ZFS -> Virenscanner
ZFS -> Virenscanner
Nabend zusammen,
ich nutze momentan ZFS testweise auf einem Dateiserver (Samba, Maria-DB, so Standard-Sachen, Clients sind alle Windows-Geräte).
Würde gerne einen Virenschutz auf dem Server hinzufügen. Hab's zunächst mit dem altbekannten ClamAV probiert, der ist auf ZFS jedoch wahnsinnig langsam.
Habe dann gelesen, dass ZFS wohl eine Virenscanner-Unterstützung bietet.
Nehme mal an, man muss ZFS dann mit einem Virenscanner seiner Wahl verknüpfen?
Leider bietet Google dazu kaum etwas an. Bzw wenn, dann nur in Verbindung mit openSolaris...
Hat jemand Erfahrung, kann mit Literatur empfehlen o.ä.?
ich nutze momentan ZFS testweise auf einem Dateiserver (Samba, Maria-DB, so Standard-Sachen, Clients sind alle Windows-Geräte).
Würde gerne einen Virenschutz auf dem Server hinzufügen. Hab's zunächst mit dem altbekannten ClamAV probiert, der ist auf ZFS jedoch wahnsinnig langsam.
Habe dann gelesen, dass ZFS wohl eine Virenscanner-Unterstützung bietet.
Nehme mal an, man muss ZFS dann mit einem Virenscanner seiner Wahl verknüpfen?
Leider bietet Google dazu kaum etwas an. Bzw wenn, dann nur in Verbindung mit openSolaris...
Hat jemand Erfahrung, kann mit Literatur empfehlen o.ä.?
Re: ZFS -> Virenscanner
ZFS hat nichts mit Virenscannern und anderem Schlangenöl am Hut...
Deaktiviere die atime für die datasets auf denen du den Käse regelmäßig loslassen willst bzw kann eigentlich für alle datasets ausser ggf /var/mail deaktiviert werden; dann werden nicht bei jedem Zugriff die Metadaten (inkl deren checksummen) neu geschrieben.
Deaktiviere die atime für die datasets auf denen du den Käse regelmäßig loslassen willst bzw kann eigentlich für alle datasets ausser ggf /var/mail deaktiviert werden; dann werden nicht bei jedem Zugriff die Metadaten (inkl deren checksummen) neu geschrieben.
Re: ZFS -> Virenscanner
Ist das hier schon veraltet? Oder gilt's nur für Solaris?
Halte übrigens auch nicht ZU viel von Virenscannern, aber du weißt ja wie das ist:
Scheff: "Machen Sie mal sonen Virenscanner drauf... und ne Firewall! Dann sind wir sicher vor allem!" (ist natürlich bewusst übersptitzt
https://lildude.co.uk/zfs-has-virus-sca ... y-built-in
Halte übrigens auch nicht ZU viel von Virenscannern, aber du weißt ja wie das ist:
Scheff: "Machen Sie mal sonen Virenscanner drauf... und ne Firewall! Dann sind wir sicher vor allem!" (ist natürlich bewusst übersptitzt
https://lildude.co.uk/zfs-has-virus-sca ... y-built-in
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: ZFS -> Virenscanner
Hier fragt jemand auf der ZoL mailingliste und hat keine Antwort bekommen: http://list.zfsonlinux.org/pipermail/zf ... 22405.html
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: ZFS -> Virenscanner
Jap genau, das hab ich gestern auch schon gelesen...
find's echt schade, wie "schlecht" ZoL supported wird... wäre doch wirklich mal ne sinnvolle Sache. Dann könnte man weg von sinnlos aufwendigen Raid-Konfigurationen.
find's echt schade, wie "schlecht" ZoL supported wird... wäre doch wirklich mal ne sinnvolle Sache. Dann könnte man weg von sinnlos aufwendigen Raid-Konfigurationen.
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: ZFS -> Virenscanner
Mit dem Gegenangriffs Steiners BTRFs wird das alles wieder in Ordnung kommen.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: ZFS -> Virenscanner
wie viele den Witz wohl verstehen?
Tja, nur ist ZFS ja für den Produktiveinsatz stabil genug, da möcht' ich ungern noch Jahre auf btrfs warten...
Hm, keine Möglichkeit, da nen brauchbaren Virenscanner drauf zu setzen?
