partition scheme σε linux

[warlock9_0]

επειδή σύντομα θα κάνω format το laptop και θα περάσω και την εγκατάσταση από το desktop σε ξεχωριστό ssd έχω μια απορία

 

έχει νόημα να κάνω ξεχωριστά partitions εκτός από το home?

κερδίζω τίποτα? απο το λίγο που το έψαξα δεν βρήκα να έχει τίποτα πλεονεκτήματα εκτός από κάτι εξωτικές raid εγκαταστάσεις κλπ

[tritonas00]

μπαα, και γω στους ssd ολα σε ενα τα εχω, ουτε /home...

[warlock9_0]

να σου πω την αλήθεια κι εγώ όλα μαζί τα βάζω αλλά λέω να δοκιμάσω να βάλω ξεχωριστό home

από την αλλη, πόσες φορές θα ξαναπεράσω το σύστημα ή θα αλλάξω διανομή για να αξίζει και το home

θα δείξει τότε

[Oxygene]

Ότι κάνει ο tritonas ακολουθώ κι εδώ. Εφόσον δεν αλλάζω την μία και μοναδική διανομή που τρέχω και ούτε κάνω format δεν έχω λόγο να κρατάω ξεχωριστό /home. Το μόνο ξεχωριστό partition που έχω είναι για swap και αν είχα laptop με UEFI αντί για BIOS που έχω τώρα θα έφτιαχνα και ένα μικρό για το /boot.

[Luciddream]

Εγώ συνήθως έχω GPT με BIOS ή UEFI, στην περίπτωση του πρώτου χρειάζεσαι ένα bios boot partition για το GRUB, στην περίπτωση του δεύτερου ένα fat partition για UEFI, φυσικά προτιμότερο είναι το UEFI, με το οποίο δεν χρειάζεσαι καν boot loader καθώς υπάρχει ήδη στο systemd, ενώ δεν στο πειράζουν και τα άλλα λειτουργικά π.χ αν έχεις Windows 7 σε άλλο partition και κάνεις upgrade σε 10άρια δεν θα χρειαστεί να φτιάξεις κάτι στον bootloader γιατί ποτέ δεν θα χαλάσει κάτι. Ένα partition για το home, και ένα για το swap, περισσότερο απο συνήθεια.

[mad-proffessor]

Εγω συνήθως κάνω το εξής σε desktops:

• /

(μερικές φορές το κανω mount ro για security λόγους)

• /boot
• /home

(να μένει intact σε αναβαθμίσεις/αλλαγες λειτουργικού)

• /tmp

(θα μου πεις δε χρειάζεται γιατι γίνεται mount ως tmpfs αλλα αν έχεις χώρο)

• /var

(για db optimization κυρίως)

χωρίς swap αν έχω >=4 GB ram

αλλά είναι ανάλογα με τις πεποιθήσεις του καθενός σχετικά με τα partitions, νομίζω δεν υπάρχει sheme που να βολευει άπαντες.

Επεξ/σία 6 Σεπτεμβρίου 2015 από mad-proffessor

[Luciddream]

χωρίς swap αν έχω >=4 GB ram

 

αν και κατάφερα να μην το αναφέρω παραπάνω γιατι είναι ψιλο off topic, τώρα δεν κρατιέμαι... σε σύστημα που χρησιμοποιείται για προγραμματισμό και τα 8gb είναι λίγα... αν χρειαστούμε και VM, ίσως και τα 12 να μην φτάνουν.. και το πρώτο πράγμα που θέλει πείραγμα μόλις γίνει install η διανομή είναι το swappiness.. όσο πιο κάτω γίνεται. Αν και δεν έχω χρειαστεί ιδιαίτερα το swap στο PC που έχω SSD, σε PC με HDD απλά δεν θέλεις να μπουν πράγματα στο swap...

