Metall vs. RS

    Zitat von aRaphael

    munin zeigt das ja auch täglich und aktualisiert alle 5 Minuten.

    Aber das macht ja auch keinen Unterschied. Ich kann ja nicht permanent mit fio testen. ;) Ich mache nur alle paar Stunden mal einen kurzen Test.

    Für ein permanentes Monitoring der Festplattenperformance (ohne diese über Gebühr zu strapazieren) bräuchte es andere Methoden. Deshalb ja meine Frage, wie ihr das feststellt.

    Bei mir habe ich unter AlmaLinux und unter Debian das Paket sysstat installiert, welches alle 10 Minuten alle wichtigen Parameter inkl. dem IO prüft.

    Anschließend kann ich dann bei Bedarf mit dem Befehl dann Tageweise mal schauen, ob einer der Parameter Ressourcenengpässe anzeigt.


    Eventuell kannst du die Daten, die vom Paket sysstat erzeugt werden und dem Anwender mit dem Befehl sar bzw. sar -1 oder sar -n zur Verfügung gestellt werden auch mit deinem Tool munin einlesen und als Graf darstellen lassen.

    Denn der Dienst sysstat läuft ja wie auch der SSH-Dienst im Hintergrund ohne dabei das System ohne über Gebühr zu strapazieren.

    Zitat von frank_m

    Ich kann solche Probleme bislang auch nicht nachvollziehen. Was ich aber festgestellt habe: Mit der Zeit nimmt die Performance der Massenspeicher ab, und eine Optimierung im SCP wirkt dann wunder. Vor allem, wenn man mal einen Snapshot erstellt hat.


    Ist euer Speicher im optimierten Zustand? Nicht zu voll, regelmäßig im SCP gewartet, keine Snapshots etc. abgelegt?

    Das habe ich bei mir (so ähnlich) auch festgestellt. Ich habe allerdings den Schluss daraus gezogen, dass die Hosts z. B. bei der BF-Aktion zu Beginn nicht sehr belastet sind und nach einigen Wochen/Monaten mehr genutzt werden -> Dadurch könnte die individuelle Performance ja auch sinken.


    Optimierung + Löschen von Snapshots + Umstellen zwischen SCSI und virtio hat bei mir keinen Unterschied gemacht.

    (Aber alle meine Server hatten zu Beginn eine sehr gute IO-Performance. Teilweise sogar über 100 MiB/s bei den ganz kleinen Kisten.)

    Zitat von frank_m

    ...und eine Optimierung im SCP wirkt dann wunder. Vor allem, wenn man mal einen Snapshot erstellt hat.


    Ist euer Speicher im optimierten Zustand? Nicht zu voll, regelmäßig im SCP gewartet, keine Snapshots etc. abgelegt?

    Ja, erst vor einigen Tagen optimiert (mach ich gelegentlich, habe ich auch öfters vorher schon gemacht, bringt leider nix; keine Snapshots). Das Fehlerbild ist gleich zwischen SCSI und VirtIO (bin von SCSI auf VirtIO mit Neuinstallation gewechselt, da ich mir eine Problembehebung versprach -> nicht eingetreten. Und das Fehlerbild ist gleich zwischen Windows Server 2019 und 2022.


    Das Witzige: wenn die Auslastung nicht bei 100% ist, sind die Übertragungsraten gut und anders herum.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Einmal editiert, zuletzt von TBT ()

    Zitat von cltrmx

    (Aber alle meine Server hatten zu Beginn eine sehr gute IO-Performance. Teilweise sogar über 100 MiB/s bei den ganz kleinen Kisten.)

    Same. Rund 200-250 Mbytes/s beim RS 8k.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Gefällt mir 1
    Zitat von cltrmx

    Die Verschlüsselung bringt auch etwas, wenn jemand nicht ohne Weiteres auf den RAM zugreifen kann. Mir ist bewusst, dass es technisch möglich ist, den Key aus dem RAM auszulesen - in der Praxis dürfte das aber **deutlich** komplizierter sein als einfach direkt auf die (nicht verschlüsselte) Platte zuzugreifen oder ein Image/Dump davon zu ziehen.

    Daher ja auch meine Frage, was genau Sinn und Zweck der Verschlüsselung sein soll, denn es gibt ja im Grunde nur 2 Szenarien.

    Einmal ein Angriff von draußen, wo die Verschlüsselung nichts bringt weil der Angreifer bei Erfolg ja dann auf das entschlüsselte System zugreifen würde und

    zum anderen ein Zugriff aus dem Rechenzentrum direkt, also physisch.

