Beiträge von itbastler

    Das kleine Problem bei der Verschlüsselung ist, dass sobald der Rechner hochgefahren ist, alles entschlüsselt daliegt. Dann hängt alles nur noch an dem Passwort, dass genügend stark sein muss, damit man (hier der Dieb, oder ein zu neugieriger Verwandter) dann nicht an die Daten kommt.
    Da hat ein verschlüsselter Container schon seine Vorteile, da er (eigentlich) nur bei Bedarf geöffnet wird und durchaus hinterher wieder geschlossen werden kann. Da liegen die Daten dann nicht offen herum wie auf dem Präsentierteller.

    Ich kenne LUKS zwar nicht im Detail aber wie bei anderen ähnlichen Systemen, ist die Platte im gemounteten/entsperrten Zustand dem OS gegenüber transparent. Es geht hier ja um Diebstahl o.ä., dh im ausgeschalteten Zustand - Jemand muss ja den Sever abbauen um ihn zu klauen (ja, ich weiß, es gibt Methoden den ohne Stromunterbrechung fort zu tragen ...). Und automatisch wird da ja nichts entsperrt, da muss man schon das HDD-Kennwort eingeben.
    D.h. jetzt nicht unsicherer wie das verschlüsselte BAckup auf einer externen HDD - oder ein Container. Übrigens könnte auch bei letzterem ein Trojaner auf den Inhalt zugreifen, sobald du ihn entsperrst oder eben das Passwort mitloggen.

    wb


    Das o.g. war von mir evtl. etwas missverständlich / stark verkürzt geschrieben. Vollständig ging der Gedanke etwas so: Backups, die zB vom PC autom. laufen und auf dem NAS abgelegt werden, könnte man ohnehin verschlüsselt ablegen oder würde es ohnehin, weil man die ggf zusäzulich noch auf eine extrene Platte, Cloud o.ä. speichert. D.h. dafür würde es jetzt nicht so viel Sinn machen, auch noch die HDD zu verschlüsseln.
    Was ich mit Smartphone etc meinte war: klar schützt das nicht die Daten auf dem Smartphone. Ging eher darum, wenn man da über eine einfache Sicherungssoftware, von Hand oder wie auch immer Daten "einfach so" auf das NAS kopiert/sichert - sind die DORT eben im Falle eines Diebstahls ebenfalls gesichert.


    Aha - ist LUKS dann eher wie EFS? dachte es wäre Sektorbasierte Diskverschlüsselung. Das erklärt auch, weshalb die Initialisierung so schnell fertig war ...


    D.h. deine Nextcloud verwendet nicht die Daten-Disks? Sondern ist ein anderes System/extern/etc? Ist das eine VM oder bringt Nextcloud unabhängig vom Unterbau so eine Funktion mit?

    Wenn man jetzt einen verschlüsselten Container (aus meiner Sicht praktikabler als jede Datei einzeln zu verschlüsseln) hat, dann ist das aus OS-Sicht ja nur ein großer Datenblob. Die Frage ist dann auch, welches Passwort du dafür nimmst. Sollte ja, wenn man es ernst meint, nicht das Anmeldepasswort sein. Dann kommt da noch der Punkt der Sicherung. Der Container wird gerade am Anfang recht Ineffizient sein (kenne das noch aus der Zeit, als wir vertrauliche Daten in TrueCrypt-Containern auf USB-Sticks ausgetauscht haben; Da war dann halt Containergröße==USB-Größe egal was im Container war).

    ähm ... nein ;)


    also ... Dateiverschlüsselung ist in diesem Fall natürlich nicht jede Datei einzeln (von Hand) - im Prinzip ist auf dem zB PC ein Client installiert, der sich im Hintergrund um die tranparente Ver-/Entschlüsselung kümmert - natürlich nur, wenn du dich entsprechend angemeldet hat + berechtigt bist. Was verschlüsselt wird, regelt eine Policy und wer (dh welche Keys) Zugriff haben, regelt ggf. der "owner" der Daten. Ver/Entschlüsselung ist blockbasiert und wenn man so will, nur der jeweilige in/output - es wird also nicht die Datei "auf dem Server" entschlüsselt, nur weil du die lesen oder bearbeiten willst. Für den Anwender + das OS ist es völlig transparent. Multi-User ist daher auch kein Problem.


