SSL/TLS, HTTPS, Salaus

Samankaltaiset tiedostot
Sertifikaatit. Sertifikaatti sisältää

WHOIS. Whois-järjestelmän tulevaisuus on epävarma, muuttunee tai ehkä korvataan kokonaan eri järjestelmällä.

xinetd service discard { = discard-stream

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Automounter (autofs)

nginx sudo add-apt-repository ppa:nginx/stable Jos add-apt-repository -komentoa ei löydy: apt-get install software-properties-common

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Kurssin verkkoalueet

Kurssin verkkoalueet

WL54AP2. Langattoman verkon laajennusohje WDS

Liityntäpalvelimen asentaminen

Esimerkki: monen partition muutos

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Esimerkki: levytilaongelma

Varmuuskopiointi: image

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Option GlobeSurfer III pikakäyttöopas

scp scp (Secure CoPy) kopioi tiedostoja etäkoneeseen: scp [optiot] tiedostot scp [optiot] kohde

Esimerkki: levytilaongelma

Titan SFTP -yhteys mittaustietoja varten

Selvitysraportti. MySQL serverin asennus Windows ympäristöön

Linux-virtuaalipalvelimen ylläpito

EMVHost Online SUBJECT: EMVHOST ONLINE CLIENT - AUTOMAATTISIIRROT COMPANY: EMVHost Online Client sovelluksen käyttöohje AUTHOR: DATE:

Kytkimet, reitittimet, palomuurit

Ohjeet vastaamiseen SFTP:llä. Yleistä Kirjautuminen Varmistus/sormenjälki Tiedostojen kopiointi Yhteystietojen antaminen

Liityntäpalvelimen liittäminen tuotantoympäristöön esuomi.fi

Kymenlaakson Kyläportaali

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

AXXION OY. Hosting-palvelut Asiakasohjeistus Versio 1.0

Varmennepalvelu - testipenkki. Kansallisen tulorekisterin perustamishanke

Unix-perusteet. Varmistaminen, tiedon pakkaaminen ja tiivistäminen

Liityntäpalvelimen asentaminen

TEHTÄVÄ 4: Microsoft Windows Deployment Services asennus ja hallinta

Turvallinen etäkäyttö Aaltoyliopistossa

Autentikoivan lähtevän postin palvelimen asetukset

Yleinen ohjeistus Linux tehtävään

Miksi ABLOY CLIQ etähallintajärjestelmä?

erasmartcard-kortinlukijaohjelmiston asennusohje (mpollux jää toiseksi kortinlukijaohjelmistoksi)

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti

Päivitys käyttäen USB-tikkua

TW-EAV510AC-LTE OpenVPN ohjeistus

Tikon Ostolaskujenkäsittely versio SP1

Visma Nova. Visma Nova ASP käyttö ja ohjeet

Suomi.fi-palveluväylä Liityntäpalvelimen asentaminen kehitysympäristöön liityttäessä (RHEL7)

erasmartcardkortinlukijaohjelmiston

Tikon Ostolaskujenkäsittely versio 6.2.0

Liityntäpalvelimen liittäminen testiympäristöön esuomi.fi

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Ohje digitaalisessa muodossa olevan aineiston siirtoon ja allekirjoittamiseen vaadittavien avainten muodostamisesta

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Tietoturvan perusteita

Windows Server 2012 asentaminen ja käyttöönotto, Serverin pyörittämisen takia tarvitaan

HAMINETTI WLAN LIITTYMÄN KÄYTTÖÖNOTTO-OHJE

Sähköpostitilin käyttöönotto

Esimerkki: monen partition muutos

TIETOKONEET JA VERKOT v.1.4

nginx Ubuntu tarjoaa useita asennuspaketteja:

Security server v6 installation requirements

HAME PostGIS-tietokanta

Julkisen verkon nimipalvelumuutokset (kun asiakkaalla ei ole ollut entuudestaan Lync tai Office Communicator palveluita)

DNSSec. Turvallisen internetin puolesta

Salaustekniikat. Kirja sivut: ( )

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

SSH Secure Shell & SSH File Transfer

HP ProBook 430 G5 kannettavien käyttöönotto

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Uuden palvelun lisääminen liityntäpalvelimelle esuomi.fi

LANGATON TAMPERE: CISCO WLAN CONTROLLER KONFIGUROINTI

WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY

Perustuu Tapani Tarvaisen TIES478-luentoon 2018

INTERBASE 5.0 PÄIVITYS VERSIOON 5.6

Salaus ja tietoturva teollisen internetin ratkaisuissa

Kuljetus/Sovelluskerroksen tietoturvaratkaisut

Tämän luennon aiheet. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. TLS:n turvaama HTTP. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Yleinen ohjeistus Windows tehtävään.

FuturaPlan. Järjestelmävaatimukset

Mark Summary Form. Tulospalvelu. Competitor No Competitor Name Member

Outlookin konfigurointi. Huoltamosähköposti Sonerahosted

OpenVPN LAN to LAN - yhteys kahden laitteen välille

Käytin tehtävän tekemiseen Xubuntu käyttöjärjestelmää aikaisemmin tekemältäni LiveUSB-tikulta.

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) ja Secure Shell (SSH)

Microsoft Outlook 2003 Automaattinen arkistointi

inodes Esimerkki: selvitetään missä /usr:n alihakemistoissa inodeja kuluu eli tiedostoja on paljon:

Linux-ylläpito: Verkkopalvelut. Jani Jaakkola

Liikkuvuuden mahdollistaminen ja tietoturvan parantaminen Aalto yliopiston langallisessa verkossa

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

TK Palvelinympäristö

TW- EAV510 / TW- EAV510 AC: OpenVPN

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

Security server v6 installation requirements

Versio 1.0 tammikuu Xerox Phaser 3635MFP Extensible Interface Platform (EIP)

Liityntäpalvelimen asentaminen kehitysympäristöön liityttäessä (Ubuntu) esuomi.fi

HUOM: Jos saat punaisen tekstin: Incorrect New Password. Kirjoitit salasanat eri tavalla. Yritä uudelleen

Sähköpostitilin käyttöönotto. Versio 2.0

WINDOWSIN ASENTAMINEN

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

file Opetettavissa omilla säännöillä tiedostossa /etc/magic -k tulosta kaikki useista mahdollisuuksista -L/-h seuraa/älä seuraa symbolisia linkkejä

Yleinen ohje LAITEYMPÄRISTÖ


Transkriptio:

SSL/TLS, HTTPS, Salaus

SSL/TLS SSL = Secure Sockets Layer TLS = Transport Layer Security TLS periaatteessa uusi versio SSL:stä, mutta usein molempia näkee kutsuttavan nimellä SSL Molemmilla protokollilla kaksi tarkoitusta: autentikointi ja salaus Autentikointiin ja salausavainten vaihtoon käytetään julkisen avaimen salausmenetelmiä, mutta liikenteen salaus toteutetaan symmetrisellä salauksella

SSL/TLS Käytetään palvelimen aitouden varmistamiseen, sekä harvemmin käyttäjän autentikoimiseen palvelimelle Autentikointi vaati sertifikaatin, jonka on kryptografisesti allekirjoittanut luotettava taho Itseallekirjoitettua sertifikaattia voi käyttää omien koneiden ja oman organisaation sisällä, tai muutenkin liikenteen salaukseen Selaimet kuitenkin varoittavat aggressiivisesti tuntemattomista sertifikaateista

SSL/TLS Otettaessa yhteys suojattuun palvelimeen asiakas (selain tms.) ensin tarkistaa sertifikaatin aitouden hallussaan olevalla myöntäjän julkisella avaimella ja sitten varmistaa palvelimen aitouden sertifikaatissa olevalla haltijan julkisella avaimella Vastaavasti asiakassertifikaattia käytettäessä palvelin tarkistaa sen hallussaan olevalla julkisella avaimella

Sertifikaatit Sertifikaatti sisältää: Tunnistetietoja, erityisesti DN (distinguished name, tässä yhteydessä domain-nimi), erilaisia osoitetietoja mukaanlukien yhteyssähköpostiosoite allekirjoitettuna sertifikaatin haltijan salaisella avaimella Haltijan julkisen avaimen, jota vastaavalla salaisella avaimella haltija voi todistaa sertifikaatin omakseen Sertifikaatin myöntäjän salaisella avaimella tehdyn allekirjoituksen, joka voidaan tarkistaa vastaavalla julkisella avaimella Vanhenemispäivän

