Ресурс Phoronix провел (http://www.phoronix.com/scan.php?page=article&item=ubuntu_11...) тестирование производительности использования в тестовой версии Ubuntu 11.10 функции шифрования содержимого домашней директории пользователя  при помощи eCryptfs. В большинстве тестов (FS-Mark, Post-Mark, Dbench) разница в производительности для шифрованного и нешифрованного раздела оказалась минимальной.

В тесте SQLite при шифровании наблюдалось замедление на 11%, а в тесте Flexible I/O Tester - на 12%. В тесте Threaded I/O Tester на компьютере с CPU Intel Core 2 Duo наблюдалось замедление при использовании шифрования на 11%, но на компьютере с CPU Core i5 ситуация изменилась и при шифровании скорость оказалась выше на 6%.

URL: http://www.phoronix.com/scan.php?page=article&item=ubuntu_11...
Новость: http://www.opennet.me/opennews/art.shtml?num=31756

• Оценка производительности функции шифрования домашней директ...,Zenitur, 22:21 , 14-Сен-11
  • Оценка производительности функции шифрования домашней директ...,pavlinux, 05:40 , 15-Сен-11
    • Оценка производительности функции шифрования домашней директ...,Аноним, 09:12 , 15-Сен-11
• Оценка производительности функции шифрования домашней директ...,Аноним, 23:08 , 14-Сен-11
  • Оценка производительности функции шифрования домашней директ...,гыгы, 23:12 , 14-Сен-11
  • Оценка производительности функции шифрования домашней директ...,grayich, 02:40 , 15-Сен-11
• Оценка производительности функции шифрования домашней директ...,Аноним, 23:13 , 14-Сен-11
  • Оценка производительности функции шифрования домашней директ...,Аноним, 00:19 , 15-Сен-11
    • Оценка производительности функции шифрования домашней директ...,Аноним, 00:20 , 15-Сен-11
  • Оценка производительности функции шифрования домашней директ...,vovans, 08:31 , 15-Сен-11
    • Оценка производительности функции шифрования домашней директ...,Аноним, 20:27 , 15-Сен-11
      • Оценка производительности функции шифрования домашней директ...,Frank, 18:25 , 03-Окт-11
• Оценка производительности функции шифрования домашней директ...,the joker, 08:19 , 15-Сен-11
  • Оценка производительности функции шифрования домашней директ...,ааноним, 08:52 , 15-Сен-11
    • Оценка производительности функции шифрования домашней директ...,the joker, 15:39 , 15-Сен-11
      • Оценка производительности функции шифрования домашней директ...,Аноним, 20:21 , 15-Сен-11
  • Оценка производительности функции шифрования домашней директ...,Аноним, 09:14 , 15-Сен-11
    • Оценка производительности функции шифрования домашней директ...,Аноним, 14:41 , 15-Сен-11
      • Оценка производительности функции шифрования домашней директ...,Аноним, 20:31 , 15-Сен-11
        • Оценка производительности функции шифрования домашней директ...,Аноним, 22:48 , 19-Сен-11
• Оценка производительности функции шифрования домашней директ...,light, 09:14 , 15-Сен-11
  • Оценка производительности функции шифрования домашней директ...,ABATAPA, 10:22 , 15-Сен-11
    • Оценка производительности функции шифрования домашней директ...,аноним5, 11:47 , 15-Сен-11
      • Оценка производительности функции шифрования домашней директ...,Аноним, 14:37 , 15-Сен-11
        • Оценка производительности функции шифрования домашней директ...,Аноним, 14:38 , 15-Сен-11
        • Оценка производительности функции шифрования домашней директ...,light, 21:41 , 15-Сен-11
          • Оценка производительности функции шифрования домашней директ...,Аноним, 22:09 , 15-Сен-11
          • Оценка производительности функции шифрования домашней директ...,Аноним, 22:10 , 15-Сен-11
  • Оценка производительности функции шифрования домашней директ...,dry, 17:05 , 15-Сен-11
    • Оценка производительности функции шифрования домашней директ...,anonymous, 21:45 , 15-Сен-11
      • Оценка производительности функции шифрования домашней директ...,Аноним, 22:06 , 15-Сен-11
    • Оценка производительности функции шифрования домашней директ...,Аноним, 22:07 , 15-Сен-11
• Оценка производительности функции шифрования домашней директ...,dry, 16:58 , 15-Сен-11

В openSuSE как включить?

