Raid 5 am Server verschlüsseln
Willkommen in der Mk-Community › Foren › Software › Linux/Unix › Raid 5 am Server verschlüsseln
- Dieses Thema hat 14 Antworten und 8 Teilnehmer, und wurde zuletzt aktualisiert vor 14 Jahren, 3 Monaten von spokekiller.
-
AutorBeiträge
-
-
14. September 2009 um 16:09 Uhr #494361lonsTeilnehmer
HiIch erweitere gerade meinen Server um 3TB (HW Raid 5 mit 3Ware Controller).Nun würde ich diese Partition gerne verschlüsseln.Bei TrueCrypt hab ich gelesen das es momentan keine Netzwerkfunktion gibt.Mit was kann ich diese Partition verschlüsseln um über Windows, Linuxrechner und der Xbox mit XBMC zugreifen zu können?Am liebsten wäre mir etwas wo beim Zugriff auf die Partition eine Passwortabfrage kommt und ich mich nicht mit der Workstation erst anmelden muss sonder Xbox ein -> Server fährt mit WOL hoch ->Passwort abfrage -> DatenzugriffIst sowas möglich?EDIT: Betriebssystem des Servers ist Ubuntu Server.Danke, Lons
-
16. September 2009 um 12:09 Uhr #828651lonsTeilnehmer
Keiner ne Ahnung???
-
8. Dezember 2009 um 13:12 Uhr #835571DrDoomTeilnehmer
hallo lons,
vor genau diesem problem stehe ich seit über einem monat auch. und ich bin noch immer nicht auf die lösung gestoßen .. leider.
ich weiss nur das truecrypt das linux Kernel cryptomodul XTS benutzt und das in der aktuellen version ( aktuell im kernel 2.6.31 ) nicht mit laufwerken die größer sind als 2 TB klar kommt. man kann dies umgehen indem man truecrypt sagt das es nicht das kernel modul nehmen soll. das habe ich auch gemacht jedoch dadurch ist das system so stark in die knie gegangen das verschlüsseln zu einer echt unangenehmen geschichte macht. ich hab ohne verschlüsselung locker 70MByte/s schreibgeschwindigkeit auf mein RAID5 am 3ware controller .. und mit verschlüsselung ohne kernel support nur noch knapp 10-17MByte/s .. das is echt zu doll .. und das trotz meines A64 X2 4200+ .. der rennt dann aber auch mit mind. 70-80% CPU load alleine für truecrypt.mein problem ist eigentlich das ich unbedingt das gesamte RAID auf einmal verschlüsseln will und das nicht auf mehrere container aufteilen will, eigentlich muss das doch möglich sein .. aber wie gesagt .. seit einem monat komm ich nicht vorran. hast du schon was geschafft ? oder sonst irgendwer ? ich benutze übrungs z.Z. auch ubuntu 9.10 server …
MfG DrDoom
-
16. Dezember 2009 um 10:12 Uhr #836353spokekillerTeilnehmer
lons;390022 said:
Keiner ne Ahnung???LUKS? –>http://forum.ubuntuusers.de/topic/how-to:-komplett-verschluesselung-mit-cryptse/
Bei TrueCrypt hab ich gelesen das es momentan keine Netzwerkfunktion gibt.
Du meinst, Du kannst den encrypted container nicht via Netz zugänglich machen? Das kann ich fast nicht glauben. Sobald der TCC mounted ist, hast du ihn als Pfad doch so zur Verfügung, um ihn bspw via http oder samba oder nfs auch ansprechen zu können!?
Was Dir natürlich klar sein dürfte ist, dass Deine Daten dann zwar verschlüsselt auf HD liegen, aber im Klartext übers Netz gehen. Im Hausnetz aber total egal.Dazu generell die Frage, weil ich auch oft mit mir kämpfe, was wie verschlüsselt werden sollte/könnte. Also so wie sich das anhört gehts bei Dir um Filme. Ich bin jetzt mal so unverschämt und sage: illegale Inhalte, 😯 — weil mir einfach spontan kein Grund einfallen will, 3TB Kopien meiner eigenen BD oder DVD verschlüsseln zu müssen… :p
Wenn Du Dir mit dieser Verschlüsselung, und darauf will ich raus, nur ein wenig mehr Seelenruhe erkaufen willst, dann sei Dir versichert, dass Dir das (a) jetzt nur höllischen Aufwand unter Performanceinbußen beschert und (b) im echten, wirklichen Ernstfall (Hausdurchsuchung, Strafverfahren etc pp) nichts, aber auch nichts nützen wird.