    Container: wie gesagt - den hatte ich gedanklich ohnehin in den Bereich Homeuser oder Verlegenheitslösung verbannt. U.a. kein Multi-User/gleichzeitiger Zugriff, anfälliger (Container defekt, alles pfutsch...).
    Allerdings gibt es auch bei Containern die Möglichkeit, diese mitwachsen zu lassen ... bis z.B. einer max. Größe. Er belegt dann eben genau nicht sofort 1 GB nur weil du da ein Worddokument drin gespeichert hast.


    Spoiler: ich werde voraussichtlich doch die HDDs verschlüsseln - nach nochmaligem Test macht es auf meinem System offenbar 0 Unterschied bezgl. Performance. Daher schadet es eigentlich auch nicht und man hat so auch einen Schutz von Daten, die evtl. von anderen Geräten kommen, vielleicht Smartphone-Backup oder k.a. - die die Verschlüsselung sonst nicht unterstützen.

    Hi,


    meiner Meinung nach sollte es bezüglich S.M.A.R.T. egal sein, ob die HDD verschlüsselt ist oder nicht. Dementsprechend würde ich die Platte verschlüsseln und gut ist's. Ist bei mobilen Geräten meiner Meinung nach um einiges wichtiger als bei stationären, aber eingebrochen wird ja auch. Ich hab da mal einen recht ausführlichen SuperUser-Post gefunden, der da bissl näher drauf eingeht: https://superuser.com/a/1158788

    Hi, ja, auf S.MA.R.T. hat es natürlich keinerlei Auswirkung, das ist klar. Evtl. hatte ich es missverständlich formuliert (da ging es nur um eine Platte die defekt ist - und bei der Gelegenheit habe ich mich gefragt wie es mit Verschlüsselung wäre d.h. besser oder schlechter).
    Allerdings hatte ich mir auch beim Schreiben meiner Frage es im Prinzip schon selbst beantwortet. Da full disk encryption ja aus Sicht des OS transparent ist - d.h. auch das Filesystem kommt erst "danach" - dürfte man also nicht schlechter dastehen, wie ohne Verschlüsselung - was zB retten/reparieren eines defekten Filesystems, Kopieren noch lesbarer Daten von defekter HDD etc angeht.


    Die Grundsatzfrage, ob es nicht evtl. mehr Sinn macht, die Dateien selbst zu verschlüsseln, bleibt natürlich. Zumindest für mich. Zumal sicher vor Diebstahl etc ok - aber Trojaner auf dem PC der deine Urlaubsbilder, Steuererklärung etc hochläd - auch uncool. Muss ich mal darüber nachdenken...

    Hey, tote sollte man ja eigentlich ruhen lassen ... aber vielleicht ist doch die Langzeiterfahrung interessant? (zumal ich jetzt* in eine intensivere/erweiterte Nutzung gehen will)
    Also - das System hat ja doch nun schon einige Jahre auf dem Buckel ... aber läuft noch wie am ersten Tag. Sogar die Lüfter wurden bisher nicht ersetzt. Lediglich 2x NVMe SSDs aufgerüstet und SATA-SSD dadurch ersetzt.
    Aber halt: eine Sache doch: Mit den WD Red habe ich persönlich nicht wirklich gute Erfahrungen gemacht, von den ursprünglich - ich meine 5 angeschafften, haben/hatten 2 mittlerweile Defekte - wobei das sicher nicht an übermäßiger Beanspruchung lag - vielleicht sind sie auch an Langeweile gestorben.
    *) jetzt - die wichtigste Lehre aus dem Ganzen: Oversized :-) ok, klingt hart und vielleicht stimmt es ja nicht 100% - zwischendurch war ich ja schon auch mal ganz froh für schnelle Tests genug Leistung/Platz zu haben ... aber: Aktuell dümpelt das System bei rund 4-5% CPU und 12-13 GB RAM rum ... zB 64 GB im System waren jetzt nicht so die nachhaltige Wertanlage - finanziell betrachtet ;-)
    Es ist natürlich auch etwas meiner initialen Anforderung geschuldet eher ein Server als ein NAS - Eines für Alles + evtl. noch kommende Anforderungen zu bauen - das hat auch geklappt - s.o. - aber eben auch seinen Preis - im wahrsten Sinne des Wortes.
    Also - wieder bewahrheitet es sich: je besser / enger man die eigenen *momentanen* Anforderungen kennt und *diese* abdeckt desto besser. Zu weit in die Zukunft planen loht nicht.
    Dennoch - gutes System. Und vielleicht wenn man die Komponenten auf dem Gebrauchtmarkt bezieht - ein Schnäppchen (zumindest habe ich einen relativ neuen Artikel gefunden, in dem ein ähnliches aber etwas langsameres System verwendet wird)