Yast2 -> System -> Partitioner -> Expert Partitioner ->
Crypt Files ->  Add Crypt File -> Create Loop File ->
бла-бла-бла -> Mount point [ /home/user/TOPSECRET ]  ->
Password -> FINISH

---

http://doc.opensuse.org/products/opensuse/openSUSE/opensuse-...

Да и вообще, вся книжка полезная
http://doc.opensuse.org/products/opensuse/openSUSE/opensuse-...

[оскорбление пользователей Ubuntu вырезано модератором]

здесь часть на русском есть

http://doc.xboct.org/html/book.security.html

отказался от ecryptfs в Lucid из-за многочисленных глюков, которые разработчики отказываются чинить. Перешел на dm-crypt и cryptsetup

какие именно глюки? юзаю и не вижу проблем...

обычно шифровать весь /home не нужно, а лишь малую часть данных
для этого создал шифрованный каталог и пользую его, удобно... использую софтину cryptkeeper

Как мне кажется, без криптованного /tmp, swap и пр. смысла в шифровании домашней папки особого нет.

/tmp нынче можно в tmpfs держать, как и /run. А корень, своп и хомяк можно запихать на LVM, шифрованный через LUKS, например.

> /tmp нынче можно в tmpfs держать, как и /run

s/можно/модно/

это вы от ФБР шифруетесь? ))

Ото всех, в том числе и от них. Если ФБР может что-то вскрыть то и остальные смогут в общем то. А в свопе найти свой пароль открытым текстом - не проблема, кстати.

Своп-то вам нафига? Если вас так печёт безопасность, то память сейчас стоит 20 уёв за 4 гига одной пластиной, и своп ненужен.

> на компьютере с CPU Core i5 ситуация изменилась
> и при шифровании скорость оказалась выше на 6%.

Ы... это вообще как?

на Core 2 Duo падение было на 11%, т.е. на Core i5 составило 5% :)

> на Core 2 Duo падение было на 11%, т.е. на Core i5
> составило 5% :)

Хаха, так и написали бы, а то выглядит как "зашифрованная директория работает на 6% быстрее незашифрованной".

>Хаха, так и написали бы, а то выглядит как "зашифрованная директория работает на 6% быстрее незашифрованной".

У фороникса - запросто.

в core i* аппаратная поддержка AES

В РФ это счастье простым потребителям не грозит - ввоз компов с разлоченным AES запрещен.

> В РФ это счастье простым потребителям не грозит - ввоз компов с
> разлоченным AES запрещен.

Интересно, с чем связан данный маразм? Боятся закладок в интелских чипах, и давит жаба что свои закладки впихать не дали? Вообще аппаратному шифрованию и AES я бы не сильно доверял. как-то очень уж легко янки допустили столь быструю шифровалку на экспорт.

Но что больше всего не понятно - программу шифрующую aes'ом можно на коленке написать за 10 минут. Какой физический смысл запрета этой инструкции проца? Кроме бюрократического идиотизма?

Вопрос вам на засыпку: сколько официальных криптопровайдеров в РФ? Правильно, один - КриптоПро. Этот КриптоПровайдер специально для ФСБ встраивает бекдоры в свою реализацию ГОСТ 28147-89, чтоб те могли в любой момент расшифровать любого зашифрованного по ГОСТу. А на AES от Интеля у них нету бекдоров, вот и не годуют. Изымут такой комп, а там AES, и что с ним делать? Потому и запретили. Кстати, есть версия, что именно по этой же причине сдерживается внедрение IPv6 в РФ, там IPsec шифруется AES`ом

линухи до сих пор не любят когда их внезапно выдергивают из розетки - несмотря на "журналируемые ФС" на диске возникают "ошибки" из за которых то криптосвап не цепляется (а линух при этом вообще не грузится) то сам хомяк отваливается, который потом после "лечения" диска приходится монтировать вручную

закриптованный хомяк непонятно как заставить цепляцца автоматически, если сменен пароль пользователя

> линухи до сих пор не любят когда их внезапно выдергивают из розетки

Фантастику какую-то рассказываете...

