GEOM-ELI

  Вообщем возникла у меня необходимость найти способ надежно скрывать некоторую информацию. Причина - присутствие определенных конфиденциальных данных на предприятии и впоследствии создание профилей ОС Windows на удаленном сервере некоторых людей, обладающих и работающих с информацией, которую нежелательно показывать кому-либо, например возможной внезапной проверке со стороны соответствующих органов. Более менее грамотная серьезная проверка сразу обращает внимание на компьютеры, а так же сервера (как хранилища информации), поэтому задача состояла в том, чтобы при случае либо вообще не прикладывать руку к ее сокрытию (на месте все равно никто не станет копаться во FreeBSD ИМХО), либо самый минимум.

 

Поэтому я решил использовать класс GEOM-ELI, появившийся во FreeBSD, начиная с 6.0 релиза. Вообщем, использование данного класса оказалось достаточно несложным, да и немногим отличающийся от руководства.

Мысли значит такие. Класс GEOM-ELI поддерживает 3 алгоритма шифрования - AES, 3DES и Blowfish. А также поддержка контроля целостности данных, реализованная алгоритмами: 



HMAC/MD5

HMAC/SHA1

HMAC/RIPEMD160

HMAC/SHA256

HMAC/SHA384

HMAC/SHA512 

 

Основной случайно сгенерированный ключ будет храниться на USB-флешке, ключевая фраза - в голове :) Решил использовать алгоритм Blowfish + HMAC/SHA512.

 

Итак, мы имеем тестовую машину Core Duo, 1024 Мб ОЗУ, общий физический объем SATA жестких дисков ~2 Террабайта в массивах, платформа - FreeBSD 6.2. Под шифрованный раздел отдадим заранее предназначенный для теста - /crypto размером ~100 Гб.(!)Если вы используете Soft Updates, ACL, MAC и т.п. на файловой системе - заранее сделайте tunefs до криптования.


$ uname -psr
FreeBSD 6.2-RELEASE i386
$ df -h
 
Filesystem       Size    Used   Avail Capacity  Mounted on
/dev/ar0s1a      4.7G     55M    4.3G     1%    /
devfs            1.0K    1.0K      0B   100%    /dev
/dev/ar0s1h       91G    4.0K     84G     0%    /ar0data
/dev/ar0s1g       95G    4.0K     87G     0%    /crypto
/dev/ar0s1f      9.5G     22K    8.7G     0%    /home
/dev/ar0s1d       14G    1.4G     12G    10%    /usr
/dev/ar0s1e      9.5G     71M    8.6G     1%    /var
/dev/ar1s1d      226G     62K    208G     0%    /ar1data
/dev/twed0s1d    451G    327G     88G    79%    /twed0data

 

Итак, для начала скомпилируем ядро с опциями:

options   GEOM_ELI
device    crypto

 

Смонтируем на запись флешку в каталог /mnt:

# ls /dev | egrep 'da\ws\w'
da0s1
da1s1
# mount_msdosfs -o rw /dev/da0s1 /mnt

 

Генерим ключ размером 64 байта на флешку:

# dd if=/dev/random of=/mnt/ar0s1g.key bs=64 count=1
1+0 records in
1+0 records out
64 bytes transferred in 0.000073 secs (877240 bytes/sec)

 

Отмонтируем слайс ar0s1g (/crypto):

# umount -f /dev/ar0s1g

 

Инициализируем провайдера - размер сектора 4Кб, алгоритм Blowfish, контроль целостности посредством HMAC/SHA512, размер ключа, скажем, 384 бита (максимальный ключ в Blowfish насколько я помню может быть 448 бита). Придумываем ключевую фразу.

# geli init -s 4096 -K /mnt/ar0s1g.key -e Blowfish -a hmac/sha512 -l 384 /dev/ar0s1g
Enter new passphrase:
Reenter new passphrase:

 

Связываем главный ключ с провайдером, ключевая фраза и сгенерированный файл на флешке служат дешифрацией главного ключа для создания нового GEOM провайдера. В каталоге /dev должен появиться файл /dev/ar0s1g.eli :

# geli attach -k /mnt/ar0s1g.key /dev/ar0s1g
Enter passphrase:
# ls /dev | grep eli
ar0s1g.eli

 

Далее достаточно продолжительная процедура создания файловой системы (у меня ушло на это около 4-часов):