    Hi,


    die Frage mag doof klingen - "natürlich" sollte man unbedingt die NAS-Platten verschlüsseln ... aber ist das wirklich so?


    - Performance: ok, wäre jetzt vielleicht nicht Prio. In einem flüchtigen Test kam ich mit 1 große Datei auf eine NAS-HDD via 1 Netzwerkkarte (GBit) lesen/schreiben auf jeweils > 100 MB/s - sowohl verschlüsselt als auch unverschlüsselt. Unverschlüsselt waren es vielleicht ein Tick mehr - sagen wir 108-115 statt 102 oder so - aber egal oder Meßungenauigkeit - außerdem ist mein Laptop auch nicht optimal, um die max. Geschwindigkeit auszureizen)


    - Sicherheit im Sinne Datensicherheit/Verfügbakeit:
    Ausgelöst durch meine ganz aktuelle Erfahrun: Wollte einige WDRed in Betrieb nehmen, die bisher darauf harrten, zum Einsatz zu kommen. O.g. Test gemacht (unerschlüsselt) - schreiben alles ok. Dann Datei wieder lesen - komische Einbrüche, am Ende E/A Fehler. Nachgelesen ... vermutl. Platte defekt. Test gemacht - tatsächlich: defekte Sektoren (und S.M.A.R.T. zeigte da auch schon defekte Sensoren an - leider aber etwas "zu spät", wenn es reale/wichtige Daten gewesen wären).
    Nun habe ich mich gefragt: ok - bei unverschlüsselt schon doof, wenn einige Dateien schrott sind. Wie wäre es aber bei einer verschlüsselten HDD? Macht das einen gravierenden Unterschied? Außer die defekten Sektoren betreffen den Header.
    Bei Container-Verschlüsselung zB steigt das Risiko m.E. beträchtlich, weil es da viele Faktoren gibt, die einen Container unbenutzbar machen.


    Die alternative wäre ja, wirklich schützenswerte Daten filebasiert zu verschlüsseln (autom. über einen entsprechenden Client).


    Erfahrungen? Meinungen?

    hm ... dann hab ich es wohl zufällig richtig gemacht. D.h. Alle Platten, aber dann Freigabe "Daten" angelegt (Ordner wurde entsprechend angelegt/vorgeschlagen).


    Ach ja - gibt es einen Richtwert für die Parity je HDD - hab da im Moment glaube ich noch die Default 8 GB - ist wohl zu wenig (4TB Platten). (jetzt wo ich 4 TB lese kommen die mir so klein vor ...).


