Beratung Homeserver (Vollverschlüsselung)

[Gelöschtes Mitglied 195009]

Hallo,

seit einger Zeit spiele ich mit dem Gedanken, mir (meinen ersten) Homeserver anzuschaffen. Ich suche eine möglichst günstige Lösung (wie immer ) mit Priorität auf genug Leistung (der Appetit kommt mit dem Essen). Selbstbau oder Fertiglösung sind willkommen.

Aufbau: Fritzbox 7390 -> Switch (muss auf Gigabit aufgerüstet werden) -> Server + Clients (relevant: Desktop, Notebook, TV)

Nutzungsprofil:
- Zyklisches Backup eines Clients (Sichern gesamter Partitionen)
- Mediaserver (Streamen von 1080p MKVs, Musik)
- 1080p Streams (Twitch & Co) auf TV streamen
- Spielereien wie Voiceserver oder eigene Cloud

Anforderungen:
- WakeOnLan (Server soll zwecks Stromsparen nur bei Bedarf in Betrieb sein)
- AES-NI fähige CPU (Vollverschlüsselung sämtlicher Speichergeräte)
- Möglichkeit vier oder mehr SATA HDDs anschließen zu können
- SATA3 für SSD (OS)
- Geringer Stromverbrauch
- möglichst geringe Lautstärkeentwicklung

Wünschenswert:
- USB 3.0
- kleines Gehäuse
- Echtzeitdecodierung von DTS-Soundsignalen (Stromsparen und geringe Betriebslautstärke sind wichtiger + große Budgetsprünge rechtfertigen es für mich nicht)

Neben der Hardware benötige ich auch Tipps zu einem geeigneten OS (überwiegend lese ich von WHS2011, das aber ein (geringer) Kostenfaktor wäre).

Zur Verfügung hätte ich bereits WS 2003 Enterprise und WS 2012 Datacenter (ohne User-CAL). Relevante Clients im Netzwerk nutzen Win8 (client von dem backups gemacht werden sollen) und Win7.

Ist der oben genannte Serverbetrieb hinsichtlich Vollverschlüsselung (AES, über TrueCrypt) der eingebundenen HDDs problemlos möglich? Ggf. bitte ich um Vorschläge für Hard- und Software.

Vielen Dank und Grüße

 

[fel1x92]

Hi,

benutze einen HP N54L und benutze ich mit Nas4Free.

-Die Partition ist auch verschlüsselt und Lese- sowie Schreibraten sind ordentlich
-unterstützt WoL (WoL via FB 7360)
-und ist stromsparend

 

[skelleton]

Wozu muss der Server DTS decoden? Das sollte beim streamen doch der Client machen.

 

[Gelöschtes Mitglied 195009]

Hi,

benutze einen HP N54L und benutze ich mit Nas4Free.

-Die Partition ist auch verschlüsselt und Lese- sowie Schreibraten sind ordentlich
-unterstützt WoL (WoL via FB 7360)
-und ist stromsparend

Darf ich fragen, welche Raten das ungefähr sind?

Der N54L ist natürlich vom Preis her sehr angenehm, allerdings mit nur drei Festplatten (die SSD nimmt einen SATA-Port weg) relativ begrenzt. Das wäre soweit aber noch in Ordnung. Da die CPU aber nicht sehr schnell ist, bin ich mir unsicher, ob WS 2012 ohne AES-NI bei Vollverschlüsselung immer noch performant wäre.

Wozu muss der Server DTS decoden? Das sollte beim streamen doch der Client machen.

Das wäre optimal und ist ggf. auch der Fall. Jedoch unterstützt mein Client (TV) kein DTS, weshalb die Option dies den Server übernehmen zu lassen, ein netter Bonus wäre.

 

[xzwr]

AES-NI fähige CPU (Vollverschlüsselung sämtlicher Speichergeräte)

Muss es denn wirklich für deine Anwendungen eine CPU mit AES-Erweiterung sein, ?
Ich schaffe auf dem Intel G1610 ca. 180 MB/s Schreiben und 195 MB/s Lesen auf einen software Raid 5.

Echtzeitdecodierung von DTS-Soundsignalen (Stromsparen und geringe Betriebslautstärke sind wichtiger + große Budgetsprünge rechtfertigen es für mich nicht) [...]
unterstützt mein Client (TV) kein DTS, weshalb die Option dies den Server übernehmen zu lassen, ein netter Bonus wäre.

DTS dekodieren braucht jetzt nicht wirklich viele Ressourcen, viel interessanter ist die frage, wie du die sechs oder mehr PCM Signale zum TV bekommen willst?
Oder willst du dann nur zwei PCM Kanäle streamen?

Neben der Hardware benötige ich auch Tipps zu einem geeigneten OS (überwiegend lese ich von WHS2011, das aber ein (geringer) Kostenfaktor wäre).

WHS wird, soweit ich weiß, nicht mehr weiterentwickelt, korrigiert mich wenn das nicht stimmt. Die Frage, die sich stellt ist hauptsächlich, was du dir zutraust. Eigentlich sind für deine Nutzung Linux, BSD und Windows alle geeignet.

Ist der oben genannte Serverbetrieb hinsichtlich Vollverschlüsselung (AES, über TrueCrypt) der eingebundenen HDDs problemlos möglich?

Grundsätzlich ja, praktisch solltest du dir überlegen, wie du WOL und den Schlüssel für die Verschlüsselung handhaben willst?

 

[Gelöschtes Mitglied 195009]

Muss es denn wirklich für deine Anwendungen eine CPU mit AES-Erweiterung sein, ?
Ich schaffe auf dem Intel G1610 ca. 180 MB/s Schreiben und 195 MB/s Lesen auf einen software Raid 5.

Das versuche ich hier in Erfahrung zu bringen. Wenn ich meine Vorstellungen umgesetzt habe, ist bestimmt der Reiz da, auch andere Dinge auszuprobieren. Für diesen Fall möchte ich nicht neu kaufen müssen, sondern lieber im Vorfeld Reserven eingeplant haben. Der G1610 ist aber auch schon schneller als der N54L beispielsweise.

DTS dekodieren braucht jetzt nicht wirklich viele Ressourcen, viel interessanter ist die frage, wie du die sechs oder mehr PCM Signale zum TV bekommen willst?
Oder willst du dann nur zwei PCM Kanäle streamen?

Guter Einwand. Ich dachte eigentlich an eine (koaxial) Verbindung zum AV-Receiver, an dem der TV per HDMI hängt. Beim HP N54L wäre dann eine Soundkarten-Lösung über PCIe eine Möglichkeit.
Funktioniert das nicht, wie ich es mir dachte?

WHS wird, soweit ich weiß, nicht mehr weiterentwickelt, korrigiert mich wenn das nicht stimmt. Die Frage, die sich stellt ist hauptsächlich, was du dir zutraust. Eigentlich sind für deine Nutzung Linux, BSD und Windows alle geeignet.

Meine Favoriten wären aus Kostengründen sowieso WS 2012 oder eine freie Lösung. Wie schwierig wird es sein WS 2012 Datacenter entsprechend einzurichten? Erfahrungen habe ich mit Server Editionen von Windows keine. Linux Kenntnisse sind geringfügig vorhanden.

Grundsätzlich ja, praktisch solltest du dir überlegen, wie du WOL und den Schlüssel für die Verschlüsselung handhaben willst?

Das ist natürlich der große Haken. Im LAN ginge es, das Passwort simpel per Funktastatur einzugeben. Von unterwegs geht das ja aber schon nicht mehr, weil ich vor dem Entschlüsseln keinen Remotezugriff habe?
Die einzige Option wäre dann, das System nicht zu verschlüsseln und die HDDs bei Bedarf manuell zu mounten (umständlich).

Wie sieht es eigentlich mit der Rechtevergabe beim Zugriff von unterwegs aus, sodass z.B. nur gelesen werden kann?

Danke für die Hilfe, schönen Abend noch!

 

[skelleton]

Wenn du beim Streamen das format in irgendeiner Weise Aendern musst, dann ist da transcoding involviert.
Da hast du andere anforderungen als beim einfachen streamen. Ich glaube zwar nicht dass es grossartige Hardwareanforderungen hat den DTS stream in etwas anderes umzuwandeln, aber auf der Softwareseite schraenkt das die Auswahl fuer deinen Streaming Server ein.

Wenn du per soundkarte direkt an den Receiver und HDMI an den Fernseher willst, geht es nicht direkt um Streamen vom Server. Das geht eher in die richtung HTPC

 

[Gelöschtes Mitglied 195009]

Wenn du beim Streamen das format in irgendeiner Weise Aendern musst, dann ist da transcoding involviert.
Da hast du andere anforderungen als beim einfachen streamen. Ich glaube zwar nicht dass es grossartige Hardwareanforderungen hat den DTS stream in etwas anderes umzuwandeln, aber auf der Softwareseite schraenkt das die Auswahl fuer deinen Streaming Server ein.

Ich möchte nicht, dass das Format geändert wird. Der Server soll viel mehr die Funktion des Mediaplayers übernehmen.

Wenn du per soundkarte direkt an den Receiver und HDMI an den Fernseher willst, geht es nicht direkt um Streamen vom Server. Das geht eher in die richtung HTPC

Du hast recht. Ich habe hier einige Dinge durcheinander geworfen. Ein HTPC erfüllt allerdings nicht die Backup Routine und wird (je nach OS) nicht zu verschlüsseln sein. Auch andere Spielereien wie (Voice)server und cloud gehen in Richtung Server.
Die DTS Sache verwerfe ich hier mal. Mein BDP kann DTS und könnte in diesem Fall auf den Server zugreifen (ist ja auch im LAN).

Allerdings fällt ohne HDMI Anbindung auch das Streamen von online Streams wie twitch weg. Oder gibt es Software, die entsprechend Bild- und Tonsignale per Netzwerk bereitstellt?

 

[skelleton]

PCs sind ja flexibel und man kann sehr wohl htpc und Server Aufgaben vereinen. Aber Die Filme fuer den Fernseher abspielen hat halt andere Anforderungen an Software und Hardware als diese nur zum streamen im lokalen Netz bereit zu stellen.

Zwar ist Vollverschluesselung eine schoene Sache, aber wenn du den Rechner per wake on LAN starten willst, muss der Key ja permanent per USB Stick oder so am Rechner sein. Da ist dann auch wieder fraglich wie viel das bringt.
Ich bin mir auch nicht sicher, ob man bei Windows Server alles inklusive Systempartition verschluesseln kann.
Und sachen wie einen Voice Server und Owncloud kann man durchaus auch auf einem HTPC laufen lassen. Die Frage ist da eher wie sinvoll solche Sachen sind wenn Sie nicht 24/ erreichbar sind.

 

[hominidae]

...hier ist noch ne preiswerte Option, mit AES-NI und ECC RAM.

Nimm eine S-AM3+ CPU (FX oder Opteron33xx) und ein Board von ASUS (in die Specs gucken, die können fast alle ECC).
Für SATA3 musst Du evtl. einen Controller nachrüsten...kommt auf den Chipsatz der Southbridge an.

Habe sowas selbst am Start, siehe hier: http://www.hardwareluxx.de/communit...-allerlei-aufgaben-961643-3.html#post20797400

Inzwischen läuft der auf Debian/Ubuntu mit einem M1015/9211-8i (IT-Mode), LUKS/dmcrypt und ZFS-on-Linux.

Habe ein Raidz2 aus 7x 2TB Platten dran. schreiben 295MB/sec, lesen 425MB/sec
Mein Board läuft mit S3/sleep ohne Probleme.