# dd if=/dev/random of=/dev/ar0s1g.eli bs=1m
dd: /dev/ar0s1g.eli: short write on character device
dd: /dev/ar0s1g.eli: end of device
80000+0 records in
79999+1 records out
83886075904 bytes transferred in 14054.799294 secs (5968500 bytes/sec)
# newfs /dev/ar0s1g.eli
/dev/ar0s1g.eli: 80000.0MB (163839992 sectors) block size 16384, fragment size 4096
        using 238 cylinder groups of 336.98MB, 21567 blks, 21568 inodes.
super-block backups (for fsck -b #) at:
 160, 690304, 1380448, 2070592, 2760736, 3450880, 4141024, 4831168, 5521312, 
6211456, 6901600, 7591744, 8281888, 8972032, 9662176, 10352320, 11042464, 
11732608, 12422752, 13112896, 13803040, 14493184,
 15183328, 15873472, 16563616, 17253760, 17943904, 18634048, 19324192, 
20014336, 20704480, 21394624, 22084768, 22774912, 23465056, 24155200, 
24845344, 25535488, 26225632, 26915776, 27605920, 28296064,
 
#-----SKIPPED-----#

Создадим произвольный файл длиной 512 байт на нашей новой ФС:


# dd if=/dev/urandom of=/crypto/testfile bs=512 count=1
1+0 records in
1+0 records out
512 bytes transferred in 0.000068 secs (7535030 bytes/sec)
# ls -lh /crypto
total 2
drwxrwxr-x  2 root  operator   512B  4 дек 07:18 .snap
-rw-r--r--  1 root  wheel      512B  4 дек 09:52 testfile

Теперь отмонтируем /crypto, отсоединим провайдера /dev/ar0s1g.eli и выведем список файлов директории. Тестового файла там нету.


# umount /crypto
# geli detach /dev/ar0s1g.eli
# ls -lh /crypto
total 0

 

Попробуем смонтировать устройство /dev/ar0s1g - неверный супер-блок:


# mount /dev/ar0s1g /crypto
mount: /dev/ar0s1g on /crypto: incorrect super block

 

Попробуем с неверным ключем или фразой попытаться подключить провайдера - как видим, ничего не получается:


# dd if=/dev/random of=/root/wrong.key bs=64 count=1
1+0 records in
1+0 records out
64 bytes transferred in 0.000058 secs (1104673 bytes/sec)
# geli attach -k /root/wrong.key /dev/ar0s1g
Enter passphrase:
Wrong key for ar0s1g.
# geli attach -k /mnt/ar0s1g.key /dev/ar0s1g
Enter passphrase:
Wrong key for ar0s1g.

 

Для своего удобства, накатал несложный скрипт на $BASH для монтирования-демонтирования шифрованной файловой системы (при условии, что она единственная на сервере). особо его не тестил, но у меня работает вроде все:

#!/usr/local/bin/bash

printf "
#####################################################
#                  GEOM-ELI SCRIPT                  #
#####################################################
\n";

printf "[?]Enter 'y' to mount or 'n' to umount GEOM-ELI partition: [y/n] ";
read answer

case "${answer}" in

y|Y) printf "[?]Enter the encrypted partition: ";
     read partition;

     if [ ! -c /dev/${partition} ]
        then
        printf "[!]There is no such device - ${partition}";
        exit 1
     fi

     printf "[?]Enter the mounting point: ";
     read mount;

     if [ ! -d ${mount} ]
        then
        printf "[!]There is no such directory - ${mount}\n";
        exit 1
     fi

printf "[!]Your partition is ${partition}
[!]Mounting point is ${mount}
[!]Trying to mount USB Flash drive on /mnt ...\n";

     declare -a flash=( $(ls /dev | egrep 'da\ws\w') )

     if [ ${#flash[@]} -ge 1 ]
        then
          for usbd in ${flash}
            do
              umount -f /dev/${usbd} 2&>1
            done

     printf "[?]Enter the USB Flash device (${flash[*]:0}): [${flash[0]}]";
     read usbdevice;

     if [ -z ${usbdevice} ]
        then
          usbdevice=${flash[0]}

     if [ ! -d /mnt ]
        then
          mkdir /mnt
     fi

     if mount_msdosfs -o ro /dev/${usbdevice} /mnt
        then
          printf "[!]USB FLASH Device /dev/${usbdevice} successfully mounted on /mnt\n";
        else
          printf "[!]Can't mount USB Flash Device\n";
          exit 1;
     fi
     fi
     fi

     findgeli=$(df -H | grep eli | /usr/bin/awk '{print $1}')

     if [ ${findgeli} ]
        then
          printf "[!]You have already the GEOM-ELI encrypted provider at ${findgeli}\n";
          exit 1;
        else

     if geli attach -k /mnt/${partition}.key /dev/${partition} &> /dev/null
        then
          printf "[!]Key for GEOM-ELI provider attached to /dev/${partition}\n";
          mount /dev/${partition}.eli ${mount} &> /dev/null
          printf "[!]GEOM-ELI encrypted provider mounted to ${mount}\n\n";
          geli list
          umount -f /dev/${usbd} 2&>1
        else
          printf "[!]Can't attach the key /mnt/${partition}.key\n";
          exit 1;
     fi
     fi
;;

n|N) printf "[?]Deattach the GEOM-ELI provider ? [y/n]"
     read answer

     case "${answer}" in

     y|Y) device=$(df -H | grep .eli | /usr/bin/awk '{print $1}')
          mount=$(df -H | grep .eli | /usr/bin/awk '{print $6}')

     if [ ${device} ]
        then
          printf "[!]Found GEOM-ELI provider at ${device}\n";
          umount -f ${mount}
          geli detach ${device}
          printf "[!]GEOM-ELI provider deattached\n";
          exit 0;
        else
          printf "[!]GEOM-ELI provider not found\n";
          exit 1
     fi
;;

     n|N) printf "[!]Exiting\n";
          exit 0
;;

       *) printf "[!]Enter 'y' or 'n'\n";
          exit 1;
;;
     esac
;;

  *) printf "[!]Enter 'y' or 'n'\n";
     exit 1;
;;
esac

Работает он примерно так:


# ./crypto.sh

#####################################################
#                  GEOM-ELI SCRIPT                  #
#####################################################

[?]Enter 'y' to mount or 'n' to umount GEOM-ELI partition: [y/n] y
[?]Enter the encrypted partition: ar0s1g
[?]Enter the mounting point: /crypto
[!]Your partition is ar0s1g
[!]Mounting point is /crypto
[!]Trying to mount USB Flash drive on /mnt ...
[?]Enter the USB Flash device (da0s1 da1s1): [da0s1]
[!]USB FLASH Device /dev/da0s1 successfully mounted on /mnt
Enter passphrase:
[!]Key for GEOM-ELI provider attached to /dev/ar0s1g
[!]GEOM-ELI encrypted provider mounted to /crypto

Geom name: ar0s1g.eli
EncryptionAlgorithm: Blowfish-CBC
KeyLength: 384
AuthenticationAlgorithm: HMAC/SHA512
Crypto: software
UsedKey: 0
Flags: AUTH
Providers:
1. Name: ar0s1g.eli
   Mediasize: 83886075904 (78G)
   Sectorsize: 4096
   Mode: r1w1e1
Consumers:
1. Name: ar0s1g
   Mediasize: 104857600000 (98G)
   Sectorsize: 512
   Mode: r1w1e1

И так:


# ./crypto.sh

#####################################################
#                  GEOM-ELI SCRIPT                  #
#####################################################

[?]Enter 'y' to mount or 'n' to umount GEOM-ELI partition: [y/n] n
[?]Deattach the GEOM-ELI provider ? [y/n] y
[!]Found GEOM-ELI provider at /dev/ar0s1g.eli
[!]GEOM-ELI provider deattached

Вообщем, мне так удобней. Да, и еще. Желательно не забыть из /etc/fstab убрать строку устройства ar0s1g, а то система не загрузится


# sed -ie '/ar0s1g/d' /etc/fstab

Zer0, 2007-12-18 в 15:09:49

столкнулся с тем, что на 6.1 при перезагрузке типа *пропал свет*, раздел улетает в никуда.... щас до 6.2 обновлюся, посмотрим что будет.... иль искать альтернативу буду....

netcat, 2007-12-18 в 19:16:59

выключал аварийно специально, раза 3. Тьфу-тьфу проблем не возникло

bbb, 2007-12-20 в 13:00:10

Товарищи! Это поля для ввода комментариев статье, а не для вопросов. Сюда пишите найденные баги, или какие-то фичи :) Для вопросов есть форум!!!!