[warlock9_0]

κατάλαβα, δεν υπάρχει κάποιο ουσιαστικό όφελος σε normal χρήση πέρα από ευκολίες σε συγκεκριμένες δουλειές που είπε ο mad πχ

partition για το efi έχω στο laptop ήδη, άρα δε μου χρειάζεται

στο desktop είναι legacy bios γιατί δεν έχω αξιώθεί να το αλλάξω, θα μείνει έτσι, απλά θα κάνω transfer σε καινούριο δίσκο

swap έχω σταματήσει να κάνω χρόνια τώρα

θα μπούνε όλα στο / λοιπόν, ez life

[imitheos]

# gdisk -l /dev/sda

Number  Start (sector)    End (sector)  Size       Code  Name
   1            2048          524287   255.0 MiB   EF00  EFI System
   2          524288       468862975   223.3 GiB   8301  Linux reserved
   3       468862976      1953525134   707.9 GiB   8301  Linux reserved

Το δικό μου setup είναι ως εξής πάντα. Πρώτη κατάτμηση (χωρίς φυσικά να παίζει ρόλο αν θα είναι πρώτη ή όχι) είναι μια μικρή κατάτμηση είτε για /boot σε bios ή για esp σε uefi όπως είναι σε αυτή την περίπτωση.

 

Μετά έχω ακόμη μία κατάτμηση (άσχετα αν εδώ έχω δύο) η οποία γίνεται luksformat ώστε να είναι κρυπτογραφημένα τα πάντα. Μου έμεινε συνήθεια από παλιά να επιλέγω τύπο linux reserved ώστε να δηλώσω ότι δεν είναι κατάτμηση που θα έχει filesystem πάνω και έτσι να μην την πηδήξει κάποιος installer ή live cd γιατί παλαιότερα κάποιοι installers όποια κατάτμηση 83 έβλεπαν πήγαιναν και την έκαναν format Αφού ανοίξει αυτή και γίνει το luks mapping, παλαιότερα δινόταν όλος ο χώρος σε LVM και χωριζόταν στους διαφόρους λογικούς τόμους. Πλέον είναι btrfs στο οποίο υπάρχουν πολλαπλές subvolumes για να πετύχουμε πάλι το ίδιο σενάριο. Όσον αφορά τα mount points τώρα.

 

% df
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/mapper/luks     234167296  11150124 220677428   5% /
/dev/sda1               257087     98367    158720  39% /boot/efi
/dev/mapper/crhome   742329028 105058704 635218320  15% /home
/dev/mapper/crhome   742329028 105058704 635218320  15% /home/git
/dev/mapper/crhome   742329028 105058704 635218320  15% /home/vm-images
/dev/mapper/crhome   742329028 105058704 635218320  15% /home/wine
/dev/mapper/crhome   742329028 105058704 635218320  15% /usr/src
tmpfs                  5242880    266100   4976780   6% /tmp

Παλαιότερα είχα και ξεχωριστό /usr αλλά το ενσωμάτωσα στο / ώστε αν τελικά το πάω σε SSD να μην χρειάζομαι initramfs. Όλο το / λοιπόν σε μία κατάτμηση και μετά ξεχωριστό /home και ό,τι άλλο χρειάζομαι να έχει διαφορετικά mount options. Για παράδειγμα το /usr/src έχει ενεργοποιημένη την συμπίεση και το /home/vm-images έχει ενεργοποιημένο το no-cow.

 

Σε gentoo έχω επίσης ξεχωριστές subvolumes για τα /usr/portage (ενεργοποιημένη συμπίεση), /var/cache (εκεί έχω βάλει τα distfiles και packages της portage).

 

Με τις ξεχωριστές κατατμήσεις / subvolumes κερδίζεις ότι μπορείς να έχεις διαφορετικές mount options για την καθεμία (είτε για ασφάλεια ή για ευκολία) και επίσης στην περίπτωση του btrfs μπορείς να κάνεις roll back το / χωρίς να επηρεαστούν οι υπόλοιπες subvolumes. Στο gentoo για παράδειγμα έκανα ένα snapshot πριν περάσω σε kde5 και μετά από κάποιες μέρες το γύρισα πίσω. Έτσι τα binaries στο /usr/bin, τα αρχεία στο /usr/share, το /etc, το /var/db με την βάση των πακέτων, όλα γύρισαν στην παλαιότερη κατάσταση σαν να μην τα έκανα compile ποτέ. Δεν επηρεάστηκε όμως κανένας κατάλογος που δεν έπρεπε. Παρέμεινε η νέα κατάσταση του portage tree (αν και αυτό θα λυνόταν με ένα git pull), παρέμεινε ο πυρήνας που έκανα compile στο /usr/src, κτλ.

