Det beror lite på vad du har för hårdvara och hur du tänkt sätta upp det utan kryptering. Ska du använda hårdvaru-raid, mjukvaru-raid aka dm-raid eller filsystem med raid?
Har du äkta hårdvaru-raid (dyrt att köpa de kontrollerkorten, så har du det har du fått betala för det) rekommenderar jag att raidar ihop din diskar och sedan krypterar raiden. Därefter lägger du filsystemet, alternativt LVM + filsystem, ovanpå det.
Du kan göra samma på mjukvaru-raid, men kan även kryptera diskarna först, sedan raida.
Dina ev backuper blir inte krypterade, förutsatt att du inte sparar dom på din krypterade disk. Men tänk på att bara för att du krypterat dina diskar är inte din data krypterad när du har startat dekrypteringen. Dekrypteringen pågår ända tills du stänger av den eller stänger av datorn. Dvs kan du se ditt data, kan någon som kommer åt din dator eller det utdelade datat, se din data helt okrypterat. Alltså, detta skyddar bara ditt data utifall att någon tar din dator eller hårddiskar. Har du speciellt känslig data så får du krypera det separat och bara starta den dekryperingen när du behöver det datat, sedan stänga dekryperingen.
Det finns för övrigt utrustning för att hämta en hel dator utan att bryta strömmen och en ev pågående dekryptering.
Jag själv kör btrfs som filsystem och det har raid inbyggt. Jag kryperar mina diskar först, var för sig, sedan lägger jag btrfs med raid ovanpå det. För att slippa ange lösenord för varje disk så har jag skapat en krypterad fil som innehåller nyckeln för att dekryptera diskarna.
OBS! Funderar du på btrfs ska du inte köra raid 5 eller 6. De är inte stabila sist jag kollade. Endast raid 1 eller 10.
Du blir tvungen att sätta upp det i konsolen tror jag. Jag har inte jätte-stor erfarenhet av proxmox. Men iom att Proxmox är debian så är det inget speciellt bara för att det är Proxmox utan fungerar som vanligt i Linux. När du sedan startat dekryptering, ev raidat diskar och monterat diskarna så klickar du runt i proxmox och lägger till den monteringspunken som en "storage" i Proxmox GUIt.
Du kan testa vilken hastighet du får med dm-crypt.
#> cryptsetup benchmark
Min maskin har en Xeon E3-1231v3 CPU och jag för följande resultat
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1 606814 iterations per second
PBKDF2-sha256 374491 iterations per second
PBKDF2-sha512 244537 iterations per second
PBKDF2-ripemd160 496484 iterations per second
PBKDF2-whirlpool 264258 iterations per second
# Algorithm | Key | Encryption | Decryption
aes-cbc 128b 733.0 MiB/s 3115.0 MiB/s
serpent-cbc 128b 103.9 MiB/s 635.1 MiB/s
twofish-cbc 128b 210.4 MiB/s 405.5 MiB/s
aes-cbc 256b 546.4 MiB/s 2394.8 MiB/s
serpent-cbc 256b 105.9 MiB/s 635.0 MiB/s
twofish-cbc 256b 213.1 MiB/s 404.9 MiB/s
aes-xts 256b 2694.4 MiB/s 2701.4 MiB/s
serpent-xts 256b 636.4 MiB/s 613.6 MiB/s
twofish-xts 256b 395.5 MiB/s 401.0 MiB/s
aes-xts 512b 2070.0 MiB/s 2074.5 MiB/s
serpent-xts 512b 635.8 MiB/s 613.1 MiB/s
twofish-xts 512b 395.8 MiB/s 400.8 MiB/s
Den CPUn har AES-NI instruktioner och som kan ses så är just AES väldigt snabbt.
Iterations behöver du inte bry dig så mycket om, det talar bara om hur många hashningar din CPU klarar av per sekund. Dvs hur många hashningar du behöver för att göra lösenordsinmatningen långsamare. Utan hashningar kan någon testa väldigt många lösenord på kort tid. Så antalet hashningar är något du får ställa för din CPU och hur lång tid det ska ta mellan varje lösenords-inmatning.
Exempel på att kryptera en disk med aes-xts-plain64 och key size 512.
#> sudo cryptsetup luksFormat -s 512 -c aes-xts-plain64 /dev/sde
Exempel på att starta/öppna dekrypering en disk
#> sudo cryptsetup open /dev/sde sde_crypt
Personligen använder jag UUID i istället för sökvägen till disken, så slipper jag bry om ordningen utifall jag lägger till eller tar bort en disk.
Skapa UUID för en disk
#> sudo cryptsetup luksUUID /dev/sde
Dekrypera med UUID
#> sudo cryptsetup open UUID=0932f352-a2ad-4bdb-8736-a56465931d72 sde_crypt
Stänga dekryperingen av en disk
#> sudo cryptsetup close sde_crypt
Jag har en sheet-sheet sida sedan jag satte upp mitt system, men vill inte ha mkt trafik så jag länkar inte den här. Hör av dig om du vill, så kan jag skicka den i PM.
Lycka till!
