Find fysisk placering af LVM logical volumes

Først en kort beskrivelse af mit storage setup. Det er ikke optimalt, men fungerer indtil jeg kan få taget mig sammen til at købe den rigtige SAS controller.

Jeg har 4 disktårne som hver har 4 stk. 3Tb diske. Disse diske kører hver deres eget RAID5 volume (suk, jeg ved det godt…) på 9 Tb. Dvs 36Tb ialt.

Især min filserver er voldsomt krævende. Den leverer storage til alle servere via Samba og det kører fint. MEN nogle gange er I/O loadet for kraftigt, og hele Proxmox serveren stagnerer fuldstændigt pga. hovedflytninger på diskene. Her hjælper det ikke en skid med store diske. Her er det bedre med mindre, men mange diske.

LVM har den fordel at man kan flytte rundt på de logiske volumes og fordele dem henover flere RAID5 volumes. Det hjælper en del på problemet.

Kommandoerne for at lokalisere hvilke fysiske enheder de Logical Volumes ligger på er:

lvs -o +devices

Billedet er redigeret en smule (tomme kolonner fjernet), for at det kunne være på skærmen.

 

Hvis du vil se, hvor mange data du har på de respektive raid-volumes, bruger du kommandoen ‘pvdisplay -m’

root@proxmox1:/usr/scripts# pvdisplay -m

  --- Physical volume ---

  PV Name               /dev/sdaa3
  VG Name               pve
  PV Size               110.70 GiB / not usable 2.98 MiB
  Allocatable           yes 
  PE Size               4.00 MiB
  Total PE              28339
  Free PE               3519
  Allocated PE          24820
  PV UUID               YNhCaU-QKPo-OsVt-TNrr-hjpV-SBpz-sLlL5w
   
  --- Physical Segments ---
  Physical extent 0 to 3519:
    Logical volume /dev/pve/swap
    Logical extents 0 to 3519
  Physical extent 3520 to 10559:
    Logical volume /dev/pve/root
    Logical extents 0 to 7039
  Physical extent 10560 to 24819:
    Logical volume /dev/pve/data
    Logical extents 0 to 14259
  Physical extent 24820 to 28338:
    FREE
   
  --- Physical volume ---
  PV Name               /dev/md9
  VG Name               vg2
  PV Size               5.46 TiB / not usable 4.00 MiB
  Allocatable           yes (but full)
  PE Size               4.00 MiB
  Total PE              1430699
  Free PE               0
  Allocated PE          1430699
  PV UUID               XxnCOe-tPaP-jLwx-xGIv-DlvUk1-DGRdNH
   
  --- Physical Segments ---
  Physical extent 0 to 1430698:
    Logical volume /dev/vg2/misc
    Logical extents 0 to 1430698
   
  --- Physical volume ---
  PV Name               /dev/md2
  VG Name               vg1
  PV Size               8.19 TiB / not usable 3.50 MiB
  Allocatable           yes 
  PE Size               4.00 MiB
  Total PE              2146093
  Free PE               141748
  Allocated PE          2004345
 PV UUID               ArvMH2-aikU-Jf4y-TNrr-hjpV-SBpz-sLlL5w

 

Posted in LVM, Storage | Tagged , , | Leave a comment

iSCSI – dedikeret NAS (QNAP etc) eller en Linux

Hvad skal jeg bruge til at levere data til mine headless Proxmox OpenVZ klienter. Det skal være så transparent som muligt og let at skalere og administrere.

Nogle bud?

Posted in Uncategorized | Leave a comment

Hurtig guide til at teste din wifi sikkerhed

aircrack-ng logo

Man kan skjule ESSID/navn på sit WiFi netværk, man kan lave hård kryptering og man kan have et hårdt password med en blanding af tegn, tal og store/små bogstaver. Men, hvis man ikke sørger for, at passwordet er mindst 13 karakterer langt og ikke bare består af ord adskilt af tegn og tal, så er man i fare for, at ens data kan blive opsnappet, dekrypteret og anvendt.