 

Φυσικά δεν μιλάμε για κανονικές κατατμήσεις. Εκεί εννοείται ότι ακόμη και με GPT είναι άβολες και τα πετάς όλα σε ένα. Σε LVM όμως και BTRFS δεν χάνεις τίποτα να δημιουργήσεις πολλούς/ές λογικούς τόμους/subvolumes.

[warlock9_0]

για πες λίγο μερικά λόγια για το encryption αν έχεις όρεξη γιατί δεν είναι άσχημη ιδέα για το laptop

αν κατάλαβα καλά έχεις όλο το / κρυπτογραφημένο, άρα υποθέτω το decrypt πρέπει να γίνει στο boot?

κοίταξα λίγο κάποια wiki αλλά δεν τα κατάλαβα πλήρως

βλέπω χρησιμοποιεί keyfiles που τα σώζει στο filesystem, υποννοείται οτι δεν κάνεις εσύ κάτι για να το ξεκλειδώσεις?

τι είδους overhead έχεις?

[imitheos]

για πες λίγο μερικά λόγια για το encryption αν έχεις όρεξη γιατί δεν είναι άσχημη ιδέα για το laptop

Εννοείται πως σε laptop την χρησιμοποιείς ώστε αν στο κλέψουν, τουλάχιστον να πάρουν μόνο το hardware και να μην πάρουν και τα αρχεία σου. Αλλά και σε όλα μου τα desktop την χρησιμοποιώ γιατί δεν χάνω σε κάτι.

 

αν κατάλαβα καλά έχεις όλο το / κρυπτογραφημένο, άρα υποθέτω το decrypt πρέπει να γίνει στο boot?

Ναι κατά την εκκίνηση οπότε χρειάζεσαι initramfs αν είναι κρυπτογραφημένο το /. Δεν έχω ασχοληθεί καθόλου με grub2 οπότε ίσως να υποστηρίζει luks αλλά γενικά έχε στο νου σου ότι χρειάζεσαι initramfs.

 

Υπάρχουν πολλοί τρόποι να το κάνεις ανάλογα και τι layers χρησιμοποιείς. Τα πιο συνήθη σενάρια για full disk encryption είναι δύο.

 

Το ένα είναι δημιουργείς κατατμήσεις / λογικούς τόμους / whatever και κρυπτογραφείς τον καθένα ξεχωριστά. Ξεχωριστή κρυπτογράφηση για το /, ξεχωριστή για το swap, για το /home, κτλ. Αυτή η μέθοδος έχει το καλό ότι μπορείς να χρησιμοποιήσεις τους πολλαπλούς πυρήνες που έχουν οι επεξεργαστές (κάθε mapping χρησιμοποιεί μόνο ένα πυρήνα).

 

Επειδή το swap partition δεν διατηρεί δεδομένα, πολλές διανομές το κρυπτογραφούν με άλλο random κλειδί σε κάθε boot. Έτσι σε γλυτώνουν από το να βάλεις κωδικό να το ξεκλειδώσεις. Θέλει όμως λίγο προσοχή γιατί μπορεί πχ να έχεις σαν swap το /dev/sda2 και μετά από κάποιο διάστημα να βάλεις προσωρινά ένα δίσκο και να γίνεις αυτός sda οπότε κατά την εκκίνηση το σύστημα θα σου σβήσει την δεύτερη κατάτμησή του δίσκου νομίζοντας ότι είναι το swap.

 

Εγώ χρησιμοποιώ το δεύτερο σενάριο κατά το οποίο έχεις ως πρώτο layer την κρυπτογράφηση. Κρυπτογραφώ με την μία όλην την κατάτμηση για αυτό επέλεξα κιόλας να φαίνεται σαν linux reserved. Από εκεί και πέρα, μπορώ μέσω LVM να ορίσω και λογικό τόμο για το / και για το swap και για όλα. Έτσι με ένα μόνο κωδικό ανοίγεις τα πάντα αλλά χάνεις την εκμετάλλευση των πυρήνων (βασικά έχω καιρό να το παρακολουθήσω. ήταν στα σχέδια να υλοποιηθεί οπότε ίσως να μπορείς και με ένα mapping να εκμεταλλευτείς πάνω από 1 πυρήνα).

