Unraid Array XFS Verschlüsselt problemlos möglich?

[Don-DCH]

Guten Nachmittag zusammen,

ich bin am überlegen mir für meinen Unraid Server gebrauchte 12TB Festplatten über Ebay zu kaufen.

Es handelt sich um Seagate oder Western Digital Platten, anbei mal ein Beispiellink der Seagate Platten:

https://www.ebay.de/itm/35513547536...-a321-467c68b83f31|iid:1|vlpname:vlp_homepage


Der Verkäufer macht einen sehr guten Eindruck, die Bewertungen sprechen für sich, auch hatte ich schon netten Kontakt. Das besondere ist, das es 10 Jahre lang eine neue Platte bei defekt gibt, wenn ich das so richtig verstanden habe Im Falle eines Defektes müsste die Platte zu Ihm gesendet werden, nun ist es ja bei Unraid so, dass die Daten blank abgelegt werden und so vielleich tnoch jemand an die Daten kommen könnte evtl. Das möchte ich vermeiden.

Daher habe ich mich gefragt ob ich XFS Verschlüsselt auswählen kann.

Das System ist noch nicht aufgesetzt ich habe bisher nur mit rumgespielt.


Ich würde mich sehr über Erfahrungen von euch freuen, ob es Sinn macht und wie man das am besten Umsetzt, über die Einstellungen oder bei jeder Platte.


Und gibt es Risiken?

Oder sollte man das ganze über ein Plugin lösen?


Über eure Rückmeldungen würde ich mich sehr freuen und wünsche euch schöne Ostertage

Viele Grüße

 

[Skudrinka]

Meine NAS ist auch vollverschlüsselt.
Über dm-Crypt. <- Würde ich unter Linux immer empfehlen, da es nativ im Kernel vorhanden und tief in diesem integriert ist.

Und gibt es Risiken?

Auf einer verschlüsselten Platte kannst du Datenrettung komplett vergessen.
Daher ist es hier nochmal um so wichtiger, eine gute BAckup-Strategie zu haben!

 

[Don-DCH]

Danke dir für die schnelle Rückmeldung!
Ich habe mal testweise eine externe Platte angesteckt und BTRFS verschlüsselt genommen, BTRFS kenne ich von Synology da lief es immer sehr gut.
Man wird zum eingeben einer Passphrase aufgefordert, sonst scheint es zu laufen.

Wäre die Verschlüsselung mittels Unraid Boardmitteln nicht die beste Art?

 

[Skudrinka]

Wäre die Verschlüsselung mittels Unraid Boardmitteln nicht die beste Art?

Mit Unraid kenne ich mich nicht aus.
Da es aber auch auf Linux basiert, müsste hier doch auch dm-Crypt verwendet werden?
Denn so ists ein einfaches Platten schnell auch mal an nem Live-Linux zu entschlüsseln und auszulesen.

 

[Don-DCH]

Da es aber auch auf Linux basiert, müsste hier doch auch dm-Crypt verwendet werden?

Gute Frage, bis auf Unraid und ein paar Raspberry Pis bin ich nur in der Windows Welt unterwegs.
Müsste ich mal schauen ob ich das in Erfahrung bringen kann was da verwendet wird.

Denn so ists ein einfaches Platten schnell auch mal an nem Live-Linux zu entschlüsseln und auszulesen.

Ah das ist cool. Das könnte ich auch mal austesten

 

[madmax2010]

Daher habe ich mich gefragt ob ich XFS Verschlüsselt auswählen kann.

Fällt dir ein Grund ein, der das Ablegen von verschlüsselten Daten auf der HDD unmöglich macht.

Und gibt es Risiken?

Verschlüsselte Daten sind kaum zu retten. Im Array wird das ganze noch nerviger.

Das besondere ist, das es 10 Jahre lang eine neue Platte bei defekt gibt, wenn ich das so richtig verstanden habe

Das ist bei Enterprise Platten gar nicht so selten. Oft darf man die alte sogar behalten

 

[Don-DCH]

Fällt dir ein Grund ein, der das Ablegen von verschlüsselten Daten auf der HDD unmöglich macht.

Meinte damit ob man was spezielles beachten sollte bevor ich einfach die Verschlüsselung einschalte, ist ein bisschen missverständlich ausgedrückt

Mir fällt so spontan nichts weiter ein, außer das man den Key gut sichern muss und diesen wohl immer eingeben muss nach Server neustart.

Verschlüsselte Daten sind kaum zu retten. Im Array wird das ganze noch nerviger.

Hmm, inwiefern meinst du retten?
Falls das Betriebssystem einen schaden hat und das System nicht mehr startet?
Ein Array ist es bei Unraid ja wenn ich das richtig verstehe nicht wirklich sondern eine aufteilung der daten auf mehrere Datenträger.

Das ist bei Enterprise Platten gar nicht so selten. Oft darf man die alte sogar behalten

Leider darf ich hier nicht die alte Platte behalten, das hatte ich extra erfragt, daher wollte ich das ganze verschlüselt ablegen

10 Jahre Gaantie auf eine gebrauchte Platte die schon einige Stunden gelaufen ist habe ich so noch nie gesehen.

Viele Grüße

 

[Skudrinka]

Meinte damit ob man was spezielles beachten sollte bevor ich einfach die Verschlüsselung einschalte, ist ein bisschen missverständlich ausgedrückt

Nur um Missverständnisse aus dem Weg zu räumen:
Die Platte muss vorher formatiert werden!
Datenverlust droht.

Mir fällt so spontan nichts weiter ein, außer das man den Key gut sichern muss und diesen wohl immer eingeben muss nach Server neustart.

Den Header bitte auch aufbewahren, von diesem ein Backup erstellen und NICHT auf der gleichen Platte abspeichern.

Falls das Betriebssystem einen schaden hat und das System nicht mehr startet?

Das ist Latten.
Die Platten, sollte dm-crypt zur Verwendung kommen, können an jedem Linux entschlüsselt werden und immer wieder neu eingebunden werden.

 

[Don-DCH]

Guten Abend,

Den Header bitte auch aufbewahren, von diesem ein Backup erstellen und NICHT auf der gleichen Platte abspeichern.

Was genau meinst du damit?
Ich habe nur ein Passwort vergeben aber selbst an der Festpaltte nichts eingetsellt oder so.

Die Platten, sollte dm-crypt zur Verwendung kommen, können an jedem Linux entschlüsselt werden und immer wieder neu eingebunden werden.

Denn so ists ein einfaches Platten schnell auch mal an nem Live-Linux zu entschlüsseln und auszulesen.

Ich habe heute mal versucht mit einem Live Ubuntu die Festplatte zu entschlüsseln, das hatte leider nicht hingehauen, leider musste ich mangels USB Steckplätze den Live Stick abziehen aber ich denke die Daten von dem Stick wurden eh in den RAM geladen oder?

Die Festplatte wurde auch erkannt und ich sollte ein Passwort eingeben, danach wurde die Platte im Explorer geöffnet aber sie war leer.

Ich weiß nicht ob ich doch hätte den Stick stecken lassen müssen oder ob ich sonst etwas falsch gemacht habe aber irgendwie hat das nicht so ganz funktioniert.

Was mir gerade beim Schreiben des Textes Einfällt ich hatte BTRFS ausprobiert, das könnte der Fehler gewesen sein, vielleicht sollte ich lieber bei XFS bleiben....

Vielleicht teste ich das nochmal aus

 

[Skudrinka]

Was genau meinst du damit?
Ich habe nur ein Passwort vergeben aber selbst an der Festpaltte nichts eingetsellt oder so.

Erweiterung mit LUKS​

Eine gängige Erweiterung ist LUKS („Linux Unified Key Setup“), welche die verschlüsselten Daten um einen Header erweitert, in dem Metadaten sowie bis zu acht Schlüssel gespeichert werden. Vorteile gegenüber „reinem“ dm-crypt sind: ein standardisiertes Format, Informationen über die Art der Verschlüsselung im Header, Vergabe von bis zu acht Schlüsseln sowie die Änderung und Löschung von Schlüsseln ohne Umschreiben der verschlüsselten Daten.

Da der Header, den LUKS in den Container schreibt, eine Klartext-Kennung, den verwendeten Verschlüsselungs- und Hash-Algorithmus und die Größe des Masterschlüssels enthält, sind eine automatische Erkennung und einfache Verwaltung von LUKS-Containern möglich. Es macht die Verschlüsselung aber auch gegenüber Dritten und Angriffsprogrammen erkennbar. Damit wird eine glaubhafte Abstreitbarkeit schwierig bis unmöglich. Der LUKS-Header inkl. Schlüsseldaten verkleinert außerdem den nutzbaren Speicherplatz auf dem Medium um 1028 KiB (Standardeinstellung). Im Gegensatz zu den zentralen Metadaten verschiedener Dateisysteme, wie z. B. dem Superblock bei ext2, werden diese für den Betrieb des Datenträgers wichtigen Daten nicht auf dem Medium verteilt repliziert gespeichert. Wenn sie überschrieben werden oder aufgrund eines Hardwaredefektes nicht mehr ausgelesen werden können, sind die Nutzdaten auf dem Medium ohne ein Backup des Headers (das das Verwaltungsprogramm cryptsetup ermöglicht) nicht mehr zu entschlüsseln.

leider musste ich mangels USB Steckplätze den Live Stick abziehen aber ich denke die Daten von dem Stick wurden eh in den RAM geladen oder?

Nicht alles. Meistens nur Logs und Dinge die oft beschrieben werden.

danach wurde die Platte im Explorer geöffnet aber sie war leer.

Waren denn Daten zuvor auf sie kopiert worden?

Was mir gerade beim Schreiben des Textes Einfällt ich hatte BTRFS ausprobiert, das könnte der Fehler gewesen sein, vielleicht sollte ich lieber bei XFS bleiben....

Dazu kann ich nichts sagen.
Wenn dein Live das Dateisystem unterstützt, dann sollte es egal sein.
Aber nicht jeder Kernel unterstützt diese Systeme?!

 

[Don-DCH]

Nicht alles. Meistens nur Logs und Dinge die oft beschrieben werden.

Ah ok, ich meinte bei dem Ubuntu Live Stick wenn ich von dem Stick gebootet habe ist alels im RAM oder?

Waren denn Daten zuvor auf sie kopiert worden?

Oh... das ist jetzt ein bisschen peinlich ich habe nach der Formatierung zu verschlüsseltem BTRFS nichts mehr auf die Platte kopiert gehabt Oh man

Also hat wohl doch alles geklappt vermute ich jetzt einfach mal.
Da war echt ein profi am Werk, naja passiert, müsste ich also nochmal testen

Dazu kann ich nichts sagen.
Wenn dein Live das Dateisystem unterstützt, dann sollte es egal sein.
Aber nicht jeder Kernel unterstützt diese Systeme?!

Ah ok interessant, ja Linux ist schon eine andere Welt, wenn man nur mit Windows Systemen arbeitet so kennt man das alles erstmal nicht.
Da gibt es abseits von NTFS nicht viel^^

 

[Skudrinka]

Also hat wohl doch alles geklappt vermute ich jetzt einfach mal.

Ja, da es zu einer Passwortabfrage kam, nehme ich das auch stark an.

Oh... das ist jetzt ein bisschen peinlich

Alles gut, deswegen fragte ich nach, s.o.
Aber ich hatte was zum schmunzel gehabt

ist alels im RAM oder?

Dad weiß ich nicht 🤷‍♀️

 

[kieleich]

10 Jahre Gaantie auf eine gebrauchte Platte die schon einige Stunden gelaufen ist habe ich so noch nie gesehen.

Wenn es zu gut ist um wahr zu sein ...