Tja, nur ist ZFS ja für den Produktiveinsatz stabil genug, da möcht' ich ungern noch Jahre auf btrfs warten...
Hm, keine Möglichkeit, da nen brauchbaren Virenscanner drauf zu setzen?
Re: ZFS -> Virenscanner
Das "vscan" property flag stammt noch aus OpenSolaris und ist AFAIK nur unter illumos noch funktional bzw wurde wohl für rückwärtskompatibilität mit älteren pools aus OpenSolaris beibehalten.
Mit vscan=on konnte/kann unter OpenSolaris ein "on-access-scan" ausgelöst werden, wozu ein separater virenscanner nötig ist, der vom vscan service aufgerufen wird. Dieses Flag hat aber _nichts_ damit zu tun ob/wie ein Virenscanner auf die Daten auf ZFS zugreifen kann und hat erst recht keine Auswirkungen auf die Performance.
Wie geschrieben: access time modification deaktivieren ("atime"), dann werden die Metadaten nicht bei jedem Zugriff verändert, was eine erhebliche write-last/amplification auslösen kann, erst recht bei den Zugriffsmustern von typischen schlangenöl-scannern.
Hier läuft auf 3 ZFS-Storageservern (FreeBSD) clamav auf den datasets für samba (-> Vorgabe vom PHB...) - Performance ist kein Problem, viel störender ist aber dass dieser Mist jedes mal den MRU-Cache im RAM aufpumpt und entsprechend den wichtigeren MFU-Cache schrumpfen lässt...
Eine nahtlose Integration von ZFS wie es unter FreeBSD oder Illumos schon lange der Fall ist wird es unter Linux nie geben - nur ein immer weiter wachsendes Flickwerk. Das selbe gilt auch für BitterFS - sofern es jemals wirklich production-ready/safe sein wird...
Mit vscan=on konnte/kann unter OpenSolaris ein "on-access-scan" ausgelöst werden, wozu ein separater virenscanner nötig ist, der vom vscan service aufgerufen wird. Dieses Flag hat aber _nichts_ damit zu tun ob/wie ein Virenscanner auf die Daten auf ZFS zugreifen kann und hat erst recht keine Auswirkungen auf die Performance.
Wie geschrieben: access time modification deaktivieren ("atime"), dann werden die Metadaten nicht bei jedem Zugriff verändert, was eine erhebliche write-last/amplification auslösen kann, erst recht bei den Zugriffsmustern von typischen schlangenöl-scannern.
Hier läuft auf 3 ZFS-Storageservern (FreeBSD) clamav auf den datasets für samba (-> Vorgabe vom PHB...) - Performance ist kein Problem, viel störender ist aber dass dieser Mist jedes mal den MRU-Cache im RAM aufpumpt und entsprechend den wichtigeren MFU-Cache schrumpfen lässt...
Tja, wieder ein typischer Fall des "not invented here syndrome" und der Tatsache, dass es kein "Linux Betriebssytem" gibt - Linux = Kernel; Punkt. Für eine anständige Integration von Technologien wie ZFS müsste es auch ein einheitliches base-system (= wichtigste libraries und tools) geben...mrserious hat geschrieben:25.07.2017 14:55:14find's echt schade, wie "schlecht" ZoL supported wird... wäre doch wirklich mal ne sinnvolle Sache. Dann könnte man weg von sinnlos aufwendigen Raid-Konfigurationen.
Eine nahtlose Integration von ZFS wie es unter FreeBSD oder Illumos schon lange der Fall ist wird es unter Linux nie geben - nur ein immer weiter wachsendes Flickwerk. Das selbe gilt auch für BitterFS - sofern es jemals wirklich production-ready/safe sein wird...
Re: ZFS -> Virenscanner
Ja, wir hatten die Diskussion ja schon an anderer Stelle. Schade, denn ein Raid 5 zu haben, nur um die Konsistenz der Daten zu gewährleisten ist in vielen Fällen einfach übertrieben. Ganz zu schweigen von den Schwächen eines Raid5. Da fahr' ich mit nem schlichten Mirror unter ZFS deutlich besser.
Aber: Kann man wohl nix dran machen.
Aber: Kann man wohl nix dran machen.