 

βλέπω χρησιμοποιεί keyfiles που τα σώζει στο filesystem, υποννοείται οτι δεν κάνεις εσύ κάτι για να το ξεκλειδώσεις?

Όταν κάνεις το "format" δημιουργείται ένα τυχαίο κλειδί με το οποίο κρυπτογραφούνται τα δεδομένα. Αυτό το κλειδί αποθηκεύεται σε "slots" κρυπτογραφημένο. Έτσι σου δίνεται η δυνατότητα να αλλάξεις κωδικό χωρίς να χρειάζεται να ξανάκρυπτογραφηθούν όλα τα δεδομένα από την αρχή. Το κλειδί αυτό λοιπόν αποθηκεύεται στα slots είτε με κωδικό ή με keyfiles με πιο συχνό όπως καταλαβαίνεις τον κωδικό.

 

Υποθέτω πως αυτό που διάβασες με τα keyfiles το ανέφερε για την περίπτωση που περιέγραψα πριν του να έχεις πολλά mappings. Για παράδειγμα κάποιοι από αυτούς που χρησιμοποιούν raid θέλουν να έχουν ως πρώτο layer την κρυπτογράφηση δηλαδή Crypt -> Raid -> (LVM ->) Filesystem. Φαντάσου λοιπόν να έχεις το /home σου σε ένα raid 5 με τρεις δίσκους. Θα πρέπει κατά την εκκίνηση να δώσεις 4 κωδικούς (1 για το / και 3 για το raid5). Επειδή αυτό είναι σπαστικό, είναι συχνό φαινόμενο να ανοίγεις κανονικά με κωδικό το / και μετά να έχεις αποθηκευμένα (πχ στο /etc) 3 keyfiles με τα οποία να ανοίγεις αυτόματα τα 3 devices του raid5 /home.

 

Η κλασική μέθοδος πάντως είναι να γράφεις κωδικό για να ξεκλειδώσει το device.

 

τι είδους overhead έχεις?

Σήμερα κανένα.

 

* Σε PIII-550 (δεν θυμάμαι το 550 στα σίγουρα αλλά κάπου εκεί) ένας δίσκος που δίνει περίπου 80MB μου έδινε 20MB το πολύ οπότε είχε όντως μεγάλο overhead.

 

* Σε P4 ένας δίσκος που δίνει περίπου 100MB μου έδινε γύρω στα 80 οπότε προσωπικά δεν με πείραζε.

 

* Από Core2 Duo δεν μπορείς να αντιληφθείς πρακτικά το overhead.

 

* Από i5 και πάνω ο επεξεργαστής υλοποιεί εσωτερικά τον αλγόριθμο με ειδικές εντολές aes (πως λέμε mmx, sse, κτλ) οπότε αν είναι ενεργοποιημένο στον πυρήνα το module aes-ni τότε 0 overhead σε όλα τα σενάρια.

 

Edit: Για την ακρίβεια, όπως καταλαβαίνει κανείς από την αναφορά μου σε piii και p4, τα παραπάνω που είπα αναφέρονται σε συμβατικό σκληρό. Σε pcie SSD έχω δει να μην μπορεί να ανταπεξέλθει ο επεξεργαστής σε εγγραφή πολλών μικρών αρχείων αλλά αν έχεις κάποιο server με pcie ssd τότε θα είναι σε μέρος που δεν θα φοβάσαι να τον κλέψουν και να θέλεις κρυπτογράφηση

[tritonas00]

https://www.youtube.com/watch?v=z5xW2tF0AHY#t=4m02s

[mad-proffessor]

Να συμπληρώσω ορμόμενος απο το post του imitheou. Πρακτικά σε λίγα χρόνια το btrfs θα είναι το filesystem που θα "φορμάρουν " όλοι οι installers. Είναι πολύ μπροστα απο τα άλλα υπολειπεται μόνο απο το zfs σε κάποια raid  levels αλλά θα έρθει και η υποστήριξη για αυτά

[imitheos]

