questor17
03.03.2020
view1642
view2
0
Goto Top

Server Performance mit LUKS Verschlüsselung

FrageLinuxDebian
Option 1: Eine große verschlüsselte LUKS-Partition, die dann über LVM in viele LVs unterteilt wird

Option 2: Die LUKS-Verschlüsselung erfolgt dediziert auf der LV Ebene.

Was ist hier best practice unter performance Gesichtspunkten?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 553767

Url: https://administrator.de/contentid/553767

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
Alchimedes
Alchimedes 03.03.2020 um 22:34:26 Uhr
Goto Top
Hallo,


kommt darauf an:
A) Was muss Verschlüsselt werden ?
B) Welche Hardware ist vorhanden ?
C) Welcher Algorithmus bei LUKS ?

Verschlüsselst Du halt nur Container also dediziert sehe ich keine Probleme.
Ich hab mit LUKS auch schon direkt Server-Festplatten verschlüsselt und gab
keine Performance Probleme.

Gruss
questor17
questor17 04.03.2020 aktualisiert um 04:10:17 Uhr
Goto Top
kommt darauf an:
A) Was muss Verschlüsselt werden ?

Datenbank Daten, Web Content etc. Idealer weise wollte ich eine whole disk encryption wie auf einem Ubuntu/Mint Desktop Systemen üblich nutzen, das geht leider nicht ohne größere Probleme auf den Root-Servern um die es hier geht.

B) Welche Hardware ist vorhanden ?

Server mit AMD Opteron 6338P und 64 GB RAM

C) Welcher Algorithmus bei LUKS ?

blowfish-cbc-essiv:sha256 hatte ich in der Vergangenheit genutzt (da gab es mal eine Empfehlung). Hier habe ich mich aber noch nicht entschieden.

# cryptsetup benchmark 
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1       756548 iterations per second for 256-bit key
PBKDF2-sha256     987359 iterations per second for 256-bit key
PBKDF2-sha512     820482 iterations per second for 256-bit key
PBKDF2-ripemd160  438367 iterations per second for 256-bit key
PBKDF2-whirlpool  260580 iterations per second for 256-bit key
argon2i       4 iterations, 710117 memory, 4 parallel threads (CPUs) for 256-bit key (requested 2000 ms time)
argon2id      4 iterations, 691164 memory, 4 parallel threads (CPUs) for 256-bit key (requested 2000 ms time)
#     Algorithm |       Key |      Encryption |      Decryption
        aes-cbc        128b       396.3 MiB/s      1565.9 MiB/s
    serpent-cbc        128b               N/A               N/A
    twofish-cbc        128b       128.2 MiB/s       173.2 MiB/s
        aes-cbc        256b       303.6 MiB/s      1234.0 MiB/s
    serpent-cbc        256b               N/A               N/A
    twofish-cbc        256b       128.4 MiB/s       173.1 MiB/s
        aes-xts        256b       820.4 MiB/s       821.3 MiB/s
    serpent-xts        256b               N/A               N/A
    twofish-xts        256b       170.2 MiB/s       169.5 MiB/s
        aes-xts        512b       700.3 MiB/s       700.6 MiB/s
    serpent-xts        512b               N/A               N/A
    twofish-xts        512b       169.7 MiB/s       169.5 MiB/s
FrageLinuxDebian
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare