Мало ли. Вдруг маски шоу

А там бухалтерия чорная и архивы цп

Мало ли. Вдруг маски шоу

от ТРК не спасет

от ТРК не спасет

Спасет)

Спасет)

риальне?

А там бухалтерия чорная и архивы цп

Бухгалтерию и цп свое шифруй внутри виртуалок, а остальное так оставь)

Бухгалтерию и цп свое шифруй внутри виртуалок, а остальное так оставь)

Ну щас так. Неудобно

Парольчики при ребуте вводить

Бухгалтерию и цп свое шифруй внутри виртуалок, а остальное так оставь)

И дискард не работает

мне интересен механизм гарантированного секрета

мне интересен механизм гарантированного секрета

TPM

Терморектальный криптоанализатор взламывает любой шифр за пять минут. Причем три минуты тратишь на разогрев

Заебали

Есть чо по существу ?

=D

Заебали

Чот да. Сколько учился и работал, столько и слышал об этом разговоры.

Есть чо по существу ?

Ну смари, ты хочешь dm-crypt и шифровать осд целиком таким макаром,так?

Да

Но в идеале пообьектно

Хотя нет. Пообьектно не надо

Но в идеале пообьектно

Ты чот совсем уж поролся)

Вообще интересно поглядеть как люди делают)

Да

где ты собираешься хранить ключ\пассфразу?

Вот о чем и спрашиваю

Нодов поштучно. Чо б вручную не вводить при буте

Кароч как сделать-то ?

Кароч как сделать-то ?

Ну, судя по тому что никто не ответил, готовый ответ тебе не дадут.

Мне говном кажется идея ключи хранить на бумажке\в голове и руками вводить.

Но если на всех серверах TPM есть, можно красиво сделать. Только тут уже вопрос доверия к TPM)

Но если на всех серверах TPM есть, можно красиво сделать. Только тут уже вопрос доверия к TPM)

Тпм не защищает от пиздинга сервера целиком

Тпм не защищает от пиздинга сервера целиком

А dmcrypt не защищает от извлечения ключа из оперативки. Даже отработанная методика есть. Охладить, извлечь, быстро переставить в технический комп, сдампить содержимое памяти целиком.)

Если можно сделать дамп памяти ничего не поможет

Если можно сделать дамп памяти ничего не поможет

Есть патчи для ядра которые ключ в неиспользуемых регистрах процессора хранят.

ладно, закончили) сейчас почищу ветку

ладно, закончили) сейчас почищу ветку

А по делу то можно про шифрование?

А по делу то можно про шифрование?

внутри виртуалки имхо

безопасность это всегда компромис между безопасностью и удобством

А по делу то можно про шифрование?

Аппаратное шифрование рулит, через контроллер

однозначно внутри виртуалок шифровать

через контроллер шифрование, ни от чего не защищает, кроме вынимания диска/дисков

ну тут люди, вон от маскишоу шифруются )

мы сами тут планируем шифрованием бекапов на S3, с помощью самого клиента.

Да ладно, мне кажется, OSD шифровать тоже неплохая история, если с умом делать. Я бы хранил данные в EC пулах при таком раскладе и использовал бы в идеале для каждого OSD свой ключ, но можно и по одному на каждый OSD хост для простоты. При такой петрушке нужно будет все ключи добыть чтобы гарантированно извлечь нужные данные. Но это паранойя уже, конечно)

не ну заканчиваем отклонятся от темы)

Я против шифрования ceph

вы заставляете включать вахтера, а я таки это не люблю

вы заставляете включать вахтера, а я таки это не люблю

не включай и всем будет счастье.

наркомания в @cloud_flood или если не тяжелая @cloud_ru

наркомания в @cloud_flood или если не тяжелая @cloud_ru

А разве ceph+шифрование и разговоры о безопастности это не в тему?

А разве ceph+шифрование и разговоры о безопастности это не в тему?

ну разговоры о паяльникке точно не в тему)

темболее ветку про ceph+ шифрование я оставил

ак потом и получаются "вырезки" из контекста )

наркомания в @cloud_flood или если не тяжелая @cloud_ru

там чистяков с синдромом шапы

ак потом и получаются "вырезки" из контекста )

я вроде аккуратно)

там из всей ветки три ответа можно вынести: "не шифруй, шифруй в вм, наркоман чтоле?!"

Вовремя я на шифрование ceph съехал

а, еще шифруй OSD

а, еще шифруй OSD

шифры тоже шифруй

и все диски в luks

Нодов поштучно. Чо б вручную не вводить при буте

Тогда тебя тут же возьмут за задницу. Здесь техническая сторона дела вторична. Не знаю, как остальные, а я пару раз наблюдал, как работают оперативники. Эти люди знают, куда идут, зачем идут, что им делать и кого брать.

Поэтому никаких паролей в голове.

В одной большой (да что там, лидере рынка, хехе) организации в годы оны было организовано так: ноут с ключами в секретной комнате. Пока ноут не воткнёшь - все критические сервисы посасывают. В случае визита ноут просто расхреначивался молотком.

Я это к чему: если ты не продумаешь саму методику, цена твоему шифрованию будет ноль, сколь изящно не реализуй его технически.

Парни, никто из вас не находил табличку с erase block size для разных ssd? Мне бы для моих самсунгов 950 Pro.

с праздником!

Прекрати

Во всех чатах одни и теже

Спасибо, всех с празником

Админы что ли?

нет конечно 😄

я маску на стройке нашел)

Во всех чатах одни и теже

Это вы про себя вероятно. Поздравление с праздником, это позитивно и препятствовать этому не красиво (или не культурно)

Где праздник? И у кого? Что позитивного в этом? Кто препятствует?

Ответы на все вопросы очевидны.

Ответы на все вопросы очевидны.

+1

# ceph -s health HEALTH_OK

вот он - лучший подарок :)

вот он - лучший подарок :)

cluster 87113e72-2660-47e1-8629-2141ee373035 health HEALTH_WARN 2 pgs stuck unclean recovery 224/3440078 objects misplaced (0.007%)

health HEALTH_WARN crush map has legacy tunables (require argonaut, min is firefly) crush map has straw_calc_version=0