bbb, 2007-12-20 в 13:00:42

ГыГы

lissyara, 2007-12-20 в 14:21:43

Ну а товарищщу 91.76.4.173 юзающему оперу под виндой ХР и инет от стрима, а также посещающему ресурс anastasia.mybb2.ru, я бы посоветовал не выкаблучиваться. =)

smilealex, 2007-12-20 в 14:33:29

Лиссяра - респект! )))

netcat, 2007-12-20 в 18:01:10

а кто это - 91.76.4.173 ? :)) Еще и с Оперой.

dyer, 2008-01-15 в 20:55:09

По тексту (не скрипта - там-то все ясно) не совсем очевидно что после geli attach можно спокойно убирать флэшку в сейф. :)

toptyg, 2008-01-21 в 21:25:53

хех меня вот больше тесты скорости работы и стабильность интересовали :)

DeNIS_1974, 2008-12-15 в 9:15:33

Вот столкнулся с проблемой. Прикупил винт на 750 гиг, присунул в систему FreeBSD 7.0. Сделал раздел на нем ad1s1c, натравил geli. Вроде бы все проинициализировалось и присоединилось. А вот при создании файловой системы - нифига. Из /dev/random ничего не писалось, перед созданием ФС. Я подумал, что можно и без него обойтись. И файловая система тоже несоздалась. Может у кого есть конструктивные идеи ?

netcat, 2009-03-06 в 15:42:31

ad1s1c раздела по определению быть не может.

DeNIS_1974, 2009-03-07 в 10:26:52

Уважаемый netcat, Вы заставили меня засомневаться ... вот листинг : $ ls /dev/ad* /dev/ad0 /dev/ad0s1a /dev/ad0s1c /dev/ad1s1 /dev/ad0s1 /dev/ad0s1b /dev/ad1 /dev/ad1s1c Почему не может, если его создал сисинсталл? При пересоздании fdisk-ом было тоже. Но есть еще способ создания ФС ... нагуглил в инете ... там newfs запускается с ключем -n, хотя могу и попутать. Просто винт заполнен и с ним экперементировать не хочется, буду новый покупать наверное на тер, с ним позаморачиваюсь. При переходе на 7.1 проблема не исчезла.

netcat, 2009-03-07 в 10:40:49

Вы еще больше засомневаетесь, когда в шелле наберете man disklabel, в частности обращаю Ваше внимание на следующие строки - SAVED FILE FORMAT The bsdlabel utility uses an ASCII version of the label when examining, editing, or restoring a disk label. The format is: 8 partitions: # size offset fstype [fsize bsize bps/cpg] a: 81920 16 4.2BSD 2048 16384 5128 b: 1091994 81936 swap c: 1173930 0 unused 0 0 # "raw" part, don't edit

netcat, 2009-03-07 в 12:03:27

А если хотите сделать свою Фрю полностью на GELI с загрузкой с FLASH'ки (ключами доступа-паролями к fs). Если не лень будет статью напишу. У меня уже 3 сервера в таком режиме год работают. Полет нормальный :)

DeNIS_1974, 2009-03-07 в 12:22:48

Ну ... было бы интересно посмотреть, повторить, модифицировать под себя.

DeNIS_1974, 2009-03-07 в 18:39:20

Опс .... в мануале я увидел одну комманду ... disklabel -w /dev/ad-такой то ... блин ... и запустил ее. Появился /dev/ad1s1a так же как и остался /dev/ad1s1c. Машину перегрузил, все осталось на месте. Хотя disklabel говорит что оба слайса без сисемы(ФС). Надо будет почитать мат часть по внимательней ... может еще что нить интересное найду. Надо бы это уже в ветку форума перенести ...

fox, 2009-04-15 в 15:05:51

Добрый день! Это всё круто, но всё же как сделать что бы при загрузке системы Фри сама всё дела паоль вводила и так далие а если в друг чего я сервер парканул выдернул флешку и ушёл) ??? Нужен скрипт как автоматом пароль вводить???

lissyara, 2009-04-15 в 15:11:28

Вы, простите, в своём уме? Смысл шифровать что-то, если сервер сам будет пароль вводить?

netcat, 2009-04-15 в 15:21:56

Ну для этого можно отказаться от использования пароля (GELI это позволяет). Смысл некий есть, ключ то все-равно используется, но зато теряется некий процент "секьюрности"

lissyara, 2009-04-15 в 17:02:38

настоятельный совет - не забывать про это dd if=/dev/random of=/dev/ar0s1g.eli bs=1m можно и /dev/zero юзать, не суть. иначе получите файловую систему которую не сможетп роверить fsck, и, возможно с ошибками. причина - размер до проведения этой операции точно не известен.