Sertifikaatit Kaupalliset sertifikaatit maksavat ~10 /vuosi tai huomattavastikin enemmän, mutta tarjoavat lisänä esim. vakuutuksen tietomurtoja vastaan Luotetun sertifikaatin saa nykyään myös ilmaiseksi, ks https://letsencrypt.org Sertifikaatti voi olla yhdelle tai useammalle host-nimelle tai ns. wildcard-sertifikaatti koko alidomainille (esim. *.jyu.fi) Sertifikaatin käyttö edellyttää salaisen avaimen hallussapitoa. Jos avain kaapataan, kaappari voi esiintyä sen haltijana, kunnes se revokoidaan Myöntäjä ylläpitää listaa revokoiduista avaimista, jota käyttäjien tulisi seurata

Sertifikaatit Autentikointi edellyttää, että asiakas (selain, tms.) tuntee entuudestaan julkisen avaimen, jolla sertifikaatti on allekirjoitettu (tai avain, jolla on allekirjoitettu avain, jne ) Sertifikaattien myöntäjien pitää siis saada oma julkinen avaimensa kaikkiin yleisimpiin selaimiin, mikä yleensä maksaa Palvelimellakin tarvitaan myöntäjän julkinen avain. Nämä tulevat yleensä valmiina (ubuntussa /etc/ssl/certs/*ca.pem) ja mahdollisesti ketjutiedosto (jälleenmyyjän avain, jonka allekirjoittanut tukkukauppias )

Sertifikaatin muodostus Sertifikaatti luodaan seuraavasti: Hakija luo itselleen avainparin (julkisen ja salaisen avaimen) Hakija luo sertifikaattipyynnön (Certificate Signing Request), joka sisältää haltijan tunnistetiedot, sekä julkisen avaimen allekirjoitettuna salaisella avaimella Sertifikaatin myöntäjä (tarkistettuaan hakijan tiedot) allekirjoittaa CSR:n omalla salaisella avaimellaan ja luo siten siitä sertifikaatin (CRT) ja toimittaa sen hakijalle

CSR:n luonti Avainten ja sertifikaattien hallintaan käytetään komentorivityökalua openssl Oma avainpari luodaan tähän tapaan: openssl genpkey -algorithm RSA -out oma.pem -aes-256-cbc -pkeyopt rsa_keygen_bits:4096 Syntyneen avainparin salaisen avaimen (molemmat avaimet samassa tiedostossa) käyttäminen edellyttää passphrasen syöttämistä. Jos sitä ei haluta syöttää aina kun www-palvelin käynnistyy, luodaan siitä suojaamaton versio: openssl rsa -in oma.pem -out oma.key

CSR:n luonti Syntynyt tiedosto sisältää sekä salaisen että julkisen avaimen. Sillä voi nyt luoda CSR:n tähän tapaan: openssl req -new -key oma.key -out oma.csr CSR lähetetään sertifikaatin myöntäjälle (certificate authority, CA), joka palauttaa sitä vastaavan sertifikaatin (esim. oma.crt) Tiedostojen nimikonventiot ja muukin terminologia vaihtelevat, erityisesti *.pem ja *.key voivat sisältää milloin mitäkin Sertifikaattien myöntäjillä on yleensä myös web-työkaluja sertifikaattien käsittelyyn

Itseallekirjoittaminen Testaamiseen ja omien koneiden välisiin yhteyksiin voi käyttää itseallekirjoitettua sertifikaattia. Se tapahtuu yksinkertaisesti allekirjoittamalla luotu CSR omalla avaimella: openssl x509 -req -days 365 -in oma.csr -signkey oma.key -out oma.crt Allekirjoitusta varten voisi luoda eri avaimen (esim. yrityksen oman, jota vastaava julkinen avain sitten tallennettaisiin työntekijöiden koneisiin Ubuntun openssl-paketti luo asennettaessa itseallekirjoitetun snakeoil -sertifikaatin tiedostoihin /etc/ssl/private/ssl-cert-snakeoil.key ja /etc/ssl/certs/ssl-cert-snakeoil.pem