Να συμπληρώσω ορμόμενος απο το post του imitheou. Πρακτικά σε λίγα χρόνια το btrfs θα είναι το filesystem που θα "φορμάρουν " όλοι οι installers. Είναι πολύ μπροστα απο τα άλλα υπολειπεται μόνο απο το zfs σε κάποια raid  levels αλλά θα έρθει και η υποστήριξη για αυτά

Με δεδομένο ότι κάνεις backup σε κάποιον άλλο δίσκο (με άλλο fs εννοείται) γιατί ακόμη έχει κάποια προβληματάκια, το btrfs γ..άει. Και μόνο για τα εύκολα snapshots αξίζει να το χρησιμοποιήσεις. Και ο LVM έχει snapshots εννοείται αλλά είναι τελείως διαφορετικά και δεν είναι τόσο εύχρηστα.

 

Εκτός από το rollback που ανέφερα πριν, τα snapshots δημιουργούνται πάρα πολύ εύκολα-γρήγορα και δεν πιάνουν καθόλου χώρο αν δεν αλλάξει κάτι. Ειδικά στο laptop της μάνας μου με έχουν σώσει. Έσβησες κάποιο αρχείο κατά λάθος ? Κάνε cd στο snapshot πριν 1 ώρα και τσουπ να το αρχείο.

 

Υπάρχουν κάποια προβλήματα ακόμη στο scaling των snapshots / subvolumes με αργοπορία ή και lockups αλλά μιλάμε για νούμερα 10K snapshots και βάλε. Αν μείνεις κάτω από 500 δεν έχεις κανένα θέμα.

 

Σε συνέχιση του προηγούμενού μου μηνύματος, πριν χρόνια είχα αναφέρει σε μια παρόμοια συζήτηση στο adslgr τι έγινε και έβαλα για πρώτη φορά κρυπτογράφηση.

 

Κάτι είχε γίνει και εμφάνισε πρόβλημα ο σκληρός μου (είχε bad sectors ? έκανε "κλικ" η κεφαλή ? δεν πολύ θυμάμαι λεπτομέρειες) και τον πήγα στο τοπικό κατάστημα της πόλης μου από όπου τον πήρα. Μου λένε θα τον ελέγξει ο τεχνικός για να δει ότι όντως έχει πρόβλημα και θα σου πούμε. Όταν λοιπόν πήγα να βρω τον τεχνικό να ρωτήσω τι έγινε, πιάσαμε συζήτηση επειδή τον ήξερα και κάποια στιγμή μου λέει "ωραίο συγκρότημα το τάδε δεν το ήξερα".

 

Εντωμεταξύ, δεν ήταν να πεις ότι είχα pc 10 ημέρες. Χρόνια ασχολούμουν με υπολογιστές τρομάρα μου και μέχρι εκείνη τη στιγμή δεν μου είχε περάσει από το μυαλό ότι ένας τεχνικός θα κοιτούσε τα αρχεία του δίσκου. Δεν είχα κάποιο εμπιστευτικό αρχείο που να έπρεπε να κρατηθεί κρυφό. Χαζομάρες είχε μέσα ο δίσκος και αν το ήξερα δεν με πείραζε καθόλου να του πήγαινα σε dvd τα τραγούδια. Με νευρίασε όμως αυτό που έκανε και από τότε τα πάντα είναι κρυπτογραφημένα.

 

Αυτή η ιστορία επειδή πολλοί θα πουν "το desktop δεν μπορεί να στο κλέψει κανείς στο τραίνο οπότε δεν έχεις κανένα λόγο να έχεις κρυπτογραφία".

[mad-proffessor]

@imithee

Έχω μια απορία:

Κάπου διάβασα οτι εφόσον έχεις διαφορετικού τύπου filesystem σε διάφορα partition (π.χ fat32=/boot/"efi κατι" ) και τα άλλα τα κάνεις btrfs δε μπορείς να δημιουργήσεις snapshots μέσω subvolumes. Τι κάνω σε αυτη τη περιπτωση για να έχω snapshots?

Θέλω να φορμάρω ένα δίσκο με gpt ως εξής:

/boot/esp (vfat για uefi boot)

/ (btrfs)

/tmp (btrfs ή tmpfs)