fox, 2009-04-16 в 2:10:52

Спасиба за наставления, глубоко уважаемые! Но пароль нужен и нужно что бы сам его вводил а пароль в файлеке лежал флешке, флешку я забрал и всё нет пароля нет ключей, а у ровень безопастности с паролем выше!!! И к стате когда я делаю вот это: dd if=/dev/random of=/dev/ar0s1g.eli bs=1m то он это не длает он вот что отвечает: [root@fortero ~]# dd if=/dev/random of=/dev/ad1s1d.eli bs=1m dd: /dev/ad1s1d.eli: Operation not permitted 1+0 records in 0+0 records out 0 bytes transferred in 0.081596 secs (0 bytes/sec) мне кажетса он не доделывает что то? И всё же буду очень блогадарен за скрипты которые автоматом монтируют при наличие флешки с ключами и паролем в теикстишном файле... Спасиба за внимание!)

netcat, 2009-04-16 в 16:31:08

Уровень безопасности по сути своей зависит от длины ключа, а не от того, какой у тебя пароль к ключу, учитывая, что он лежит у тебя на сервере в открытом виде. Смысла тогда в пароле нету никакого, поэтому в man geli в attach нету такой опции, что логично. Даже при варианте шифрования корневой ФС - /boot у тебя все-равно будет на флешке, с ключами и открытым паролем ? Смысл в пароле ?

netcat, 2009-04-16 в 16:34:09

lissyara По большому счету достаточно добавить count=1 а потом newfs, чтобы время не терять :)

lissyara, 2009-04-16 в 16:47:43

Нет. попробуй сделать файловую систему после count=1 и прогнать по ней fsck потом снова сделай с затиранием всего раздела - и снова запусти fsck Увидишь именно то о чём я и говорил. Надо полностью диск/раздел затирать.

netcat, 2009-04-16 в 17:26:49

Делал. На сервере с 5EE-RAID полезной емкостью HDD в Террабайт (уж не стал мучать террабайт dd). Только fsck должен понять сначала с какой файловой системой ему работать.На то и newfs.

lissyara, 2009-04-16 в 17:28:11

Сдаётся мне - что нет... Отмонтируй ФС и запусти fsck вывод - сюда (всё равно больше 64k не влезет =))

netcat, 2009-04-16 в 17:52:31

Ну хорошо. Хозяин-барин :) Щас

netcat, 2009-04-16 в 17:56:39

[17:57 alex@crypto /home/alex]% df -h Filesystem Size Used Avail Capacity Mounted on /dev/aacd0.elia 2.0G 130M 1.7G 7% / devfs 1.0K 1.0K 0B 100% /dev /dev/aacd0.elid 9.6G 2.1G 6.7G 24% /home /dev/aacd0.elie 19G 382M 17G 2% /usr /dev/aacd0.elif 19G 13G 4.7G 73% /var /dev/aacd0.elig 2.0G 773M 1.1G 42% /tmp /dev/aacd0.elih 861G 341G 451G 43% /crypto 172.17.2.200:/usr/ports 14G 2.0G 11G 15% /usr/ports 172.17.2.200:/twed0data/distfiles 451G 261G 154G 63% /home/alex/distfiles [17:57 alex@crypto /home/alex]% su Password: [17:58 root@crypto /home/alex]# umount -f /tmp [17:59 root@crypto /home/alex]# fsck -yf /dev/aacd0.elig ** /dev/aacd0.elig ** Last Mounted on /tmp ** Phase 1 - Check Blocks and Sizes ** Phase 2 - Check Pathnames ** Phase 3 - Check Connectivity ** Phase 4 - Check Reference Counts ** Phase 5 - Check Cyl groups 5655 files, 197771 used, 317004 free (192 frags, 79203 blocks, 0.0% fragmentation) [17:59 root@crypto /home/alex]# Ну вот...