Itse allekirjoittaminen Avaimen ja sertifikaatin tallennuspaikka on periaatteessa vapaa, tässä Ubuntun oletus: cp oma.crt /etc/ssl/certs cp oma.key /etc/ssl/private chown root:ssl-cert /etc/ssl/private/oma.key chmod u=rw,g=r,o= /etc/ssl/private/oma.key

HTTPS https = http SSL:n/TLS:n yli Käyttää oletuksena porttia 443 Alun perin käytti vain IP:tä hostin määrittämiseen, jolloin virtualhostit eivät toimineet. Sitä varten kehitettiin laajennus SNI (Server Name Indication), jota kaikki uudemmat selaimet tukevat Käyttöönotto riippuu palvelinohjelmasta, mutta perusaskeleet samat

HTTPS:n käyttöönotto Hankitaan sertifikaatti ja tallennetaan se ja vastaava salainen avain sopiviin paikkoihin Lisäksi voidaan tarvita allekirjoitusketjutiedosto ohjelmasta riippuen em. tiedostoja voi joutua yhdistelemään eri tavoin Konfiguroidaan palvelinohjelma käyttämään https:ää (usein samantien pakko-ohjataan http-yhteydet https:ään) Avataan asianomaisiin palomuureihin reiät Päätetään, miten hoidetaan sertifikaatin uusiminen

Letsencrypt letsencrypt.org on ilmainen sertifikaattipalvelu, jonka käyttö on yritetty tehdä mahdollisimman helpoksi sertifikaattien automaattista uusimista myöten Käyttö edellyttää joko domainin nimipalveluun tai siellä olevan www-palvelimen juureen pääsyä; jälkimmäinen toimii vain jos nimipalvelu ei estä sitä CAA-tietueella (Certificate Authority Authorization), kuten esim. jyu.fi tekee Sertifikaatin luontia ja hallintaa varten EFF ylläpitää Certbot-pakettia, jolla letsencrypt-sertifikaatin saa luotua ja uusittua automaattisesti

Certbot Asennetaan certbot: https://certbot.eff.org/lets-encrypt/ubuntubionic-other sudo apt-get update sudo apt-get install software-properties-common sudo add-apt-repository universe sudo add-apt-repository ppa:certbot/certbot sudo apt-get update sudo apt-get install certbot

Lighttpd ja https Luodaan sertifikaatti (webroottia käytetään omistuksen todentamiseen): sudo certbot certonly --webroot -w /var/www/html -d tunnus.ties478.fun Sertifikaatti, avain ja ketjutiedosto löytyvät kansiosta /etc/letsencrypt/live/tunnus.ties478.fun Lighttpd vaatii sertifikaatin ja salaisen avaimen samassa tiedostossa: sudo su sh -c cat cert.pem privkey.pem > both.pem

Lighttpd ja https Lisätään konfiguraatioon /etc/lighttpd/lighttpd.conf: $SERVER[ socket ] == :443 { ssl.engine = enable ssl.ca-file = /etc/letsencrypt/live/tunnus1.ties478.fun/chain.pem ssl.pemfile = /etc/letsencrypt/live/tunnus1.ties478.fun/both.pem }

Lighttpd ja https Jos halutaan pakottaa kaikki liikenne käyttämään SSL:ää (suositeltavaa): $HTTP[ scheme ] == http { $HTTP[ host ] =~.* { url.redirect = (.* => https://%0$0 ) } }

Lighttpd ja https Lisäoptioita tietoturvan parantamiseksi (/etc/lighttpd/lighttpd.conf) (https://cipherli.st/ ): ssl.use-compression = "disable" #CRIME ssl.use-sslv2 = "disable" # Downgrade attack ssl.use-sslv3 = "disable" ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:AES128+EECDH:AES128+EDH # Vahvat salaukset ssl.dh-file = "/etc/ssl/certs/dhparam.pem" # Pidemmat Diffie-Hellman-avaimet ssl.ec-curve = "secp384r1" # tai "prime256v1" ssl.dh-file -kohta vaatii Diffie-Hellman -parametrien generoinnin: openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096

Lighttpd ja https Tietoa asetuksista eri palvelinohjelmille löytyy esimerkiksi osoitteesta https://cipherli.st/ Asetukset voi testata esimerkiksi osoitteessa https://www.ssllabs.com/ssltest/index.html