Re: ZFS -> Virenscanner
RAID-5 gewährleistet die Konsistenz der Daten nicht - die simple Parität von RAID-5 ist nicht vergleichbar mit den checksummen von ZFS. Die Paritätsinformationen werden nur zur Wiederherstellung von Nutzdaten bei Ausfall einer Platte genutzt, nicht zur Verifizierung von gelesenen Daten. Gibt also eine Platte (oder ein Controller mit verbugter Firmware...) korrupte Daten aus, wird das von RAID-5 nicht erkannt und auch nicht korrigiert. Auch beim Schreiben gibt es keinerlei Kontrollmöglichkeit ob die Daten korrekt auf den Platten angekommen sind - das ist nur mit Checksummen möglich. Korrektur/Wiederherstellung erfordert dann wiederum zusätzliche Kopien der Nutzdaten. Hierzu müsste RAID aber auch Kenntnisse über das Dateisystem haben, was bei klassischem RAID per se nicht der Fall/möglich ist.mrserious hat geschrieben:25.07.2017 15:41:56ein Raid 5 zu haben, nur um die Konsistenz der Daten zu gewährleisten
Re: ZFS -> Virenscanner
Jau, du hast recht
Wir sollten jetzt keine Diskussion über Raids anfangen
Mein Punkt war ja nur: Ich versteh' nicht, warum's im Jahr 2017 kein vernünftiges unterstützes Checksumming-FS unter Linux gibt...
Wir sollten jetzt keine Diskussion über Raids anfangen
Mein Punkt war ja nur: Ich versteh' nicht, warum's im Jahr 2017 kein vernünftiges unterstützes Checksumming-FS unter Linux gibt...
Re: ZFS -> Virenscanner
Wart noch ein paar Monate, dann kommt sicherlich systemd-filesystemd das dann alle Funktionen jedes bekannten Dateisystems neu implementiert und viel besser kannmrserious hat geschrieben:25.07.2017 16:59:30Ich versteh' nicht, warum's im Jahr 2017 kein vernünftiges unterstützes Checksumming-FS unter Linux gibt...
Re: ZFS -> Virenscanner
*huiui* systemd-Entwickler lässt man besser nicht in deine Nähe, hm?
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: ZFS -> Virenscanner
SnapRaid!111mrserious hat geschrieben:25.07.2017 16:59:30Mein Punkt war ja nur: Ich versteh' nicht, warum's im Jahr 2017 kein vernünftiges unterstützes Checksumming-FS unter Linux gibt...
(Dieser Beitrag ist nicht ernst gemeint)
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: ZFS -> Virenscanner
Das kannte ich tatsächlich noch garnicht
Aber im Ernst: Zig tausend Admins müssen sich doch fragen, wie sie die Integrität ihrer Daten gewährleisten können... wie machen die das denn dann alle? Ext4 benutzen und beten, dass nix schief geht?
Aber im Ernst: Zig tausend Admins müssen sich doch fragen, wie sie die Integrität ihrer Daten gewährleisten können... wie machen die das denn dann alle? Ext4 benutzen und beten, dass nix schief geht?
Re: ZFS -> Virenscanner
Solaris, Illumos, oder BSD. Und ZFS natürlich.mrserious hat geschrieben:25.07.2017 17:29:38Aber im Ernst: Zig tausend Admins müssen sich doch fragen, wie sie die Integrität ihrer Daten gewährleisten können... wie machen die das denn dann alle?
Re: ZFS -> Virenscanner
Hm, aber ist das SO verbreitet?
Storage ist nicht unbedingt mein Bereich. Aber die meisten Server, die ich so sehe laufen mit Linux...
Storage ist nicht unbedingt mein Bereich. Aber die meisten Server, die ich so sehe laufen mit Linux...
-
- Beiträge: 3020
- Registriert: 03.11.2009 13:45:23
- Lizenz eigener Beiträge: Artistic Lizenz
-
Kontaktdaten:
Re: ZFS -> Virenscanner
Also... Ein FS, das Facebook, Twitter und Google im Produktiveunsatz haben, würd ich jetzt mal als schon eher "stabil" (und nicht nur in der API stabil) bezeichnen...
Ich rede von btrfs.
Ich rede von btrfs.
dann putze ich hier mal nur...
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main