SSD, Verschlüsselung und Trim

[captaincode]

Hallo zusammen,
zum Thema SSD und Trim gibt es im Netz ja schon zahlreiche Diskussionen, ich würde statt der discard Option gerne fstrim manuell aufrufen oder dies per Cronjob durchführen lassen.

Leider beziehen sich die meisten Infos nur auf nicht-verschlüsselte Konfigurationen. Ich weiß daher nicht, wie ich bei meiner Konfiguration konkret vorgehen sollte:

Datei: /etc/fstab
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/mapper/LLX--vg-root / ext4 noatime,errors=remount-ro 0 1
# /boot was on /dev/sda2 during installation
UUID=6fc1c568-b7e6-448e-9aac-0de1daee4dd3 /boot ext2 noatime,defaults 0 2
# /boot/efi was on /dev/sda1 during installation
UUID=FFBA-3E50 /boot/efi vfat umask=0077 0 1
/dev/mapper/LLX--vg-swap_1 none swap sw 0 0
none /proc/bus/usb usbfs devgid=126,devmode=664 0 0

Wenn ich das richtig recherchiert habe, fehlt noch die allow-discard Option (wo genau?), da ich bei fstrim -v / folgende Fehlermeldung erhalte:

fstrim: /: the discard operation is not supported

Version:

Linux LX 4.5.0-0.bpo.2-amd64 #1 SMP Debian 4.5.4-1~bpo8+1 (2016-05-13) x86_64 GNU/Linux

Was muss ich nun machen um die Platte (Samsung 850 EVO 500GB) trimmen zu können? Ich würde mich über eure Ratschläge sehr freuen.

Vielen Dank!

[MSfree]

Durch das Trimmen werden nicht mehr benötigte Sektoren der SSD auf Null zurückgesetzt. Beim Schreiben von Daten auf Flashspeicher muß der Speicherblock zunächst genullt werden und anschließend die eigentlichen Daten geschrieben werden. Trimmt man die Platte regelmäßig oder sogar jedes mal, wenn nicht mehr benötigte Blöcke frei werden, kann man anschließende Schreibvorgänge beschleunigen, weil das zeitraubende Nullen entfällt.

Verschlüßelte Dateisysteme zeichnen sich vor allem dadurch aus, daß sie überhaupt keine genullten Blöcke haben düfen, das würde nämlich Rückschlüsse auf die gespeicherten Daten zulassen. Auch die eigentlich mit Nullen gefüllten Dateisystemblöcke werden verschlüsselt und mit Nichtnullzeichen gefüllt.

Trimmen ist bei verschlüsselten Dateisystemen sinnlos.

[Dogge]

Soweit ich mich erinnere kann man schon trimmen, wenn man den Sicherheitsverlust in Kauf nimmt zu zeigen wo Daten gespeichert sind: https://wiki.ubuntuusers.de/SSD/TRIM/#T ... luesselung
Ist halt auch nicht manuell, sondern per discard.

[smutbert]

Ja, nützlich aus Sicher der SSD ist es schon (höhere Performance beim Schreiben und uU niedrigere WriteAmplification, also die Firmware erzeugt mit ihrem WearLeveling uU weniger Schreibvorgänge), aber es bietet eben einen Angriffspunkt auf die Verschlüsselung.

discard bzw. allow-discard kann laut arch-Wiki als Kerneloption übergeben werden [1], aber mir scheint es naheliegender die Option in die /etc/crypttab zu schreiben, sodass der Eintrag irgendwie so aussieht:

Code: Alles auswählen

luks-xyz UUID=1234-aasf-… none luks,discard

[1] https://wiki.archlinux.org/index.php/Dm ... _.28SSD.29

[Lord_Carlos]

Ich habe nicht alles hier durchgelesen, aber wenn ich es richtig in erinnerung habe muss Trim durch alle lagen durchgegeben werden.

Also Filesystem -> volumemanger? -> cryptocontainer

Da ich gegen Diebstahl verschluessel und nicht gegen gezielte Angriffe habe ich das alles aktiviert.

[wanne]

Bei debian systemv init: allow-discards in der crypttab anhängen.

Bei systemd wird das von binären services gemacht. Die werden aber live aus der crypttab generiert. Die entsprechende Option, die angehängt werden muss ist discard.
Für das Entschlüsseln der root partition muss man eigentlich entsprechende Parameter an die Kernel line hängen. Unter debian tut das aber dank irgend welcher Magic ohne kp. warum und wie. Bekomme es da auch nicht hin.

[spiralnebelverdreher]

Hallo zusammen,
zum Thema SSD und Trim gibt es im Netz ja schon zahlreiche Diskussionen, ich würde statt der discard Option gerne fstrim manuell aufrufen oder dies per Cronjob durchführen lassen.

Wenn ich das richtig recherchiert habe, fehlt noch die allow-discard Option (wo genau?), da ich bei fstrim -v / folgende Fehlermeldung erhalte:

fstrim: /: the discard operation is not supported

Was muss ich nun machen um die Platte (Samsung 850 EVO 500GB) trimmen zu können? Ich würde mich über eure Ratschläge sehr freuen.
Vielen Dank!

Die man page zu cryptsetup sagt:

--allow-discards
Allow the use of discard (TRIM) requests for device. This option is only relevant for create, luksOpen and loopaesOpen.

WARNING: This command can have a negative security impact because it can make filesystem-level operations visible on the
physical device. For example, information leaking filesystem type, used space, etc. may be extractable from the physical
device if the discarded blocks can be located later. If in doubt, do no use it.
A kernel version of 3.1 or later is needed. For earlier kernels this option is ignored.

Die Option --allow-discards muss also beim Anlegen oder Öffnen eines LUKS Containers mit angegeben werden.

[wanne]

Die Option --allow-discards muss also beim Anlegen oder Öffnen eines LUKS Containers mit angegeben werden.

Beim offnen.

[Canaglie]

Damit manuelles fstrim funktioniert, muss lvm.conf

Code: Alles auswählen

issue_discards=1

und crypttab die Option

Code: Alles auswählen

discard

enthalten.

Automatisches Trimmen dann entweder per cron/systemd-timer o. als Mount-Option unter fstab.