Lighttpd ja certbot Certbotin automaattinen päivitysskripti /etc/cron.d/certbot ei toimi lighttpd:n kanssa, koska sertifikaatti ja salainen avain pitää yhdistää samaan tiedostoon Voidaan korjata esimerkiksi lisäämällä jotain seuraavan kaltaista root:n crontabiin: @daily certbot renew && cat <certdir>/privkey.pem <certdir>/cert.pem > <certdir>/both.pem Sofistikoituneemman skriptin saa kopioimalla certbotin alkuperäisen crontabin ja lisäämällä loppuun tiedostojen yhdistämisen

Nginx ja letsencrypt Certbot tukee suoraan nginx:ää, joten sen käyttöönotto on suoraviivaisempaa kuin lighttpd:lle, ks. https://certbot.eff.org/lets-encrypt/ubuntubionic-nginx Certbot pystyy tekemään tarvittavat muutokset suoraan nginx:n konfiguraatioon ja sertifikaatin uusiminen toimii automaattisesti Asennettavana on certbotin lisäksi nginx-spesifi paketti: sudo apt install certbot python-certbot-nginx

Nginx ja https Tarvittavat asetukset konfiguraatioon (server {} -blokkiin): listen 443 ssl; ssl on; server_name example.org ssl_certificate /etc/nginx/ssl/example.crt ssl_certificate_key /etc/nginx/ssl/example.key Nginx:n kanssa siis sertifikaatti ja avain eri tiedostoissa

Nginx ja https Pakotetaan kaikki liikenne käyttämään SSL:ää. Lisätään http-blokkiin (jossa listen 80) sääntö tyyliin: return 301 https://$host$request_uri; certbot osaa tehdä tämänkin automaattisesti 80-portin voisi myös sulkea kokonaan, mutta tämä ei ehkä ole käyttäjäystävällistä

Nginx ja https Nginx:n http-konfiguraatiossa voi myös tehdä tietoturvaparannuksia (ohjeita löytyy samoista osoitteista https://cipherli.st ) ssl_session_timeout 5m; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2 ssl_ciphers ; ssl_prefer_server_ciphers on; Erityisesti ssl_protocols -rivi on suositeltava (poistaa käytöstä turvattomat protokollat

HTTPS ja proxyt Proxy-konfiguraatiossa (reverse-) proxyn pitää hoitaa SSL. Proxyn ja taustapalvelinten liikennettä ei yleensä tarvitse salata. Maailman ja proxyn välinen liikenne siis SSL-suojattua portin 443 kautta, proxyn ja taustapalvelinten välinen suojaamatonta portin 80 kautta, eikä taustapalvelinten välttämättä tarvitse tietää SSL:stä mitään

HTTPS ja proxyt Jos taustapalvelimessa pyörivän ohjelman pitää tietää käyttävänsä SSL:ää (esim. WordPress), sille pitää välittää tieto siitä lisäheaderillä (miten, riippuu palvelinohjelmasta): X-Forwarded-Proto: https (vanha, standardoimaton) Forwarded: proto= https (RFC 7239, ei kaikkialla tuettu) Ja kertoa siitä ohjelmalle, esim wp-config.php (WordPress): if($_server[ HTTP_X_FORWARDED_PROTO ] == https ){ $_SERVER[ HTTPS ] = on ; $_SERVER[ SERVER_PORT ] = 443; }

Levyjen salaus Voidaan salata koko levy, levyosio, tiedosto, LVM:n alla LV tai PV, RAID-pakka, jne. Yleisintä lienee salata LV tai osio Usein salataan kaikki paitsi /boot; VM-alustakoneessa voi jättää käyttöjärjestelmän salaamatta ja salata vain virtuaalikoneiden levyimaget tai niitä sisältävät tiedostojärjestelmät Myös swap pitää salata jos sitä käytetään Perustyökalu cryptsetup, yleisin käyttötapa LUKS Salausavain komentoriviltä tai tiedostosta

Cryptsetup Tehdään salattu /sala omana LV:nään: apt install cryptsetup lvcreate -n sala -L 1G vg_kone1 cryptsetup luksformat /dev/vg_kone1/sala cryptsetup luksopen /dev/vg_kone1/sala sala_crypt mkfs -t ext4 /dev/mapper/sala_crypt mkdir /sala mount /dev/mapper/sala_crypt /sala