PS: Вспоминаются далекие 90ые, самая их середина... Был в неком гос. финансовом учреждении в СПб сервер... Под SCO Unix... На котором крутилось ВСЁ. И в течение года админа не было (то ли денег не было, то ли тогда с кадрами было по-другому, не как сейчас - каждый школьник "сисадмин"). Пароля root'а не знал никто. Сервер каждый день выключался... Отключением питания (не на корпусе). А каждое утро человек приходил на 15 минут раньше и включал его... И жили как-то...

>Фантастику какую-то рассказываете...

Поработай с годик на рабочей станции под линуксом (не на домашнем писюке с фильмами, музычкой и читалкой инета), и не такое будешь рассказывать.

> Поработай с годик на рабочей станции под линуксом (не на домашнем писюке с фильмами,
> музычкой и читалкой инета), и не такое будешь рассказывать.

1.  На одной из машин (раритет) блок питания хреновый - даже при еле-заметном скачке напряжения система вырубается. После загрузки проверка и работаем дальше. Сколько этих отключении было - не сосчитать. Структура: boot и tmp на Ext2 (ro), остальное на ext4 (rw).
2.  Я однажды сделал дурость (было давно и по неопытности) и запустил-таки fsck на смонтированной файловой системе. Благо на разделе с всякой вроде мультимедия контента. Вы, видимо, регулярно такие вещи творите.

> ... Структура: boot и tmp на Ext2 (ro), остальное на ext4 (rw).

Поправка: boot - ro, tmp - rw  :)

> 2.  Я однажды сделал дурость (было давно и по неопытности) и
> запустил-таки fsck на смонтированной файловой системе. Благо на разделе с всякой
> вроде мультимедия контента. Вы, видимо, регулярно такие вещи творите.

само запускается, не пойму как... то есть, вы предлагаете fsck отключить, не запускать и все будет в шоколаде? что то не верится
чаще всего от этого у меня страдает убунту сервер

> само запускается, не пойму как... то есть, вы предлагаете fsck отключить, не
> запускать и все будет в шоколаде? что то не верится

Вы вообще понимаете, в чем разница между смонтированной и несмонтированной файловой системой?

> чаще всего от этого у меня страдает убунту сервер

Так бы сразу и сказали. А то линукс, линукс.
В убунту напихана куча левых патчей, многие из которых серьезно ухудшают стабильность. Выбирали сами - теперь не жалуйтесь.

Я знаю только одну такую файловую систему. XFS при всех своих плюсах и заявленой
журналируемости может с некоторой вероятностью начать рассыпаться, если на ходу обрубить
питание. Сам сталкивался неоднократно. Малоизвестный, но факт. Ее можно использовать только
с обязательной подпоркой в виде UPS.

Ext3,4 (и даже ext2, с тем лишь отличием, что проверка целостности там занимает существенно больше времени) такой фигней не страдают.

Использовать весь зоопарк FS на свой страх и риск никто не запрещает,
но трепаться после за "все" файловые системы не надо.

>Я знаю только одну такую файловую систему. XFS при всех своих плюсах и заявленой

журналируемости может с некоторой вероятностью начать рассыпаться, если на ходу обрубить
питание. Сам сталкивался неоднократно. Малоизвестный, но факт. Ее можно использовать только
с обязательной подпоркой в виде UPS.

Ничего себе малоизвестный! Да это не баг а фича, Солрис делался под топовое элитное железо с обязятельными аппаратными трюками для защиты от сбоев, всякие военные медицинские области применения, за что и требовали бешеные деньги. В нашем среднем железе такого нет вот и дает о себе знать то что заложено в основу. При переносе на линукс они говорили что постепенно перепишут с учетом что аппаратура может крякнуться в больших местах, но чудя по практике не очень им это удалось.

>Ничего себе малоизвестный! Да это не баг а фича, Солрис делался под топовое элитное железо

Мы сейчас о чем говорим? Мне казалось, что про XFS, который вообще-то изначально был под IRIX.

> Я знаю только одну такую файловую систему. XFS при всех своих плюсах и заявленой журналируемости может с некоторой вероятностью начать рассыпаться, если на ходу обрубить  питание. Сам сталкивался неоднократно.

Интересно, как вы этого добились? Наверное, из-за сбоев в питании накрылся винт.
Уж чем-чем, а холодным ребутом XFS не убить. Открытые на запись файлы - это да, но не метаданные.

> но на компьютере с CPU Core i5 ситуация изменилась и при шифровании
> скорость оказалась выше на 6%.

Получение таких данных говорит о том, что погрешность измерения > 6%