    Sc0rp: welche Policy verwendest du denn? Evtl ist es ja für die Platten schonender, wenn man die lieber nacheinander füllt (weil dann die Sachen bei einem Zugriff beisammen liegen und nicht 2+ HDDs anlaufen müssen?)

    mergerfs nicht direkt im root der Festplatte, sondern in einen Unterordner deshalb:

    • snapraid schreibt im root directory jeder Platte eine Datei (die solltest du nicht sehen im Pool)
    • mit mergerfs merkst du eh nicht, dass alles in einem Subdirectory liegt, sondern siehst nur das Pool
    • du kannst auf einer Platte mehrere mergerfs Pools anlegen

    die Ordner würde ich alle gleich nennen, am besten wie den Pool dann.


    ich synchoniziere SnapRAID händisch, nachdem ich neue Mediendateien auf mein Pool gespielt habe.
    immer beachten: mergerfs => pool, snapraid => Datensicherheit, und dann gibt es noch das Backup...

    und wie (das mit den Ordnern)? Mergerfs zeigt mir bei "add file system" nur Festplatten an, keine Ordner.
    Was wäre ggf. der Anwendungsfall für mehrere Pools?


    Wie verteilst du denn die Dateien auf die HDDs? Eine nach der anderen füllen, alle gleichmässig, ...?

    Hi zusammen,


    ich wollte mir mal mergerfs + snapraid näher ansehen. Dazu sind mir einige grundlegende Fragen gekommen, auf die ich hier so nicht direkt die Antworten gefunden hatte:


    - welches ist die "beste" Policy für das Speichern von Dateien (meister/wenigster Speicherplatz, exist. Pfad, etc.) bzw was sind die Vor/Nachteile? Meine ich hätte wo etwas gelesen, dass es auch Auswirkungen auf die Synchronisation hat. Ein anderer Gedanke war, evtl. das Risiko zu streuen, wenn nicht alles auf einer HDD liegt (wobei das ja die Parity auch sicherstellen sollte). Evtl. Geschwindigkeit lesen/schreiben von mehreren HDDs vs. laufen ggf. auch mehere HDDs statt nur eine.


    - ihr scheibt ja, dass man entgegen der Anleitung nicht direkt das root einbinden soll, sondern einen Ordner anlegen. a) was genau ist der Grund und b) kann Jemand die Schritte genauer beschreiben? (zB sollen/müssen die obersten Ordner dann je HDD gleich lauten oder dürfen sie genau das nicht)?


    - wie macht ihr es mit der Synchronisation? Autom, von Hand, chronjob o.ä.?

    Code
    root@nas01:~# apt-get install iscsitarget-dkms
    Paketlisten werden gelesen... Fertig
    Abhängigkeitsbaum wird aufgebaut.
    Statusinformationen werden eingelesen.... Fertig
    iscsitarget-dkms ist schon die neueste Version.
    0 aktualisiert, 0 neu installiert, 0 zu entfernen und 18 nicht aktualisiert.


    was meinst du genau "bei VMware"? Also RDP ja in den Gast rein (sofern der das kann). Ansonsten kann man per VMware-(Web-)Client auch direkt auf die Konsole (sprich: "den Bildschirm") der Gäste zugreifen.
    TV hab ich nur, wenn es sein muss. Scheint mir oft langsamer als RDP.

    von mir kleiner Nachtrag aus der (Arzt-)Praxis: Ich habe/hatte hier im direkten Vergleich NUCs mit i3-5xxxU im Vergleich zu Mini-Shuttle (so ca. 20x20x7 cm) mit i3-4xxxx. Beide mit SSD - wobei das Shuttle eine SATA (Samsung o.ä.) hat und der NUC meine ich eine M.2 - aber was langsameres - sandisk o.ä.
    D.h. die Systeme sind nicht wirklich identisch aufgenaut, aber dennoch ist mein Eindruck, dass der i3-4xxxx deutlich mehr Performance hat - gerade bei intensiveren Anwendungen (Installation, Scannen/OCR, etc). Wie gesagt, die SSD mag schneller sein - aber m.E. liegt es auch/mehr noch an 2,1 GHz (oder so) zu 3.x GHz - also der 4er hat >30% mehr und ist so gesehen mit vielen Aufgaben auch 30% eher fertig.


    Neulich hatte ich einen NUC mit i3-6xxxU, dem ich eine M.2 Samsung 960 EVO spendiert habe (wenn ich mich nicht irre ist es beim 6er auch nve/pci). Da würde ich sagen fühlen sich die beiden Systeme eher gleich an - aber sind eben auch zwei Generationen dazwischen und eine sehr performante SSD.


    Geräusch: Bei beiden NUCs (also 5er und 6er) war / bin ich eigentlich mit dem Geräusch sehr zufrieden (hatte im Bios glaube ich die Drehzahl noch etwas nach unten gestellt).
    Beim Shuttle (Modell müsste ich nachsehen) im Prinzip auch, aber die Lüfter verdrecken schnell, weil die die Luft ansaugen - hier würde ich ggf. so ein Lüftergitter mit Magnet davor machen. Ersatzlüfter wird man nämlich praktisch nur von Shuttle bekommen (weg. der Maße) und die sind unverschämt teuer.

    Hi,


    bin beim Suchen zufällig auf napp-it aufmerksam geworden.


    Da mit OMV im Moment bei mir nicht alles so funktioniert wie erhoft und ich (im Moment) primäre die Storage-Funktion benötige (also das, was ich bisher immer unter NAS verstanden habe - ohne glitzer, bund, etc), frage ich mich, ob das nicht evtl. besser für mich wäre. Gibts da Erfahrungen?

    Will ich iSCSI aktivieren, bekomme ich folgende Fehlermeldung beim Speichern:




    Code
    Failed to execute command 'export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin; export LANG=C; systemctl start iscsitarget 2>&1' with exit code '1': Job for iscsitarget.service failed. See 'systemctl status iscsitarget.service' and 'journalctl -xn' for details.

    KLick ich auf Details kommt:
    Fehle
    #0:exception 'OMV\ExecException' with message 'Failed to execute command 'export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin; export LANG=C; systemctl start iscsitarget 2>&1' with exit code '1': Job for iscsitarget.service failed. See 'systemctl status iscsitarget.service' and 'journalctl -xn' for details.' in /usr/share/php/openmediavault/system/process.inc:175Stack trace:#0 /usr/share/php/openmediavault/system/systemctl.inc(83): OMV\System\Process->execute(Array, 1)
    #1 /usr/share/php/openmediavault/system/systemctl.inc(101): OMV\System\SystemCtl->exec('start', NULL, false)
    #2 /usr/share/openmediavault/engined/module/iscsitarget.inc(76): OMV\System\SystemCtl->enable(true)
    #3 /usr/share/openmediavault/engined/rpc/config.inc(194): OMVModuleIscsiTarget->startService()
    #4 [internal function]: OMVRpcServiceConfig->applyChanges(Array, Array)
    #5 /usr/share/php/openmediavault/rpc/serviceabstract.inc(124): call_user_func_array(Array, Array)
    #6 /usr/share/php/openmediavault/rpc/serviceabstract.inc(150): OMV\Rpc\ServiceAbstract->callMethod('applyChanges', Array, Array)
    #7 /usr/share/php/openmediavault/rpc/serviceabstract.inc(528): OMV\Rpc\ServiceAbstract->OMV\Rpc\{closure}('/tmp/bgstatus3L...', '/tmp/bgoutputIX...')
    #8 /usr/share/php/openmediavault/rpc/serviceabstract.inc(151): OMV\Rpc\ServiceAbstract->execBgProc(Object(Closure))
    #9 /usr/share/openmediavault/engined/rpc/config.inc(213): OMV\Rpc\ServiceAbstract->callMethodBg('applyChanges', Array, Array)
    #10 [internal function]: OMVRpcServiceConfig->applyChangesBg(Array, Array)
    #11 /usr/share/php/openmediavault/rpc/serviceabstract.inc(124): call_user_func_array(Array, Array)
    #12 /usr/share/php/openmediavault/rpc/rpc.inc(86): OMV\Rpc\ServiceAbstract->callMethod('applyChangesBg', Array, Array)
    #13 /usr/sbin/omv-engined(536): OMV\Rpc\Rpc::call('Config', 'applyChangesBg', Array, Array, 1)
    #14 {main}





    "systemctl status iscsitarget.service" liefert dann:



    root@nas01:/etc/init.d# systemctl status iscsitarget.service -l
    â iscsitarget.service - LSB: Starts and stops the iSCSI software target
    Loaded: loaded (/etc/init.d/iscsitarget)
    Active: failed (Result: exit-code) since Di 2017-06-13 16:39:43 CEST; 9min ago
    Process: 8968 ExecStart=/etc/init.d/iscsitarget start (code=exited, status=1/FAILURE)



    Jun 13 16:39:43 nas01 iscsitarget[8968]: Starting iSCSI enterprise target service:modprobe: FATAL: Module iscsi_trgt not found.
    Jun 13 16:39:43 nas01 iscsitarget[8968]: failed!
    Jun 13 16:39:43 nas01 systemd[1]: iscsitarget.service: control process exited, code=exited status=1
    Jun 13 16:39:43 nas01 systemd[1]: Failed to start LSB: Starts and stops the iSCSI software target.
    Jun 13 16:39:43 nas01 systemd[1]: Unit iscsitarget.service entered failed state.



    hatte irgendwo gelesen, es gehe angeblich mit den backport kernel nicht?
    4.9.0-0.bpo.3-amd64 #1 SMP Debian 4.9.25-1~bpo8+1 (2017-05-19) x86_64 GNU/Linux

    Nächstes Update:


    Netzteil wurde gegen ein BeQuiet Straight Power 10 400W mit 80+ Gold getauscht. Idle-Verbrauch nun bei 40-41W. Finde ich super :)

    bezogen auf welches System? Du hast doch mehrere, oder? Das A10-6800k mit o.g. HDD-Bestückung? Hast du HW-RAID drin?


    Mein System hatte ich ja mal gepostet - grob: ESXi6 auf Xeon 1230v5, 32 GB RAM, 2x SSD, 3x4 TB WD Red 3.5" -> idle im Moment <24 W

    hast natürlich in den meisten Punkten recht. Das "Basteln"ist aber nicht so schlimm wie es klingt - da ja eine VM releativ leicht zu richten, falls total daneben gegriffen.


    Tja - trotz google keine eindeutige Lösung (bzw. keine Lösung / unbekannter Grund). M.E. nach tritt das Problem auf, sobald ich APM nutzen will (bei mir 127 - spindown 20m). Denke da passt evtl was an den Kommandos nicht - also so in der Art Inkompatibilität Controller (Intel Sunpoint) + ESX + RDM + APM.
    Kann schon sein, dass man da mit den richtigen Einstellungen Host-BIOS (supermicro) + speziellen VM-Einstellungen (hatte etwas mit kein Reset an LUN schicken oder auch mit VM braucht bei RDM größer als X mehr Speicherüber Addressierung/Bereich xy ... k.A....) das Problem lösen kann - hab aber nichts konkretes gefunden und ich stecke da auch bei weitem nicht tief genug drin, leider.


    Hab nun mal den ganzen Controller durchgereicht und bisher scheints keine Probleme zu geben ... APM scheinnt der Anzeige nach (<24W, bei 3x WD Red + 1 SATA-SSD + 1 M.2-SSD) auch zu funktionieren - vermutl. inkl. spindown (wegen der <24W) - muss ich aber mal nachsehen.

    ist das Thema noch aktuell? Mir fehlen da Infos, wie du dein System (hardware) aufgebaut hast, also


    - ganz "unten" kommt OMV - darauf dann per Vbox 1-2 VMs?
    - liegt OMV + VMs auf der gleichen HDD
    - was hast du überhaupt für HDD(s) und wie sind die konfiguiert (RAID etc)? z.B. bei SATA-HDDs womöglich im Soft-Raid-5 würde es mich nicht wundern, wenn da Platten-Performance in den Keller geht. Dazu würde eigentlich auch "bei der Installation schon langsam" passen


    Unabhängig davon: was soll denn auf OMV + den VMs laufen (sprich: welche Last kommt da). Weil bei max 8 GB RAM - und dann eine W10 VM ... wieviel braucht die, um flüssig zu laufen? Denke mal mind. 2c + 4-8 GB RAM...?