LVM-Verschlüsselung + Virtualisierung (VirtaulBox oder KVM)

[brodian]

Ich plane, mir einen X220 oder T420 zuzulegen. Dort möchte ich die gesamte Platte (LVM) unter Debian Wheezy verschlüsseln und statt Dual-Boot eine Virtualisierung nutzen (VirtualBox oder KVM).

Z.Z. betreibe ich unter Debian Wheezy auf einem AMD Phenom XII Desktop mit 4 GB Ram und einer normalen HDD Virtualbox. Das dort laufende Windows XP mit Word läuft manchmal sehr, sehr zäh (Linux und VM je ein Kern, Linux 3GB Ram, VM 1GB Ram). Mit KVM habe ich noch keine Erfahrungen.

Können die beiden obigen TPs das leisten? Reicht vielleicht schon ein i5 aber mit 8GB Ram und einer Intel SSD? Oder läuft das zwar, aber der Lüfter versauert einem mit seinem Hubschrauberlärm das Arbeiten? Ach ja, ausgesprochen rechenintensive Arbeiten plane ich nicht.

MfG

 

[cuco]

Die können das leisten - und zwar deutlich besser als dein jetziges weil a) deutlich mehr Leistung und b) weil sie spezielle Virtualisierungserweiterungen haben!

Wenn ich das gerade richtig im Kopf habe, kannst du KVM ganz genau so benutzen wie QEMU. Die Befehlszeilen sind alle absolut gleich, nur dass du eben immer den Befehl qemu durch kvm ersetzt, damit er die kompletten Vorteile von KVM und der Virtualisierungserweiterungen nutzen kannst.

Alternativ läuft Standardsoftware wie Word glaube ich auch ziemlich gut unter Wine.

 

[brodian]

@cuco: "Die können das leisten... weil a) deutlich mehr Leistung..."

Mein AMD Phenom II X2 550 liegt aber bei 3,1 GHz. Während der i5 2520M "nur" bei 2,5 GHz liegt. Oder bringen die beiden Threads pro Kern eine deutlich bessere Aufgabenverteilung bei der Virtualisierung mit sich? Vielleicht schluckt mein KDE 4.6 auch einige Ressourcen und nun ja, der verbleibende Ram ist nicht gerade üppig.

Michael Kofler meint in seiner Ausgabe "Linux 2012", dass KVM gegenüber Virtualbox keine Geschwindigkeitsvorteile brächte - eher im Gegenteil. So dass er KVM nur mehr für den Servergebrauch empfiehlt.

Viele Grüße, Brodian.

 

[cuco]

Moin

Erstens: Gigahertz sagt lange nicht alles... Mein Pentium 4 hatte auch 3GHz, übertatktet sogar 3,4 GHz. Und trotzdem ist der Core i7 2600 auf im Betrieb mit nur einem einzigen Kern um ein mehrfaches schneller. Das hängt von der Art der Architektur ab. Das hat AMD damals erkannt und seine Prozessoren ja plötzlich "Athlon 3000+" genannt, obwohl der Prozessor nur 2,4GHz hatte und wollte damit aussagen, dass der Prozessor so schnell wie ein Duron mit 3GHz rechnet, trotz geringerer Taktrate. Und mit den Intel Pentium 4 konnte man diese Pseudozahl je nach Anwendung auch durchaus mit den "echten" GHz vergleichen. Inzwischen hat Intel den Spieß umgedreht, der Pentium M war der Schritt weg von NetBurst hin zu vernünftigem Rechnen Und das merkt man ja auch jetzt, die Serien bekommen kaum oder gar keine höheren Taktraten, rechnen aber immer schneller. Der Unterschied ist also schon deutlich denke ich! Laut Benchmarks liegt deine CPU ungefähr auf dem Niveau eines Intel Core2Duo E6850. Und der ist zwei Generationen veraltet und dementsprechend auch geschwindigkeitsmäßig total überholt. Außerdem profitierst du noch von den Virtualisierungserweiterungen.

Zu den Benchmarks bzw. praktischen Vorteilen von KVM vs. Virtual Box kann ich nichts sagen. Meine Infos basieren auf Theorie. Das einzige von mir bisher länger virtualisierte System war "Openfiler", ein auf dem Linux-Kernel basiertes NAS/SAN-System für gehobenere Ansprüche. Das habe ich in vmware-Server auf Windows Server 2008, später auf Windows Server 2008 R2 Datacenter laufen lassen. Hardware war ein Intel DQ45EK Mainboard mit Intel E8400 CPU. Das lief eigentlich verdammt gut! Mehr kann ich dazu nicht beisteuern.