Cryptsetup Salatun levyn sulkeminen : umount /sala cryptsetup close sala_crypt Salausavaimen lisäys vaihto, poisto: cryptsetup luksaddkey [options] /dev/kone1_vg/sala cryptsetup lukschangekey [--keyslot ] /dev/kone1_vg/sala cryptsetup luksremovekey [--keyslot ] /dev/kone1_vg/sala Viimeisen (ainoan) avaimen poisto tekee levystä käytännössä lukukelvottoman

Cryptsetup Käyttöönoton helpottamiseksi jatkossa laitetaan tiedostoon /etc/crypttab rivi sala_crypt /dev/kone1_vg/sala none luks Ja tiedostoon /etc/fstab: /dev/mapper/sala_crypt /sala ext4 defaults 0 0 Usein halutaan molempiin optio noauto, jotta koneen saisi bootattua ilman salattua osiota Salatun osion suurentaminen: lvextend -L+100M /dev/kone1_vg/sala # Huom. ei optiota -r cryptsetup resize sala_crypt resize2fs /dev/mapper/sala_crypt

RAID RAID (Redundant Array of Inexpensive Disks) on mekanismi, jolla useita (halpoja) levyjä yhdistämällä parannetaan turvaa levyvaurioiden varalta ja/tai levyjärjestelmän suorituskykyä Virtuaalikoneissa RAIDia ei yleensä käytetä, alustakoneissa kylläkin

RAID Useita tasoja, jotka eroavat vaurionsietokyvyn, nopeuden ja kapasiteetin suhteen, mm. RAID0: nopea, ei hukkaa levytilaa, ei suojaa mitään (yhden levyn särkyminen hukkaa kaiken) RAID1: eli peilaus, kaikki data joka levyllä, paras suoja, vie paljon tilaa, nopeuttaa vähän RAID5: nopea lukea, mutta hidas kirjoittaa, kohtalainen suoja (kestää yhden levyn särkymisen), vie vähän tilaa (yhden levyn per pakka) RAID6: nopea lukea, hidas kirjoittaa, hyvä suoja (kestää kahden levyn särkymisen), vie kohtalaisesti tilaa (kaksi levyä per pakka) RAID10 (tai 1+0): nopea sekä lukea että kirjoittaa, hyvä suoja (jopa puolet levyistä saa särkyä), vie paljon tilaa (puolet levyistä)

RAID Toteutus voi olla levyohjainkortin firmwaressa ( rautaraid ) tai käyttöjärjestelmätasolla ( softaraid ) LVM sisältää softaraid-toiminnallisuutta, mutta rajoitetusti, eikä sitä yleensä käytetä Linux-ympäristöissä Linuxin standardisoftaraid nykyisin on md, komentorivityökaluna mdadm

RAID md:n alla olevat levyt voivat olla myös levypartitioita, eivätkä vain kokonaisia levyjä md:n käytön voi todeta (pseudo)tiedostosta /proc/mdstat ja sen (bootti)konfiguraation tiedostosta /etc/mdadm/mdadm.conf Boottaaminen onnistuu md-pakalta ainakin raid1:n kanssa, edellyttää huolellisuutta grub-konfiguraation kanssa md:n alla levyt voi vaihtaa isompiinkin ja ottaa koko tilan käyttöön lennosta (ei yleensä onnistu rautaraidilla)

RAID + LVM + Salaus LVM:n kanssa yleensä tehdään RAID-pakoista PV:itä. Salaus voidaan tässä kuviossa tehdä monessa eri kohdassa: Salataan fyysiset levyt RAID:n alla Salataan RAID-pakat ja tehdään sen päälle PV:t Salataan PV:t ja niiden päälle VG Salataan LV salaamattoman VG:n sisällä Yleensä viimeksi mainittu on paras vaihtoehto (ja ensimmäinen yleensä järjetön) VM-alustakoneessa voitaisiin esimerkiksi tehdä salaamattomat LV:t alustakoneen /root, /home, jne. osioita varten, ja tehdä vm:ien levykuville oma LV, joka salattaisiin

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute