Intel CPU und P-State

Ich hab etliche Zeit damit verbraucht, herauszufinden, warum der i3-2120 in meinem Fileserver nicht tiefer als C1E im P-State geht.

Heute bin ich eher durch Zufall auf des Rätsels Lösung gekommen:

https://bugzilla.kernel.org/show_bug.cgi?id=77361

Jesse Brandeburg 2014-06-04 21:51:54 UTC
I believe this is by design, the e1000e hardware has issues with jumbo frame reception if the processor enters a long latency sleep state.  Jumbo frames require the cpu to wake up and handle the packet reasonably fast, which is why the code is like it is.

e1000e is calling kernel interfaces to implement the C-state limits.

In meinem Filer wird auch der e1000e Treiber genutzt, und bisher waren Jumboframes aktiviert. Abgeschaltet, Reboot, C6… Dabei wollte ich gerade schon Testweise mal von 4 auf 2 Ram-Dimms gehen. 😀

Im parallel laufenden Hypervisor kommt „zum Glück“ eine andere Nic zum Einsatz, ob das jetzt mit der Realtek allerdings wirklich besser ist lasse ich mal  dahin gestellt.

Manches mal ist es gar nicht so einfach, des Rätsels Lösung zu finden, nur nie aufgeben.

HTTP-Header-Hardening

Ich bin immer dabei, Ausschau zu halten wie man das Web, oder zumindest ich meine Seiten, sicherer gestalten kann. Dabei bin ich heute auf den folgenden Test aufmerksam geworden:

https://securityheaders.io/

Von einem anfänglichen D bin ich inzwischen auf ein A gekommen, die PKP-Laufzeit will ich wegen der recht kurzen Gültigkeit der LetsEncrypt Zertifikate aber aktuell nicht höher als eine Woche ansetzen:

Sehr viele Tipps und super Beschreibungen gibt es in diesem Blogbeitrag:

https://scotthelme.co.uk/hardening-your-http-response-headers/

Vielen Dank von meiner Seite für die dortigen Beiträge, der Blog kommt mit in meine beobachteten Seiten.

Der Vollständigkeit halber hier mal meine auf dem nginx gesetzten Headers:

### Secure Headers ###
add_header      Strict-Transport-Security       "max-age=31536000; includeSubDomains; preload" always;
add_header      Public-Key-Pins                 'pin-sha256="HkAH1iFqrQ902FeSM8bcR5g1Vhmjs7DZf36qBYnsHxk="; pin-sha256="fseSS72aNBsbopCJnqT/rkFjFhOm+F6fiQ5KwYryXaI="; max-age=604800; includeSubDomains' always;
add_header      X-Xss-Protection                "1; mode=block" always;
add_header      X-Frame-Options                 "SAMEORIGIN" always;
add_header      X-Content-Type-Options          "nosniff" always;
add_header      Referrer-Policy                 "strict-origin-when-cross-origin" always;
add_header      Content-Security-Policy         "default-src https: data: 'unsafe-inline' 'unsafe-eval'" always;

(Stand: 12.04.2017)

Unerwähnt sollte natürlich nicht der Test von SSL Labs bleiben, hier kann man sehr gut seine Cipher-Einstellungen und Browser-Kompatiblität testen:

Settings hierzu:

### Add SSL specific settings here ###
ssl_protocols                   TLSv1.2 TLSv1.1 TLSv1;
ssl_ciphers                     'EECDH+AESGCM EDH+AESGCM EECDH EDH !NULL !aNULL !eNULL !EXPORT !LOW !MEDIUM !DES !3DES !RC4 !SEED !CAMELLIA !MD5 !PSK !DSS !ECDSA';
ssl_prefer_server_ciphers       on;
ssl_dhparam                     /etc/nginx/dh2048.pem;
ssl_stapling                    on;
ssl_stapling_verify             on;
ssl_trusted_certificate         /etc/letsencrypt/live/blog.2-cpu.de/chain.pem;
ssl_session_timeout             10m;
ssl_session_cache               shared:SSL:10m;
ssl_session_tickets             on;
ssl_session_ticket_key          /etc/nginx/nginx_ticketkey;

(Stand: 12.04.2017)

Wenn jemand Probleme bei meiner Seite bemerkt freue ich mich über jedes Feedback 🙂

 

OpenVPN Cipher Speedtest

Aufgrund des Upgrades meiner Internetleitung auf 400/25MBit bei Vodafone Kabel und darauf folgend geringer OpenVPN Tunnel Performance habe ich mal ein paar Benchmarks gemacht.

Zuerst etwas zur Vorgeschichte:

Ich habe hinter dem Provider Router (Jetzt FritzBox 6490) schon lange eine pfsense Firewall laufen. Diese läuft auf einem kleinen, sparsamen Atom N2800 und macht neben Firewalling und Routing auch ein OpenVPN Tunnel zu meinem Root im RZ auf, um an die internen VMs zu kommen und Backups zu fahren.

Bei den bisherigen Leitungen (2MBit, 16MBit, 25MBit Downstream) war dies für die CPU kein Problem, mit AES-128-CBC als Cipher und SHA1 als Auth, die Bandbreite zu nutzen. Mit dem Upgrade auf die 400er Leitung blieb der Tunneldurchsatz allerdings bei etwa 30MBit „stecken“. Die CPU ist nicht die performanteste und unterstützt noch kein AES-NI oder AVX, aber mich hat natürlich interessiert, wie weit ich Upgraden müsste, um genug Durchsatz zu bekommen.

Leider finden sich kaum aktuelle Vergleiche im Netz, welche Kombination wie viel Durchsatz mit OpenVPN und verschiedenen Ciphern bringt. Der Server im RZ hat selber genug Power, dort werkelt ein Intel Core i7 6700, also aktueller Stand der Technik und AES-NI sowie AVX support. OpenVPN Cipher Speedtest weiterlesen

On-Premise vs Cloud

Aktuell steht bei mir aufgrund des Alters der Festplatten die Überlegung an, den Storage Server ein Upgrade zu verpassen. Aktuell sind 9x 3TB Western Digital in einer ZFS 3×3 Z1 (Raid 50) Kombination verbaut, etwa 18TB Netto.

Alle hängen an einem LSI 9211 16-Port SAS HBA, dazu noch eine Samsung 120GB SSD als Swap sowie L2 und ARC Cache für das ZFS. Das System liegt auf einem ZFS Mirror aus 2x 120GB Kingston SSD.

Die (On-Premise) Überlegungen sind:

5x HGST Deskstar NAS v2 6TB in einem Z1, etwa 24TB Netto
   --> 245€ pro Platte --> 1225€ in Summe
4x HGST Deskstar NAS 8TB  in einem Z1, etwa 24TB Netto
   --> 300€ pro Platte --> 1200€ in Summe
Dazu käme noch: 
   --> Board - Fujitsu D3417-B, 150€
   --> CPU - Intel Pentium G4400, 62€
   --> Ram - 2x Kingston ValueRAM DIMM 16GB, 2x 140€

In Summe auch nochmal fast 500€.

Stromkosten liegen mit gemittelt 150w Verbrauch im 24/7 Betrieb etwa bei 21,60€/Monat oder 262,80€ im Jahr.

Als Alternative dazu gibt es auch zu guten Preisen Server in der Cloud, also Dedicated Root Server, die über ähnliche Spezifikationen verfügen. On-Premise vs Cloud weiterlesen