    Hier mach ich dann anstelle des Festplattendumps halt einfach noch ein RAM Dump und die Sache hat sich für dich erledigt mit der Verschlüsselung.


    Komplizierter mag es für dich sein, aber nicht für jemanden der das immer wieder macht, denn es ist ja wirklich sehr easy wenn man die entsprechenden Dumps hat.

    Insofern bringt die Verschlüsselung eines nicht selbst gehosteten Servers keinerlei Sicherheitsrelevanten Vorteile.

    Selbst bei der Passworteingabe via KVM Konsole könnte das Passwort schon im Klarttext abgegriffen werden unter Umständen [also vom Hoster].


    Den einzigen Vorteil den ich sehe, ist dass ein Mitarbeiter nicht ohne weiteres einfach mal durch die Daten schnüffeln kann, wobei auch das kein allzugroßes Problem darstellen würde wenn man einfach ein kurzes Abbild macht und die Keys ausliest...

    Zitat von christianr

    Daher ja auch meine Frage, was genau Sinn und Zweck der Verschlüsselung sein soll, denn es gibt ja im Grunde nur 2 Szenarien.

    Einmal ein Angriff von draußen, wo die Verschlüsselung nichts bringt weil der Angreifer bei Erfolg ja dann auf das entschlüsselte System zugreifen würde und

    zum anderen ein Zugriff aus dem Rechenzentrum direkt, also physisch.

    Hier mach ich dann anstelle des Festplattendumps halt einfach noch ein RAM Dump und die Sache hat sich für dich erledigt mit der Verschlüsselung.

    Im Grunde genommen das: Es macht mir praktisch (fast) keinen Mehraufwand, die Performance ist nahezu identisch und es macht es für potentielle Angreifer, die an ein Diskimage kommen, zumindest etwas schwieriger. Natürlich hast du Recht, dass es keine absolute Sicherheit erzeugt!


    Zitat von christianr

    Insofern bringt die Verschlüsselung eines nicht selbst gehosteten Servers keinerlei Sicherheitsrelevanten Vorteile.

    Ich frage noch einmal: Was ist für dich ein "selbst gehosteter Server"?

    Zitat von christianr

    Selbst bei der Passworteingabe via KVM Konsole könnte das Passwort schon im Klarttext abgegriffen werden unter Umständen [also vom Hoster].

    Das Volume wird (zumindest bei mir) über einen verschlüsselten SSH-Tunnel beim Booten freigeschaltet. Da ist mit "im Browser" oder "in der KVM Konsole" mitschneiden nicht viel.


    Zitat von christianr

    Den einzigen Vorteil den ich sehe, ist dass ein Mitarbeiter nicht ohne weiteres einfach mal durch die Daten schnüffeln kann, wobei auch das kein allzugroßes Problem darstellen würde wenn man einfach ein kurzes Abbild macht und die Keys ausliest...

    Na also, da ist er schon der (wenn auch geringe) Mehrwert an Sicherheit :).

    Zitat von aRaphael

    Aber das macht ja auch keinen Unterschied. Ich kann ja nicht permanent mit fio testen.;) Ich mache nur alle paar Stunden mal einen kurzen Test.

    Für ein permanentes, engmaschiges Monitoring der Festplattenperformance (ohne diese über Gebühr zu strapazieren) bräuchte es andere Methoden.

    btw.

    Für letztes ist mein fio-Monitorung im Übrigen auch gar nicht gedacht (und auch nicht brauchbar), sondern nur um mittelfristige Veränderungen zu sehen und evtl. reagieren zu können. Beispiel:

    pasted-from-clipboard.png

    Zitat von cltrmx

    Natürlich hast du Recht, dass es keine absolute Sicherheit erzeugt!

    Da hast du mich dann missverstanden. Ich sage nicht, dass es keine absolute Sicherheit erzeugt, sondern dass es absolut keine Sicherheit erzeugt und sinnfrei ist ;D

    Und ich denke, dass das auch die meisten Leute die sich auskennen so sehen, denn die wenigsten Leute die Server betreuen, welche sich zum größten Teil sehr viel besser auskennen wie ich, verschlüsseln die Server nicht, genau aus dem genannten Grund.

    DIskimages kann ich auch lokal verschlüsselt speichern, denn den lokalen Rechner zu verschlüsseln macht natürlich sehr wohl Sinn.

