtságot nem tettek bele, mint a többiek, hogy ha kicsit meg is csonkítva de beletették opciónak.
- A hozzászóláshoz be kell jelentkezni
Ne haragudj, de a btrfs-t (ez nem vallási kérdés) nem lehet egy lapon kezelni a zfs-el. (igen használom mindkettőt, és btrfs szalagos visszaállítás azért nem egy ritka esemény, soha nem adnám prodba, kell még neki egy pár év ha egyáltalán)
- A hozzászóláshoz be kell jelentkezni
Én ezt értem, van helye a ZFS-nek (de pl biztos nem az otthoni két lemezes NAS-omon, ahol BTRFS bekapcsolt tömörítéssel jól elvan két éve), de azért nézd meg a videót, hogy sz@rozza a QNAP a többieket és a BTRFS-t, ahhoz képest nagyon is komikus.
https://www.youtube.com/watch?v=eQd4fmkJ4ns
https://www.qnap.com/solution/qnap-ext4/en-us/
Amúgy pont szemezgettem volna velük is, de ezért nem választottam őket.
- A hozzászóláshoz be kell jelentkezni
Szerintem a túl komplex kódbázis miatt debugolják nehezen. Ez az ára, hogy egy fájlrendszerre túl sok funkciót bíznak. Ezt a Unix-filozófia alapján szét kéne bontani, layerekre, egyik a mirror-ról, másik a titkosításról, stb. gondoskodjon.
“A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)
- A hozzászóláshoz be kell jelentkezni
attol nem kesz kevesebb a kodbazis, hogy ezt helyett:
storagelayer:
code1
code2
code3
ezt csinalod:
storagelayercode1:
storagelayercode2:
storagelayercode3:
cserebe vacakolhatsz eppen melyik reszet a summa kodbazisnak ki hogyan alakitja ugy at, hogy valami eltorjon, mehet az egymasra mutogatas, hogy a masik kodjaban van a hiba, aka: wontfix, allhatsz meg a sajat fejleszteseddel ha a masik kodja nem tamogat valamit, stb. :) openszorsznal (is) ezt lepten-nyomon latni.
a zfs kod nem azert sok, mert egyben kezel mindent, hanem mert olyan featuresetet nyujt, amit mas, osszehakkolt "modularis" stack sem nagyon tud adni jelenleg. free/opensource alapon plane.
- A hozzászóláshoz be kell jelentkezni
A kódbázis nem lesz kisebb, de mivel el lesznek szeparálva a kódok, ezért könnyebb csak 1 rétegben debugolni, látni fogod hol a bibi, és csak annak a modulnak a kódrészét kell átnézni. Így jelenleg egy összehányt, hatalmas kódbázis, vakarja mindenki a fejét debugoláskor, nem is értik, hogy hol a bug.
Plusz ha szétbontod rétegekre, akkor egy-egy réteget használhat nem csak a ZFS, de más fájlrendszer is. Rugalmasabb megoldás lesz. Az értem, hogy a ZFS jelenleg mindent önerőből kell megoldjon, mivel kínál olyan feature-öket, amik más rétegből nem elérhetők, de sajnos ennek ára van, mint a hír is mutatja.
“A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)
- A hozzászóláshoz be kell jelentkezni
nem konnyebb. attol, hogy tobb git pullbol jon a kod, a rendszered osszessegeben nem lesz egyszerubb, sot.
probalj mar meg tobb fejlesztocsapatot tobb kulon kodbazissal egy iranyba terelni, sok sikert hozza :D
Plusz ha szétbontod rétegekre > pont ezert jo a zfs, mert nem csak egy dologra jo, integralt, crossplatform. nem kell baszkodni meg legozni. csak betolod a pool lemezeit valahova es osszerakja, mukodik, orulsz.
- A hozzászóláshoz be kell jelentkezni