ZFS -> Virenscanner

Probleme mit Samba, NFS, FTP und Co.
Antworten
mrserious
Beiträge: 266
Registriert: 22.06.2013 12:12:03

ZFS -> Virenscanner

Beitrag von mrserious » 24.07.2017 21:35:50

Nabend zusammen,

ich nutze momentan ZFS testweise auf einem Dateiserver (Samba, Maria-DB, so Standard-Sachen, Clients sind alle Windows-Geräte).
Würde gerne einen Virenschutz auf dem Server hinzufügen. Hab's zunächst mit dem altbekannten ClamAV probiert, der ist auf ZFS jedoch wahnsinnig langsam.
Habe dann gelesen, dass ZFS wohl eine Virenscanner-Unterstützung bietet.
Nehme mal an, man muss ZFS dann mit einem Virenscanner seiner Wahl verknüpfen?
Leider bietet Google dazu kaum etwas an. Bzw wenn, dann nur in Verbindung mit openSolaris...

Hat jemand Erfahrung, kann mit Literatur empfehlen o.ä.?

r4pt0r
Beiträge: 1237
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: ZFS -> Virenscanner

Beitrag von r4pt0r » 25.07.2017 10:07:04

ZFS hat nichts mit Virenscannern und anderem Schlangenöl am Hut...

Deaktiviere die atime für die datasets auf denen du den Käse regelmäßig loslassen willst bzw kann eigentlich für alle datasets ausser ggf /var/mail deaktiviert werden; dann werden nicht bei jedem Zugriff die Metadaten (inkl deren checksummen) neu geschrieben.

mrserious
Beiträge: 266
Registriert: 22.06.2013 12:12:03

Re: ZFS -> Virenscanner

Beitrag von mrserious » 25.07.2017 14:32:33

Ist das hier schon veraltet? Oder gilt's nur für Solaris?
Halte übrigens auch nicht ZU viel von Virenscannern, aber du weißt ja wie das ist:

Scheff: "Machen Sie mal sonen Virenscanner drauf... und ne Firewall! Dann sind wir sicher vor allem!" (ist natürlich bewusst übersptitzt ;-)

https://lildude.co.uk/zfs-has-virus-sca ... y-built-in

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: ZFS -> Virenscanner

Beitrag von Lord_Carlos » 25.07.2017 14:38:46

Hier fragt jemand auf der ZoL mailingliste und hat keine Antwort bekommen: http://list.zfsonlinux.org/pipermail/zf ... 22405.html

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

mrserious
Beiträge: 266
Registriert: 22.06.2013 12:12:03

Re: ZFS -> Virenscanner

Beitrag von mrserious » 25.07.2017 14:55:14

Jap genau, das hab ich gestern auch schon gelesen...

find's echt schade, wie "schlecht" ZoL supported wird... wäre doch wirklich mal ne sinnvolle Sache. Dann könnte man weg von sinnlos aufwendigen Raid-Konfigurationen.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: ZFS -> Virenscanner

Beitrag von Lord_Carlos » 25.07.2017 14:57:48

Mit dem Gegenangriffs Steiners BTRFs wird das alles wieder in Ordnung kommen.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

mrserious
Beiträge: 266
Registriert: 22.06.2013 12:12:03

Re: ZFS -> Virenscanner

Beitrag von mrserious » 25.07.2017 15:20:34

:-D wie viele den Witz wohl verstehen?

Tja, nur ist ZFS ja für den Produktiveinsatz stabil genug, da möcht' ich ungern noch Jahre auf btrfs warten...
Hm, keine Möglichkeit, da nen brauchbaren Virenscanner drauf zu setzen?

r4pt0r
Beiträge: 1237
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: ZFS -> Virenscanner

Beitrag von r4pt0r » 25.07.2017 15:36:23

Das "vscan" property flag stammt noch aus OpenSolaris und ist AFAIK nur unter illumos noch funktional bzw wurde wohl für rückwärtskompatibilität mit älteren pools aus OpenSolaris beibehalten.

Mit vscan=on konnte/kann unter OpenSolaris ein "on-access-scan" ausgelöst werden, wozu ein separater virenscanner nötig ist, der vom vscan service aufgerufen wird. Dieses Flag hat aber _nichts_ damit zu tun ob/wie ein Virenscanner auf die Daten auf ZFS zugreifen kann und hat erst recht keine Auswirkungen auf die Performance.

Wie geschrieben: access time modification deaktivieren ("atime"), dann werden die Metadaten nicht bei jedem Zugriff verändert, was eine erhebliche write-last/amplification auslösen kann, erst recht bei den Zugriffsmustern von typischen schlangenöl-scannern.

Hier läuft auf 3 ZFS-Storageservern (FreeBSD) clamav auf den datasets für samba (-> Vorgabe vom PHB...) - Performance ist kein Problem, viel störender ist aber dass dieser Mist jedes mal den MRU-Cache im RAM aufpumpt und entsprechend den wichtigeren MFU-Cache schrumpfen lässt...

mrserious hat geschrieben: ↑ zum Beitrag ↑
25.07.2017 14:55:14
find's echt schade, wie "schlecht" ZoL supported wird... wäre doch wirklich mal ne sinnvolle Sache. Dann könnte man weg von sinnlos aufwendigen Raid-Konfigurationen.
Tja, wieder ein typischer Fall des "not invented here syndrome" und der Tatsache, dass es kein "Linux Betriebssytem" gibt - Linux = Kernel; Punkt. Für eine anständige Integration von Technologien wie ZFS müsste es auch ein einheitliches base-system (= wichtigste libraries und tools) geben...
Eine nahtlose Integration von ZFS wie es unter FreeBSD oder Illumos schon lange der Fall ist wird es unter Linux nie geben - nur ein immer weiter wachsendes Flickwerk. Das selbe gilt auch für BitterFS - sofern es jemals wirklich production-ready/safe sein wird...

