Fragen zu Datenbackups (rsnapshot) und der LUKS-Verschlüsselung unter OMV. Dateisysteme? Konzept ohne RAID und Seafile sinnvoll? Möglichkeiten bei einem Systemausfall?

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Fragen zu Datenbackups (rsnapshot) und der LUKS-Verschlüsselung unter OMV. Dateisysteme? Konzept ohne RAID und Seafile sinnvoll? Möglichkeiten bei einem Systemausfall?

    Hallo Leute!
    zunächst einmal wollte ich meinen Lob an das Technikaffen Team, für den wirklich super informativen und hilfreichen Artikel (Nas Eigenenbau 2015...), aussprechen! Ich habe mir ein fast identisches Setup mit 3 WD Red Festplatten zusammengestellt und bereits bestellt. Das sieht dann so aus:

    * Mainboard: Asrock N3700 statt dem N3150.
    * Gehäuse: Fractal Design 304 (ca 79€) mit 6x Einschüben statt dem Coolermaster. Ich wollte mir hier die Flexibilität beibehalten, falls mal 2 Festplatten bzw. mal ein besseres Netzteil dazu kommen sollten. Vielleicht ist das Gehäuse für den einen oder anderen interessant, da es meines Erachtens relativ kompakt ist.
    Da ich kein Fan vom RAID Modus bin und lieber ein inkrementelles Backup basierend auf rsnapshot erstellen möchte (das Linux-tool/Plugin gefiel mir in OVM in der Virtualbox sehr gut), so habe ich nun vor meine 3 Festplatten einzeln zu betreiben.

    Dabei soll der Inhalt von der ersten WD Red auf die zweite WD Red inkrementell bzw. rotierend gebackuped statt gespiegelt werden (Raid 1). Da ich noch eine 2TB USB 3.0 Festplatte besitze, möchte ich den Inhalt der dritten WD Red genauso mit rsnapshot auf die USB 3.0 Platte backupen.

    Ich versuche mich daher nicht explizit (jedoch implizit) gegen ein Single-Point-of-Failure zu schützen. Der Hintergrund ist ein anderer. Ich möchte mein NAS System auch als lokalen Cloud Server (Seafile unter dem Debian) nutzen. D.h. sollte ich mal ausversehen eine Datei auf den Client PCs löschen, und Seafile synchronisiert mir diese Veränderung ungewollt, dann hilft mir mein inkrementelles Backup es wiederherzustellen (der Versionierung von Seafile traue ich nicht ganz bzw. doppelt hält besser). Sollte das NAS komplett kaputt gehen oder geklaut werden, dann habe ich ja aufgrund der Seafile Synchronisierung zumindest eine Kopie meiner allerwichtigsten Daten auf dem Notebook (trage ich immer bei mir) bzw. auf dem Desktop PC. Alle Festplatten sollten übrigens mit dem LUKS Plugin verschlüsselt werden (AES-NI sei dank! :)).

    Warum erzähle ich das? Es ergeben sich hier nämlich einige Fragen für mich und ich möchte später nicht doof in die Röhre gucken. :) Tun wir am besten so als würde ich gar keine Verschlüsselung benutzen und das NAS Betriebssystem ist dahin:

    1) Welche(s) Dateisystem(e) sollte ich am besten für die Festplatten verwenden? Ich nutze Windows Clients und würde am liebsten, bei einem Ausfall des Betriebssystems, die Backup-Festplatte (sagen wir mal die einzige die nach dem Ausfall noch hoffentlich funktioniert) unter Windows durchsuchen können. Da kommen die nächsten Fragen auf:

    2) Angenommen ich würde die Festplatten NTFS formatieren (in der Kommandozeile, falls das OMV überhaupt mögen würde?), könnte ich mir den Inhalt unter Windows trotz der Hardlinks anschauen? Eher ja wohl nicht, oder? Kann ich die Festplatte dann zumindest an einem anderen Linux Rechner anschließen und die normal durchforsten (aufgrund der Hardlinks, wo wird diese Info weggespeichert, im Betriebssystem oder lokal auf der Platte!?)? Da fehlt mir so ein wenig der Background zu.

    Da ich ja noch alles verschlüsseln möchte [b](bei einem Diebstahl würde ich besser schlafen können, wenn alles verschlüsselt ist), habe ich hier noch ein paar Fragen zu: [/b]
    3) OMV nutzt LUKS als Unterbau zum Verschlüsseln. Soweit ich weiss, ist die benötigte Information im Festplatten Header weggespeichert, um den Data encryption key rekonstruieren zu können. D.h., wenn ich die besagte Festplatte in ein anderes Linux System einbaue, kann ich diese dann mit Hilfe der Kommandozeilen Luks-Tools und dem Passphrase jederzeit entschlüsseln? Sowie es bei Truecrypt/VeraCrypt der Fall ist?

    Allgemeine Frage zum Konzept:
    4) Angenommen 1-3 sind soweit kein Problem. Habe ich hier evtl. einen Denkfehler oder bin ich so auf der relativ sicheren Seite was die Safetey meiner wichtigsten Daten angeht?

    Vielen Dank im voraus,
    dede
  • Ich habe nun mit zwei virtuellen Maschinen experimentiert und möchte auf meine eigenen Fragen eingehen, damit evtl. jemand anders davon profitieren kann.

    1. Für mich kamen entweder das XFS oder EXT4 Dateisystem in Frage. Da ich bei meinen virtuellen Maschine beobachten konnte, dass das XFS Dateisystem teilweise bis zu 30 Sekunden verzögert, um kopierte Daten vom Cache auf die Festplatte zu schreiben, fällt die Entscheidung für mich auf EXT4. Bei einigen Usern im Internet hiess es, dass das Wegschreiben unter XFS teilweise sogar Minuten dauern kann. Sollte man nämlich z.B. gerade Fotos synchronisieren, und das NAS friert ein oder es gibt ein Powerdown, dann sind unter Umständen einige Bilder verloren. Man kann die Festplatte (mit XFS Partition) zwar mit "mount -o remount,rync /dev/sdax" so mounten, dass die Synchronisation zwischen Cache und Festplatte unmittelbar geschieht, aber das geht dann a) auf die Performance und b) ist mir etwas zu hacky. Genauso hacky wäre es einen Crontab einzurichten, der alle 5 Sekunden den Befehl "sync" ausführt. Bei EXT4 wurden die Daten nach spätestens 5 Sekunden vom Betriebssystemcache auf die Festplatte geschrieben. Da ist das Risiko vom Datenverlust etwas geringer.

    2. Ich habe die Linux Festplatte (VDI Datei) von OMV in ein andere virtuelle Maschine unter Ubuntu eingebunden, also das Umstecken der Festplatte von Rechner A zu B simuliert. Alle Dateien sind normal durchsuchbar. Sprich die Hardlinks werden lokal abgelegt. Das mit Windows könnte evtl. funktionieren, wenn man ein EXT4 Reader Tool hat. Ich habe es jetzt nicht mehr gestested und werde es im Notfall in einem raspberry pi Linux mounten.

    3. Ja. Alle nötigen Informationen sind im Festplattenheader abgelegt. Daher diesen gut sichern, sonst sind alle Daten weg, wenn der Header korrupt gehen sollte! Ich habe die luks-verschlüsselte Festplatte am Ubuntu Rechner angeschlossen. Wer eine GUI hat, der kann ein Doppelklick auf das Festplattensymbol mit Schloss machen und dann seine Passphrase eingeben.
    Wer ist mit der Kommandozeilen machen möchte, kann folgende Befehle benutzen:

    C-Quellcode

    1. #intalliert die LUKS Verschlüsselung
    2. sudo apt-get install cryptsetup
    3. #zeigt die gleichen Informationen wie das Informationsfenster bei OMV
    4. sudo cryptsetup luksDump /dev/platte
    5. #entschlüsselt die Festplatte
    6. sudo cryptsetup luksOpen /dev/platte /zielpfad

    4. Das mag ich nicht selbst beurteilen und lasse es weiterhin als offene Frage.

    Viele Grüße,
    dede
  • Hallo,
    komme leider erst jetzt dazu, etwas zu Antworten:

    zu 1)
    NTFS geht unter LInux, sogar mit Schreiben - die Performance ist aber unterirdisch und man hat massive Probleme mit Rechten und Quotas - davon würde ich abraten. EXT ist hier das Mittel der Wahl, wenn dein Hauptansinnen Sicherheit ist, könnte man auch das Journaling abschalten - btw. ob Daten innerhalb von 5s auf die HD geschrieben wird, hängt u.a. vom RAM-Cache ab, wenn der groß genug ist, reichen 5s sicher nicht mehr ... man muss hier Journaling und Caching getrennt betrachten. Beides schützt im ersten Anlauf eine USV.

    zu 2)
    Linux liest grundsätzlich erstmal alle Dateisysteme. Daher könnte man im absoluten Notfall die Festplatte(n) auch an einen Windows-Host anschließen und diesen mit einem Linux-Live-System booten (diverse Rettungsdistributionen bringen dafür auch die meisten Treiber und Tools mit). Es gibt auch EXT-Treiber für Windows ... das würde ich aber mit Vorsicht geniessen.

    zu 3)
    hast du dir selber beantwortet (Anderes würde auch keinen Sinn ergeben ;))

    zu 4)
    Denkfehler ... je nachdem wie man es sieht: RAID hat nichts mit einem Backup zu tun! Man darf es weder vergleichen noch Beides anderweitig vermischen, von daher gehst du bei deiner SPoF-Betrachtung von falschen Vorraussetzungen aus.
    Und wer der Versionierung von Cloudsystemen nicht vertraut, sollte sie auch nicht einsetzen ;).

    Zudem mangelt es deinem "paranoiden" Konzept (bitte nicht negativ verstehen) an Konsequenz: wer die Wichtigkeit seiner Daten über alles hebt, sollte das entsprechend auch in allen Konzepten zum Ausdruck bringen!

    Das fängt bei der Hardware an: "HTPC-HW", RAM ohne ECC, keine USV, kein RAID ... und setzt sich im Backup-Konzept fort. Man könnte hier durchaus ein RAID1 einsetzen, denn ein Backup brauchst du trotzdem / musst du trotzdem machen. Interne Festplatten taugen m.E.n. nicht für Backup's abseits von OS-Images ... mind. Extern und 50cm entfernt (aka "bei einem Brand beim rausrennen greifbar") oder wenn man schon Sicherheit haben möchte, dann rsync/rsnapshot auf ein geographisch entferntes System (400km sind recht Atombombensicher, hab ich mir sagen lassen - aber bloß keine "Amerika-Clouds" benutzen). Beim Backup-Konzept darf man auch ruhig mehrere Sachen verschachteln, sprich 5min Sync auf die Externe Platte, 1h Sync auf ein "weit entferntes" NAS, ggf. gepaart mit täglichen oder wöchentliche OS-Images und Daten-Full-Backups (differentiell, inkrementell, whatever du möchtest).

    Und gaaaaaanz wichtig: mind. 1x die Wiederherstellung (trocken) üben - was nützt Einem das schönste Backup-System, wenn die Wiederherstellung nix taugt ...

    Sc0rp
  • Sc0rp schrieb:

    Und gaaaaaanz wichtig: mind. 1x die Wiederherstellung (trocken) üben - was nützt Einem das schönste Backup-System, wenn die Wiederherstellung nix taugt ...
    ja, das vergessen die meisten. Backup wird ja noch gemacht, ob ich auch wieder vernünftig lesen und einspielen kann, wird meist übersehen. Ist leider nicht nur im privaten Umfeld so, da wird auch in vielen Firmen geschludert...
    SW: OMV 4.1.22 (Arrakis), Snapraid mit mergerfs, Minidlna
    MSI B150M ECO, Intel Pentium G4400, 16GB Kingston DDR4, SSD 250GB, 4TB Daten, 3*8TB+6TB SnapRaid (8TB Parity,3+3+2TB Parity2), FSP Aurum S 400W, Fractal Node 804
  • Re,

    wtuppa schrieb:

    Ist leider nicht nur im privaten Umfeld so, da wird auch in vielen Firmen geschludert...
    Und genau deswegen rentieren sich komerzielle Backup-Programme grundsätzlich - da ist das quasi garantiert ;) (sonst würde keiner mehr das Produkt kaufen).

    Ich würde grundsätzlich ein mehrstufiges Backup-System empfehlen, das aus kurzen, wenig datenintensiven inkrementelle/differentiellen Teilbackups besteht und längeren datenintensiveren Backups, bis hin zum täglichen/wöchentlich "Imagen" (1:1 Komplettkopie). Kommt natürlich auf den Workload und die Paranoia an. Im übrigen ist Paranoia in diesem Zusammenhang positiv, Daten gehen immer schneller über den Jordan, als man denkt :P. Natürlich muss jeder (s)ein eigenes aber stimmiges Gesamtkonzept "Backup" entwickeln ...

    Sc0rp