Entgegen vieler Behauptungen sind die Jungs vom BKA fit genug, um encryption zu erkennen und dann wirst Du mit Rechtsmitteln gezwungen, das PW rauszurücken.Also, wenns wirklich für diesen Zweck WÄRE, was ich NICHT unterstelle (aber schon viele solche Fragen gehört und gelesen habe, die diesen Hintergrund hatten), dann spar’s Dir doch einfach. Leg lieber ein Induktionskochfeld neben Deinen Tower und mach nen Pilzschalter dran, sodass Du bei Erstürmung der Bude durchs SEK in 0,nix die Platten samt Daten vernichten kannst… (Meine Lieblings-Film-Szene dazu aus “The Core” — wunderbar lustig). :d:
Ansonsten, empfehle ich, sich evtl von TC, das ich auch gerne nutze wegzubewegen und evtl dann LUKS zuzuwenden.
Grüßle,
spokePS: ich hoffe Du konntest meinen sanften Sarkasmus raushören. Falls nicht, sei Dir versichert, dass ich Dir nicht zu nahe treten wollte und Dir sogar gerne beim Fummeln mit LUKS helfen will, wenngleich ich da auch keine Leuchte bin.:)
-
31. Dezember 2009 um 2:12 Uhr #837630ZoldanTeilnehmer
Bin gerade an der gleichen Sache. Truecrypt benutze ich zwar unter windows, allerdings will ich das für den Fileserver nicht einsetzen. Ich werde wie spokekiller schon vorgeschlagen hat LUKS. Wenn das initialisieren vom Raid nicht so lange dauern würde könnte ich schon erste Ergebnisse liefern. Näheres dazu findest dann in meinem Thread.
Im übrigen braucht man sich afaik bei solchen Sachen nicht selber vor Gericht belasten, also wenn man das Passwort “vergessen” hat kann einen keiner dazu zwingen das raus zu rücken.
-
31. Dezember 2009 um 9:12 Uhr #837633borsti67Teilnehmer
Zoldan;400104 said:
Im übrigen braucht man sich afaik bei solchen Sachen nicht selber vor Gericht belasten, also wenn man das Passwort “vergessen” hat kann einen keiner dazu zwingen das raus zu rücken.Jein, das bewirkt m.W. dann eine Beweislast-Umkehr – wenn Du das Laufwerk nicht entschlüsseln “kannst”, geht man davon aus, dass die Anschuldigungen der Wahrheit entsprechen.
Du hast also nur dann einen Vorteil, wenn die Beamten auf Deinen Platten Dinge vorfinden würden, die das Strafmaß noch verschärfen würden… :-& -
2. Januar 2010 um 0:01 Uhr #837707flydieTeilnehmer
Ok. Ich versuche mich mal kurz zu fassen, da ähnliche Diskussionen hier schon mehrfach geführt wurden und die Diskussion in Sachen Rechtsfragen imo hier nichts zu suchen hat.
borsti67;400107 said:
Jein, das bewirkt m.W. dann eine Beweislast-Umkehr – wenn Du das Laufwerk nicht entschlüsseln “kannst”, geht man davon aus, dass die Anschuldigungen der Wahrheit entsprechen.
Du hast also nur dann einen Vorteil, wenn die Beamten auf Deinen Platten Dinge vorfinden würden, die das Strafmaß noch verschärfen würden… :-&Nicht wirklich. In Deutschland gilt die Unschuldsvermutung. Ich Zitiere mal aus dem Wikipedia Artikel:
„Jeder Mensch, der einer strafbaren Handlung beschuldigt wird, ist solange als unschuldig anzusehen, bis seine Schuld in einem öffentlichen Verfahren, in dem alle für seine Verteidigung nötigen Voraussetzungen gewährleistet waren, gemäß dem Gesetz nachgewiesen ist.“
Zum eigentlichen Thema: Leider ist die Beschreibung sehr schwammig, darum muss ich etwas raten.
Zum Thema Verschluesselungsmethode: Nimm, wie schon vorgeschlagen, LUKS mit ordentlicher Schluesselbreite und gutem Verschluesselungsalgorithmus (z.B. AES mit 256Bit breite sollte aktuell sicher genug sein).