mrserious
Beiträge: 266
Registriert: 22.06.2013 12:12:03

Re: ZFS -> Virenscanner

Beitrag von mrserious » 25.07.2017 15:41:56

Ja, wir hatten die Diskussion ja schon an anderer Stelle. Schade, denn ein Raid 5 zu haben, nur um die Konsistenz der Daten zu gewährleisten ist in vielen Fällen einfach übertrieben. Ganz zu schweigen von den Schwächen eines Raid5. Da fahr' ich mit nem schlichten Mirror unter ZFS deutlich besser.
Aber: Kann man wohl nix dran machen.

r4pt0r
Beiträge: 1237
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: ZFS -> Virenscanner

Beitrag von r4pt0r » 25.07.2017 16:52:08

mrserious hat geschrieben: ↑ zum Beitrag ↑
25.07.2017 15:41:56
ein Raid 5 zu haben, nur um die Konsistenz der Daten zu gewährleisten
RAID-5 gewährleistet die Konsistenz der Daten nicht - die simple Parität von RAID-5 ist nicht vergleichbar mit den checksummen von ZFS. Die Paritätsinformationen werden nur zur Wiederherstellung von Nutzdaten bei Ausfall einer Platte genutzt, nicht zur Verifizierung von gelesenen Daten. Gibt also eine Platte (oder ein Controller mit verbugter Firmware...) korrupte Daten aus, wird das von RAID-5 nicht erkannt und auch nicht korrigiert. Auch beim Schreiben gibt es keinerlei Kontrollmöglichkeit ob die Daten korrekt auf den Platten angekommen sind - das ist nur mit Checksummen möglich. Korrektur/Wiederherstellung erfordert dann wiederum zusätzliche Kopien der Nutzdaten. Hierzu müsste RAID aber auch Kenntnisse über das Dateisystem haben, was bei klassischem RAID per se nicht der Fall/möglich ist.

mrserious
Beiträge: 266
Registriert: 22.06.2013 12:12:03

Re: ZFS -> Virenscanner

Beitrag von mrserious » 25.07.2017 16:59:30

Jau, du hast recht ;-)
Wir sollten jetzt keine Diskussion über Raids anfangen ;-)
Mein Punkt war ja nur: Ich versteh' nicht, warum's im Jahr 2017 kein vernünftiges unterstützes Checksumming-FS unter Linux gibt...

r4pt0r
Beiträge: 1237
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: ZFS -> Virenscanner

Beitrag von r4pt0r » 25.07.2017 17:11:14

mrserious hat geschrieben: ↑ zum Beitrag ↑
25.07.2017 16:59:30
Ich versteh' nicht, warum's im Jahr 2017 kein vernünftiges unterstützes Checksumming-FS unter Linux gibt...
Wart noch ein paar Monate, dann kommt sicherlich systemd-filesystemd das dann alle Funktionen jedes bekannten Dateisystems neu implementiert und viel besser kann :lol:

mrserious
Beiträge: 266
Registriert: 22.06.2013 12:12:03

Re: ZFS -> Virenscanner

Beitrag von mrserious » 25.07.2017 17:13:39

:-D *huiui* systemd-Entwickler lässt man besser nicht in deine Nähe, hm?

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: ZFS -> Virenscanner

Beitrag von Lord_Carlos » 25.07.2017 17:24:30

mrserious hat geschrieben: ↑ zum Beitrag ↑
25.07.2017 16:59:30
Mein Punkt war ja nur: Ich versteh' nicht, warum's im Jahr 2017 kein vernünftiges unterstützes Checksumming-FS unter Linux gibt...
SnapRaid!111

(Dieser Beitrag ist nicht ernst gemeint)

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

mrserious
Beiträge: 266
Registriert: 22.06.2013 12:12:03

Re: ZFS -> Virenscanner

Beitrag von mrserious » 25.07.2017 17:29:38

Das kannte ich tatsächlich noch garnicht ;-)
Aber im Ernst: Zig tausend Admins müssen sich doch fragen, wie sie die Integrität ihrer Daten gewährleisten können... wie machen die das denn dann alle? Ext4 benutzen und beten, dass nix schief geht?

owl102

Re: ZFS -> Virenscanner

Beitrag von owl102 » 25.07.2017 18:28:42

mrserious hat geschrieben: ↑ zum Beitrag ↑
25.07.2017 17:29:38
Aber im Ernst: Zig tausend Admins müssen sich doch fragen, wie sie die Integrität ihrer Daten gewährleisten können... wie machen die das denn dann alle?
Solaris, Illumos, oder BSD. Und ZFS natürlich.

mrserious
Beiträge: 266
Registriert: 22.06.2013 12:12:03

Re: ZFS -> Virenscanner

Beitrag von mrserious » 25.07.2017 19:01:29

Hm, aber ist das SO verbreitet?
Storage ist nicht unbedingt mein Bereich. Aber die meisten Server, die ich so sehe laufen mit Linux...

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: ZFS -> Virenscanner

Beitrag von scientific » 25.07.2017 19:22:52

Also... Ein FS, das Facebook, Twitter und Google im Produktiveunsatz haben, würd ich jetzt mal als schon eher "stabil" (und nicht nur in der API stabil) bezeichnen...

Ich rede von btrfs.
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Antworten