Вчера день неудач на ИТ фронте системного администрирования

Что: 8c06f231834997791621ae1bc3efae3dbb29956d

Когда: 2017-11-27 11:09:49+03:00

Темы: ipsec

Возился с новоприобретённым дешёвеньким компьютером. Celeron процессор
на 1.6 GHz напаянный на материнской плате, 2 GB RAM. Не, всё работает,
ничего менять не буду, но я очень удивлён был что регулярно упираюсь в
криптографические операции. Насколько же этот процессор слабее Core i5 в
старом (или тем более новом) ноутбуках!

AES-128 не более 27-28 MiB/sec обрабатывает, соответственно IPsec между
компьютерами c гигабитным Ethernet ну очень слабо занимает канал.

Хорошо, попробовал гонять трафик просто через nc по IPv6 link-local
адресам -- скорость 40-60 MiB/sec. Уже лучше, но больше никак не выдаёт.
Пока игрался с буферами, то чуть-чуть поднимал, но это всё-равно даже до
полугигабита не доходит. Или кривые руки или Realtek (re драйвер)
сетевуха и тем как она пристроена на материнской плате уже не
вытягивает.

Шифровать на лету GnuPG с AES и SHA512 (SHA256 медленней, SHA1
deprecated) -- тоже проседает по процессору. Поэтому передавал tarball-ы
зашифрованные по этому nc.

Изначально сделал ZFS для хранилища. Установил Skein хэш, который
существенно быстрее SHA256/512, но просто так записать большой файл и
читать его -- что-то около 60 MiB/sec. Забыл я послушать жёсткий диск --
может быть это из-за малого объёма памяти метаинформация постоянно
считывалась, но навряд ли. То есть, опять-таки, упор был в процессор.
Сделал немыслимое!!! Заиспользовал UFS2 вместо ZFS -- там, само собой,
линейная запись/чтение уже без проблем на полной скорости (140+ MiB/sec).
Ну для раздела с хранилищем ZFS особо не важен, но всё-равно я давно уже
ничего не на нём не делал ибо никогда не упирался даже близко в
криптографию.

Но это всё ничего. Поначалу я копировать файлы хотел по NFS. У меня
везде дома всё по NFS поверх IPsec передаётся. Я СОВЕРШЕННО не понимаю и
не знаю причин, но почему-то NFS на этой машинке по IPsec-у работает со
скоростью... даже менее 1 MiB/sec! top говорит что всё простаивает. Не
смотрел что там по tcpdump-у ходит, ибо хотелось же всё побыстрее
установить и настроить, но если подмонтировать NFS просто по IPv4 без
всяких IPv6 внутри IPsec, то существенно сильно лучше становится. Причём
это почти такая же HardenedBSD что и у меня на рабочей машине, тот же
самый сервер, точно так же настроенный IPsec, IPv6 и NFS -- просто
copy-paste конфигов и команд. Надо будет как-нибудь с этим
разбираться... а то со стороны получается что поднять тривиальную
конфигурацию я разучился.

Вспомнил что когда-то давно хотел попробовать Kerberos в деле, особенно
для NFS, тем более что там вроде как без IPsec можно будет обеспечивать
и аутентификацию и конфиденциальность. По handbook поднял вроде бы всё,
но с ходу NFS по krb5 не заработал. Опять же, в течении часа помучился и
плюнул, хотя надо будет как-то добить эту тему. Скорее всего
какую-нибудь мелочь забыл на NFS сервере.

Просто передать массу данных поверх TCP я не доверяю целостности.
Поэтому делал через tee подсчёт SHA512 налету. Напомню что SHA256 на
amd64 медленнее! Но SHA512 на этой медленной машине хэширует где-то со
скоростью 50-60 MiB/sec. Эх... использовал md5 -- там он жёсткий диск
полностью выжимает. Но надо будет попробовать BLAKE2b, а то MD5 как-то
не солидно, хотя для проверки целостности (в отсутствии злоумышленника)
он годится.

Но, пусть в разы медленнее чем могло бы быть, но накопировал я суммарно
несколько терабайт на машинку по gpg over nc over IPv6 link-local,
наза��исывал на ленты.

оставить комментарий

Сгенерирован: SGBlog 0.34.0