Zum Thema Netzwerk: Samba/FTP/HTTP etc. koennen problemlos auf verschluesselte Platten zugreifen, WENN das Filesystem auf der Platte/Partition gemountet ist. Die sollte dann dementsprechend entweder beim Booten oder spaeter manuell (z.B. per SSH) geschehen.
Ich fuer meinen Teil kenne kein System, bei dem die entsprechende Partition erst beim Zugriff uebers Netzwerk gemountet werden kann.
-
2. Januar 2010 um 1:01 Uhr #837709ZoldanTeilnehmer
Ich müsste mich da jetzt auch erst einlesen, ob es sowas für FTP gibt. Allerdings fände ich das für mich auch interessant. Vielleicht schaue ich mal ob man sowas irgendwie machen kann wenn ich mal Zeit dafür habe (das kann dauern!)
Ich habe auf meiner FritzBox einen Subversion server laufen, der über SSH getunnelt wird. Da ist ein Schlüssel für jeden User hinterlegt, wenn ich mich also mit einem entsprechenden Schlüssel an der FritzBox anmelde, wird ein neuer svnserve gestartet mit vorgegebenen Benutzernamen etc pp. Melde ich mich ab, wird der svnserve Prozess beendet. Ich könnte mir vorstellen, dass man das vielleicht so oder auch total anders auch für andere Protokolle machen könnte. Aber wie gesagt ich habe keine Ahnung und müsste mich in das Thema selber einlesen.Wenn du raus kriegst ob sowas machbar ist wäre ich dir dankbar wenn du dich hier meldest, das wäre für mich auch ein nettes feature (allerdings auch kein muss, deswegen erstmal ganz hinten angestellt).
-
10. Januar 2010 um 13:01 Uhr #838602Christoph!Administrator
flydie;400191 said:
Ok. Ich versuche mich mal kurz zu fassen, da ähnliche Diskussionen hier schon mehrfach geführt wurden und die Diskussion in Sachen Rechtsfragen imo hier nichts zu suchen hat.borsti67;400107 said:
Jein, das bewirkt m.W. dann eine Beweislast-Umkehr – wenn Du das Laufwerk nicht entschlüsseln “kannst”, geht man davon aus, dass die Anschuldigungen der Wahrheit entsprechen.
Du hast also nur dann einen Vorteil, wenn die Beamten auf Deinen Platten Dinge vorfinden würden, die das Strafmaß noch verschärfen würden… :-&Nicht wirklich. In Deutschland gilt die Unschuldsvermutung.
Ich hab das seinerzeit von meinem Berufsschullehrer, im Zusammenhang mit Raupkopien auch anders erklärt bekommen.
Ein durchaus kompetenter Lehrer im IT Berreich.
Ähnlich wie borsti hat dieser gemeint dass man sogar wenn man sich nicht äußert zu seinen Raubkopien, diese Bspweise Verschlüsselt hat.
Es sogar abgeschätzt wird wieviele Rohlinge noch so rumliegen und wieviele Raubkopien von MP3s etc erstellt hätten können.
Ob das 100% Stimmt kann ich Gott sei dank aus eigener Erfahrung nicht berichten. -
10. Januar 2010 um 14:01 Uhr #838603ZoldanTeilnehmer
Kompetenz im IT Bereicht hat aber nix mit Kompetenz im juristischen Bereich zu tun ;)Bei einer schnellen google abfrage, habe ich in einem Forum einen User gefunden, der seine verschlüsselten Festplatten irgendwann wieder bekommen hat und nix passiert ist. Wäre auch ziemlich blöde, wenn ein Gericht jemanden für Sachen verurteilen könnte, die sie dir durch geschicktes Raten anlasten. Meinem Rechtsbewusstsein nach darf und sollte sowas nicht vorkommen. Gegen das Urteil würde ich auf jeden Fall wiederspruch einlegen 😉
-
14. Januar 2010 um 15:01 Uhr #838993DrDoomTeilnehmer
So, ich hab so viel rumgespielt das ich als ich endlich fertig war erstmal urlaub gebraucht habe, aber zwischen weihnachten und neujahr war es dann endlich geschafft!
ich hab noch ein paar umwege über Win2k8 R2 x64 Win2k3 R2 x86 und ubuntu gemacht um festzustellen das Debian 5 immer noch die beste lösung für mich ist. bei windows 2k8 R2 hab ich mit bitlocker rumgespielt, war auch alles garnicht so schlecht bis ich gelesen hab, das wenn eine komponenten aus meinem system mal ersetzt werden muss ich das volume nicht mehr entschlüsseln kann, sowas wäre natürlich fatal .. weil es kann ja immer mal was kaputt gehen .. hab ja auch nur ein asrock board drin .. naja und mit truecrypt unter 2k8 R2 Datacenter gab es auch komische probleme .. erst läuft alles super und dann nach etwa 1 GB datentransfer geht der speed auf etwa 5MByte/s in die knie ( vorher 20-30MByte/s ) und bleibt da .. ohne ersichtlichen grund .. der truecrypt prozess macht auch keine anstalten mal etwas cpu leistung zu fordern .. k.a. was das war .. naja .. ich dachte es liegt an x64 .. also win2k3 R2 x86 raufgehauen .. treiber und tc installiert .. wieder das gleiche problem, nur diesmal ist die schreibrate auf 500KByte/s eingebrochen .. und da geblieben .. sehr sehr komisch .. ich hab wirklich viel versucht .. und an den configs rumgespielt, alles mögliche ohne erfolg .. auch google wusste nicht weiter .. desswegen hab ich für mich entschieden es auf die kombination windows<-->3ware-controller+treiber<-->Truecrypt zu schieben .. und dann letzten endes bin ich back to the roots und hab schön noch mal lenny draufgeballert .. schön 5.0.3 stable.. und das is dan auch stable .. und da dann alles mit dm_crypt und LUKS gemacht.. ging super .. war ne sache von 2 h .. inkl. debian install.. hatte ein schönes tut im netz gefunden das ich bei gelegenheit auch noch mal linken kann und ja .. jetzt hab ich mein 5,45TB RAID 5 am 3ware controller im ganzen mit aes256bit verschlüsselt und komme auf eine schreibrate von knapp 25Mbyte/s womit ich gerade noch so leben kann.
ich hab es auch so gemacht wie hier schon vorgeschlagen wurde, man muss nach jedem neustart des systems ( und meins is die meiste zeit aus .. weil es nur angeworfen wird wenn die backups von meinen anderen systemen gespeichert werden müssen ) und dann wieder ausgeschaltet wird. nach jedem hochfahren logge ich mich via ssh auf der maschine ein gebe 2 befehle ein und das passwort .. und bam das wars .. im selben augenblick ist die samba freigabe aktiv und man kann machen was man will.
so .. ich verabschiede mich dann erstma wieder .. brauch nach dem ganzen stress noch ein bisschen urlaub .. 🙂
vielen dank an alle die mir beiseite gestanden haben
falls es fragen an mich geben sollte, einfach ne pn .. eine antwort kann zwar etwas dauern .. aber sie kommt bestimmt! versprochen ! 🙂
lg DrDoom
-
23. Januar 2010 um 15:01 Uhr #839912littledevilTeilnehmer
textformatierung ist wohl nicht mehr in Mode 🙄
-
23. Januar 2010 um 15:01 Uhr #839919ZoldanTeilnehmer
Ich hab von seinem Beitrag auch nur die ersten 2 Zeilen gelesen, dann wusste ich nicht mehr wo ich war 😀
-
23. Januar 2010 um 15:01 Uhr #839907ZoldanTeilnehmer
Ich kümmer mich gerade auch um die Konfiguration meines Samba servers. Wenn du das weiter verfolgen möchtest, gibts da eine Option namens “preexec” und “postexec”. Damit kann man z.B. eine motd ausgeben – oder auch wenn das klappt entschlüsseln mit dem Passwort vom Windows client. Ob es so eine Passwort variable gibt und wie die heisst musste selber rausfinden 😉
-
23. Januar 2010 um 15:01 Uhr #839921spokekillerTeilnehmer
littledevil;402613 said:
textformatierung ist wohl nicht mehr in Mode 🙄[ironie]Was denn? Sind da nicht Punkte zwischen den Verb-Nomen-Fragmenten? Wahrscheinlich ist sein Beitrag auch schon verschlüsselt ;-)[/ironie]
Ernsthaft, das hätte man sicher auch ein wenig aufbereiten können. So brennen einem schon nach zwei Zeilen die Sehnerven. 😀
-
-
AutorBeiträge
- Du musst angemeldet sein, um auf dieses Thema antworten zu können.