TRIM-Unterstützung über dm-crypt / device-mapper

9

Morgen einen neuen Laptop mit SSD bekommen. Ich muss über den aktuellen Status von dm-crypt und TRIM Bescheid wissen. Ich habe mehrere widersprüchliche Berichte gesehen und die meisten Aktivitäten rund um diese Frage scheinen> 1 Jahr alt zu sein. Einige sagen, dass dm-crypt TRIM-Passthrough in mehreren neueren Kernelversionen enthalten war (was für mich kein Problem ist, da ich Arch verwende). Einige sagen, dass die Unterstützung immer noch nicht existiert. Kann ich eine klare und fundierte Antwort zum Status der dm-crypt TRIM-Unterstützung erhalten? Ideal sind Git-Commits oder Mailinglisten-Ankündigungen, in denen diese Funktion erwähnt wird.

Die Antwort auf diese Frage hat großes Potenzial, die Art und Weise zu beeinflussen, wie ich die Festplatten meines neuen Laptops entwerfe. Hoffentlich ist es für einige andere nützlich, eine anständige, aktuelle Antwort zu haben.

jeffcook2150
quelle

Antworten:

9

Für den Datensatz war diese Funktionalität NICHT vorhanden, als ich diese Frage zum ersten Mal stellte. Ich fragte auf der Mailingliste und wurde von Milan Broz darüber informiert, dass das Verwerfen von Passthrough für dm-crypt-Ziele noch nicht implementiert wurde. Milan gab an, dass er beabsichtige, dies irgendwann umzusetzen, gab jedoch nicht an, wann.

Nachdem wir uns eine Weile in dm-crypt.c und verwandten Dateien umgesehen hatten, schien es ziemlich trivial zu sein, TRIM-Unterstützung hinzuzufügen. Ich habe die Liste geschrieben und sie um allgemeine Beratung zu dieser Aufgabe gebeten, bevor ich reingesprungen bin. Am nächsten Tag hat Milan einen Patch eingereicht, der TRIM-Pass-Through auf dm-crypt implementiert, und dieser wurde in Linux-next inszeniert. Es sollte im Linux 3.1-Kernel enthalten sein.

TRIM-Passthrough muss explizit aktiviert sein. Es gibt potenzielle Sicherheitsprobleme bei der Verwendung von TRIM auf einem dm-crypt'd-Gerät, da TRIM Informationen zur Blockverwendung an die Firmware auf dem Gerät sendet, die dann kürzlich freigegebene Bereiche als verwendbar markiert (wie ich es jedenfalls verstehe). Dies bedeutet, dass eine interessierte Partei Informationen über Muster der Festplattennutzung ableiten kann. Beispielsweise wurde postuliert, dass ein Angreifer durch diese Daten fast definitiv erfahren könnte, welches Dateisystem auf dem verschlüsselten Medium verwendet wird. Ein Angreifer kann möglicherweise auch weitere nützliche Informationen erhalten, z. B. dass bis vor kurzem viele große Dateien gespeichert wurden (große zusammenhängende TRIM-Blöcke).

Bitte beachten Sie diese Themen als Referenz:

http://www.redhat.com/archives/dm-devel/2011-June/msg00093.html

http://www.redhat.com/archives/dm-devel/2011-July/msg00042.html

http://www.redhat.com/archives/dm-devel/2011-July/msg00088.html

tl; dr: TRIM-Passthrough-Unterstützung für dm-crypt-Ziele ist unter Linux> = 3.1 vorhanden, muss jedoch aufgrund von Datenlecks, die möglicherweise eine Profilerstellung basierend auf Datenträgernutzungsmustern ermöglichen, manuell über cryptsetup und / oder dmsetup aktiviert werden.

jeffcook2150
quelle
0

Nach diesem Beitrag ...

Meine Frage ist: Was passiert, wenn sich eine dm-crypt-Schicht zwischen dem Dateisystem und dem realen Blockgerät befindet? Wird die Verkleidung durchlaufen oder weggeworfen?

Es wird wohl durchgereicht. Ich verwende btrfs auf einer SSD, die mit LUKS / dmcrypt verschlüsselt ist, und es funktioniert hervorragend. Btrfs verwendet ata trim eine ganze Weile.

Möglicherweise benötigen Sie auch discardMount-Optionen des Dateisystems.

user1686
quelle
Danke, aber diese Antwort ist immer noch nicht endgültig und über ein Jahr alt. Ich hätte gerne eine endgültige, aktuelle Antwort. Ich denke, ich muss die Liste
mailen
Nun, wenn es schon vor einem Jahr funktioniert hat ...
user1686
"Ich denke, es funktioniert, weil meine SSD nicht langsam ist" ist kein verlässlicher Indikator dafür, ob die TRIM-Unterstützung tatsächlich funktioniert.
Jeffcook2150
Welches ist genau das, was ich nie gesagt habe.
user1686
Das sagt der von Ihnen zitierte Beitrag.
Jeffcook2150
0

Nun, da ist dieser Thread

https://bbs.archlinux.org/viewtopic.php?id=114924

und dieses Tool

http://sourceforge.net/tracker/index.php?func=detail&aid=2997551&group_id=136732&atid=736684

Ich habe es noch nicht benutzt, aber ich interessiere mich auch für dieses Problem.

honig
quelle
Danke Schatz, das hatte ich schon mal gefunden. Bitte lesen Sie die Antwort, die ich gerade hinzugefügt habe. Sie enthält Details zur echten Verwerfungsunterstützung für dm-crypt-Ziele.
Jeffcook2150