lissyara, 2009-04-16 в 17:58:00

хм.. удивительное рядом. почему же у меня так не получается =)

netcat, 2009-04-16 в 18:38:01

Попробуй так... [18:34 root@crypto /home/alex]# dd if=/dev/zero of=/dev/aacd0.elig bs=1m count=1 1+0 records in 1+0 records out 1048576 bytes transferred in 0.024977 secs (41981716 bytes/sec) [18:35 root@crypto /home/alex]# newfs -O2 -b 4096 -U /dev/aacd0.elig /dev/aacd0.elig: 2048.0MB (4194304 sectors) block size 4096, fragment size 4096 using 39 cylinder groups of 53.50MB, 13697 blks, 3440 inodes. with soft updates super-block backups (for fsck -b #) at: 144, 109720, 219296, 328872, 438448, 548024, 657600, 767176, 876752, 986328, 1095904, 1205480, 1315056, 1424632, 1534208, 1643784, 1753360, 1862936, 1972512, 2082088, 2191664, 2301240, 2410816, 2520392, 2629968, 2739544, 2849120, 2958696, 3068272, 3177848, 3287424, 3397000, 3506576, 3616152, 3725728, 3835304, 3944880, 4054456, 4164032 [18:38 root@crypto /home/alex]# fsck -yf /dev/aacd0.elig ** /dev/aacd0.elig ** Last Mounted on ** Phase 1 - Check Blocks and Sizes ** Phase 2 - Check Pathnames ** Phase 3 - Check Connectivity ** Phase 4 - Check Reference Counts ** Phase 5 - Check Cyl groups 2 files, 2 used, 515765 free (0 frags, 515765 blocks, 0.0% fragmentation) [18:38 root@crypto /home/alex]# mount /dev/aacd0.elig /tmp [18:39 root@crypto /home/alex]# ls -lh /tmp total 8 drwxrwxr-x 2 root operator 512B 16 ЮОП 18:38 .snap [18:39 root@crypto /home/alex]#

salimk, 2009-11-24 в 13:40:12

а если сделать вот так: geli init -P -s 4096 -K /mnt/ar0s1g.key -e Blowfish -a hmac/sha512 -l 384 /dev/ar0s1g то тогда не будет запрашиваться "passphrase" а в /etc/rc.conf можно добавить вот это geli_enable="YES" geli_devices="ar0s1g" geli_amrd3s1a_flags="-p -k /mnt/ar0s1g.key" тогда ar0s1g будет атачится самостоятельно а так статья отличная то что нужно

DLRex, 2010-01-23 в 11:54:36

на этаве ввода команды dd if=/dev/random of=/dev/ar0s1g.eli bs=1m dd: /dev/ad1s1d.eli: Operation not permitted 1+0 records in 0+0 records out 0 bytes transferred in 0.081596 secs (0 bytes/sec) и при создании файловой системы в консоль вылазят ошибки. Если проверку по sha не включать то хотя бы можно создать файловую систему и дальше работать. Как это исправить?

Lumpen, 2010-03-22 в 16:20:19

Ошибки fsck вылазят если включать проверку целостности, так что если использовали при создании ключ -a, то нужно делать # dd if=/dev/zero of=/dev/XX.eli bs=1m без контроля же достаточно # dd if=/dev/zero of=/dev/XX.eli bs=1m count=1

BlackJaguar, 2011-05-19 в 10:02:54

замечено, что при перемещении файла ключа подмонтированный шифрованный том остается, поэтому решено написать такой скрипт: [code] #!/bin/sh if [ -f /da0/mykey.key] then else reboot fi [/code] Если ключа нет - перегружаем систему. Удобно. Прибежали маски-шоу - флешку за борт и спокоен как питон :) хандбук по GEOM ELI (руссищ)

fox, 2011-05-19 в 18:11:18

Конечно спокойны как питон, пальцы в дверь засунут, сам раскажешь, кто когда и где?)))))

netcat, 2011-05-19 в 21:33:52

Щас почки опускать в моде. Это очень старая статья - сейчас один из серверов - backup работает с флешки с kernel и ключом к GELI (RAID 5EE полезной ёмкостью в 3Тб). Минусы - большая нагрузка на процессор и дисковую подсистему в пиковую активность резервного копирования. Плюсы - сервер без флешки и пароля к ключу представляет полностью кучу шифрованного мусора (при условии его ребута).

`Оставьте свой комментарий:`
`Ваше имя: *`
`e-mail:`
`жирный` `наклонный` `подчёркнутый` `ссылка` `цвет`	Товарищщи! Это поля для ввода комментариев к статье, а не для вопросов. Сюда пишите найденные баги, или какие-то фичи :) Для вопросов есть форум!
`Нынешний год: *`