I det følgende vil jeg på en maskine med Kali Linux, redegøre for hvilke få og enkle kommandoer, der skal til for at knække den ellers ubrydelige WPA2 kryptering ved bare at “gætte” koden.

Allerførst skal man have en maskine med Linux, allerhelst Kali Linux, og med et netkort der kan anvendes i ‘promiscous’ mode. Dvs. at kortet kan lytte efter alle datapakker, uanset afsender og/eller modtager.

Dernæst opretter man et virtuelt og lyttende netkort, som oftest kaldes ‘mon0’ med kommandoen: #>

#> airmon-ng start wlan0

Dernæst skal vi se, hvad der foregår omkring os med kommandoen:

#> airodump-ng mon0

Det giver en liste over netværk og tilsluttede enheder. Vi skal have fat i BSSID (mac), CH (kanal) og ESSID (navn) på det net, som vi vil sikkerhedsteste.

Dernæst skal vi have fat i nogle af de WPA2-krypterede datapakker. Det gøres med kommandoen:

#> airodump-ng -w <filnavn> -c <CH/kanal> -bssid <bssid/mac> mon0

Lad den køre nogen tid, indtil antallet af datapakker har nået omkring 100 pakker. Hvis det går for langsomt, kan man generere datapakker ved at simulere en såkaldt ‘DeAuth’ af enhederne, som fx. er det der sker når en maskine går i dvale. Dette kan gøres med kommandoen:

#> aireplay-ng -0 0 -a <BSSID/MAC> mon0

Nu burde der være genereret en masse trafik og dermed en masse datapakker, som vi kan bruge til vores sikkerhedstest.

Output data er skrevet i filer med navnet, som du angav tidligere til airodump kommandoen. Du skal nu bruge filen, som ender på ‘cap’.

Nu går vi så til angreb på krypteringen med er såkaldt dictionary-attack. Dette betyder, at istedet for at fyre passwords af i blinde (1,2,3,5,6…..a,b,c…..1a,1b osv), bruger man en ordbog med ord, ordkombinationer, navne, og mange, mange andre mere eller mere strukturerede koder på mange forskellige sprog. Denne liste kan sagtens være på flere mio ord/navne, men det er bedre end at løbe de quadrillioner af kombinationer der ellers er ved et sikkert password. Listerne findes fx. her

Sikkerhedstesten foregår med følgende kommando:

#> aircrack-ng -w <navn på .CAP fil> <navn på ordbog>

HVIS kodeordet er i listen, vil programmet stoppe og vise resultatet – hvis den finder koden i listen.

HVIS IKKE kodeordet blev fundet, kan man, mod betaling, uploade CAP-filen og få den forsøgt knækket på en mange gange kraftigere maskine, end man selv har mulighed for.

Hvis det lykkedes, har krypteringsnøglen været for svag. Den bør bestå af mindst 13 karakterer og være en blanding af store/små bogstaver, tal og tegn. Brug af indflettede ord bør undgås, da de netop gør et dictionary-attack muligt.

Bemærk lige, at ovenstående beskrivelse kan bruges til ulovlig adfærd. Der skal faktisk kun en lille Raspberry Pi til 150,-, et batteri og et USB netkort samt en Linux med aircrack-ng installeret, så kan man placere denne, i en Tupperware plastikbeholder, uden for en bolig, en virksomhed eller en offentlig institution, og få opsamlet et hav af data. Efter en tid hentes beholderen med den lille maskine, og CAP filen overføres til en maskine med ordbogen eller uploades til de kraftige kodeknækkere på nettet – se fx. her

Ovenstående er skrevet til det brug af IT-sikkerhedseksperter til relativt nemt, at kunne afteste om WiFi sikkerheden overholder evt. minimumskrav.

Guiden kan også bruges til, uretmæssigt, at skabe sig adgang til andres netværk og data. Jeg (og Ole) gør opmærksom på, at dette er strengt ulovligt og jeg fralægger mig ethvert ansvar ved både ulovlig og lovlig anvendelse.

 

Posted in Sikkerhed, WiFi | Leave a comment