    Zitat von frank_m

    Das ist auffällig. Hast du da mal weiter untersucht? Vielleicht wird der Grund dafür nicht extern verursacht?

    Ich kann da imho nichts weiter untersuchen. Sind die gleichen Prozesse, die gleichen Vorgänge. Mitunter laufen sie schnell und mit <100% Aktivität und manchmal (immer öfter bzw. regelmäßig) mit 100% und 0Mbytes/s.

    Zitat von aRaphael

    Oder vielleicht ist es gar nicht die Platte, die schwächelt, sondern die Prozesse, die auf die Platte zugreifen wollen, werden ausgebremst, weil das System unter Volllast läuft?

    Zumindest meine CPUs, RAM etc. sind weit weit von Vollast entfernt. Es geht wirklich in erster Linie um Massenspeicher-IO und Bandbreite ohne sonstige großartige Ressourcenlast.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Zitat von christianr

    Festplattendumps halt einfach noch ein RAM Dump

    Und deshalb gibt es SME/SEV/TME, für vollständige RAM-Verschlüsselung, auch mit Schlüssel per (hardware unterstützter) VM. Dann bleibt dir nur noch den Key beim hochfahren ab zu greifen, was nochmal wesentlich aufwändiger ist. (Edit: Auch grad nicht sicher, AFAIK kannst du das auch einfach nur für den Priv-Key der Hardware-Entschlüsselung hinterlegen, dann ist auch da schluss. Ist dafür gedacht dass du dem Host nicht trauen musst.)

    Macht Sinn, wenn du garantieren willst dass es nicht in Netcups Verantwortung liegt dass keiner deine Kundendaten lesen kann, falls es zum Breach kommt. Das heißt: Wenn irgendwo Festplatten / SSDs ausgemustert werden, kann es dir egal sein ob da irgendwas im Prozess schief geht, deine Daten sind nicht Lesbar. Gleiches für Backups oder eventuelle Insider-Angriffe. Natürlich hofft man nie auf so etwas, aber angenommen ich habe hier wirklich Kundendaten drauf, dann kann es mir das Wert sein, zumal der Overhead minimal sein sollte.

    Zitat von christianr

    Da hast du mich dann missverstanden. Ich sage nicht, dass es keine absolute Sicherheit erzeugt, sondern dass es absolut keine Sicherheit erzeugt und sinnfrei ist ;D

    Ich bleibe dabei: Ein verschlüsseltes Systemvolume bringt (zumindest eine geringfügig) höhere Sicherheit als gar keine Verschlüsselung. In meinem Bekanntenkreis sind viele Menschen, die grundsätzlich ihre Linux-Systeme mit LUKS verschlüsseln. In einem weiteren Kommentar hier über mir wurde ja schon aufgezeigt, dass man so die Verantwortung vom Provider zumindest etwas wegnehmen kann.

    Zitat von TBT

    Sind die gleichen Prozesse, die gleichen Vorgänge. Mitunter laufen sie schnell und mit <100% Aktivität und manchmal (immer öfter bzw. regelmäßig) mit 100% und 0Mbytes/s.

    Du könntest z.B. die Zugriffe abbrechen und schauen, wie sich der Massenspeicher ohne diese Prozesse verhält. Es ist ja durchaus möglich, dass sich die Prozesse gegenseitig blockieren. Vielleicht hilft eine zeitliche Entzerrung? Wenn man wüsste, was genau das fürProzesse sind, dann würden vermutlich noch viele Dinge auffallen, die man untersuchen könnte, oder mit denen man die Situation verbessern könnte.

    Zitat von cltrmx

    Ein verschlüsseltes Systemvolume bringt (zumindest eine geringfügig) höhere Sicherheit als gar keine Verschlüsselung.

    Nicht bei Servern, welche 24/7 Online sind, und damit die Verschlüsselung ad absurdum geführt ist; ;)

    bei Benutzer-End-Geräten [meist mobile Devices wie Notebooks, Phones, Tablets] auf jeden Fall;

    bei Desktops/PCs je nachdem

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Einmal editiert, zuletzt von mainziman ()

    Zitat von aRaphael

    Seitdem ich mal alle Daten auf einem Bitlocker-Laufwerk abschreiben musste, weil sich das Teil partout nicht mehr entschlüsseln lassen wollte, mache ich einen großen Bogen um Laufwerksverschlüsselungen.

    Bitlocker ist keine Laufwerksverschlüsselung!