 

[brodian]

Vielen Dank für die Antworten! Nach meinen Informationen ist für die Ver- und Entschlüsselung im laufenden Betrieb ein Kern vorzusehen. Wenn man jetzt noch einen für den KVM Host und je einen für zwei parallel laufende KVM Guests vorsieht, wäre man bei vier Kernen. Oder reichen auch zwei Kerne mit je zwei Threads? Nur noch mal zur Info: Ich will ansonsten nur einfache Anwendungen betreiben (Internet, Mail, Office, LaTeX, ...).

 

[cuco]

Auch wenn du nur einfache Anwendungen betreiben willst, wirst du in dem Fall mit 4 Kernen und 8 Threads deutlich mehr Spaß haben als mit 2 Kernen und 4 Threads.

 

[brodian]

Danke für die Antwort!

Ich habe noch ein wenig über die Verschlüsselung nachgedacht. Natürlich wäre es am einfachsten, die gesamte Platte mit LVM zu verwalten und alle LVs gemeinsam zu verschlüsseln. Wenn es einem auf die Verschlüsselung der privaten Daten des Home-Verzeichnisses ankommt, ist es doch aber ressourcenschonender, wenn nicht die gesamte Systempartition verschlüsselt wird. Außerdem würde es die Administration bei Start-Problemen ungleich vereinfachen.

In diesem Falle müssten m.M.n. zumindest /var/cache, /var/log, /var/tmp, /tmp, SWAP und /home verschlüsselt werden. Die Verzeichnisse /var und /tmp müssten mit/ohne LVM in extra LVs/Partitionen ausgelagert werden. Für /tmp und SWAP wären temporäre Sitzungs-Schlüssel über /dev/urandom ausreichend. Und nur die Schlüssel für /home und /var wären bei der Anmeldung abzufragen. Das alles würde jedoch wohl nur Sinn haben, wenn ich in Wheezy ein Windows XP über VirtualBox virtualisiere. Oder (jetzt fehlt mir der Überblick) können in KVM für die Guests auch eigene physische Partitionen auf der Platte für verschiedene Systemverzeichnisse angelegt werden (müsste doch so sein, schließlich handelt es sich um eine ganz normale Installation)? In diesem Falle bräuchte man wohl den Host nicht zu verschlüsseln und im Wheezy Guest nur /var und /tmp.

Was meint Ihr?

 

[cuco]

Wenn man nicht das ganze System verschlüsselt, können immer irgendwo temporäre Daten liegen. Es geht und man bekommt es auch genau so sicher, aber man muss sich ABSOLUT im klaren sein, was man verschlüsselt, was nicht und wo man gerade seine Daten ablegt... Der Fehler-Faktor "Mensch" wird dann sofort deutlich größer. Ein komplett verschüsseltes System ist da deutlich einfacher zu managen was die Sicherheit der Daten angeht.

Wenn du Dropbear in die Initramfs einbaust, kannst du auch per SSH das System entschlüsseln, dann hast du auch keine weiteren Nachteile bei Startproblemen.

Wenn du außerdem einen Core-i5 oder Core-i7 der neuen Generation nimmst, hast du eh AES-NI Befehle in der CPU. Damit erreicht die CPU durchaus bis zu 2GB/s verschlüsselte Datenrate, unter Linux bleiben davon immerhin 500-1000 MB/s übrig. Weit mehr als jede HDD schafft. Das heißt die CPU bremst dich auch überhaupt nicht aus.

Wenn du also genau (!!!) weißt, was du tust, kannst zum Ressourcenschonen nur Teile des Systems verschlüsseln. Sicherer und vermutlich (fast) überhaupt nicht langsamer ist die komplette Verschlüsselung des gesamten Systems.

 

[brodian]

Danke für die Antwort cuco!

Wenn du außerdem einen Core-i5 oder Core-i7 der neuen Generation nimmst, hast du eh AES-NI Befehle in der CPU

Werden diese Befehle von der CPU automatisch verwendet, oder ist sie durch gewisse Einstellungen dafür anzuweisen?

 

[cuco]

Ich meine, sie werden automatisch benutzt (vermutlich ein einigermaßen aktueller Kernel vorausgesetzt), aber hier kann ich keine sichere Aussage geben.