---------- Post added at 09:13 ---------- Previous post was at 09:08 ----------

Zwar ist Vollverschluesselung eine schoene Sache, aber wenn du den Rechner per wake on LAN starten willst, muss der Key ja permanent per USB Stick oder so am Rechner sein.

....nein, im S3/sleep fährt er ohne Neueingabe wieder hoch....wenn die Box also inkl. der USV geklaut wird, haste Pech gehabt

 

[Gelöschtes Mitglied 195009]

PCs sind ja flexibel und man kann sehr wohl htpc und Server Aufgaben vereinen. Aber Die Filme fuer den Fernseher abspielen hat halt andere Anforderungen an Software und Hardware als diese nur zum streamen im lokalen Netz bereit zu stellen.

Bereitstellen der Daten für BDP/TV reicht wiegesagt aus. Für DTS greife ich einfach vom BDP auf den Server zu.

Zwar ist Vollverschluesselung eine schoene Sache, aber wenn du den Rechner per wake on LAN starten willst, muss der Key ja permanent per USB Stick oder so am Rechner sein.

....nein, im S3/sleep fährt er ohne Neueingabe wieder hoch....wenn die Box also inkl. der USV geklaut wird, haste Pech gehabt

Das ist doch wunderbar. So gebe ich den key 1x ein. Verlasse ich das Haus, wird der Server ausgeschaltet.

Ich bin mir auch nicht sicher, ob man bei Windows Server alles inklusive Systempartition verschluesseln kann.

Das wäre natürlich wichtig, da ich sonst immer manuell mounten müsste. Sämtliche Laufwerke sind in jedem Fall verschlüsselt. Ohne Systemverschlüsselung kann ich diese logischerweise nicht automatisch einbinden, da sonst ohne key zugänglich.

Und sachen wie einen Voice Server und Owncloud kann man durchaus auch auf einem HTPC laufen lassen. Die Frage ist da eher wie sinvoll solche Sachen sind wenn Sie nicht 24/ erreichbar sind.

HTPC lohnt sich wahrscheinlich aus Kosten/Nutzen Sicht nicht. Voiceserver muss nicht 24/7 verfügbar sein. Nachts oder bei Abwesenheit kann dieser offline sein.

...hier ist noch ne preiswerte Option, mit AES-NI und ECC RAM.

Hört sich sehr interessant an. Leider ist der Stromverbrauch vergleichsweise hoch. Stellt sich natürlich die Frage, ab wann sich da ein Aufpreis zu Intel rechnet. Tagsüber ist der Server eben doch fast durchgehend an, wenn auch die meiste Zeit im idle.

Für das Streamen (Anzeigen) von Streams aus dem Internet bräuchte ich wieder eine HDMI Verbindung zum TV oder gibt es die Möglichkeit über das Netzwerk die Daten vom Server abzugreifen?

 

[Janero]

Darf ich fragen, welche Raten das ungefähr sind?

Der N54L ist natürlich vom Preis her sehr angenehm, allerdings mit nur drei Festplatten (die SSD nimmt einen SATA-Port weg) relativ begrenzt. Das wäre soweit aber noch in Ordnung. Da die CPU aber nicht sehr schnell ist, bin ich mir unsicher, ob WS 2012 ohne AES-NI bei Vollverschlüsselung immer noch performant wäre.

btw. das ding hat 6x sata warum davon nur 4 nutzen?

 

[IMars]

Was ist mit Synology 412/3 ( /j/+) ?
4 Festplatten, super Software, keine SSD nötig.

 

[xzwr]

Das ist doch wunderbar. So gebe ich den key 1x ein. Verlasse ich das Haus, wird der Server ausgeschaltet.

Das wirst du nicht tun, also vielleicht die ersten Wochen aber dann nicht mehr. Du solltest dir halt überlegen, wofür du die Verschlüsslung haben möchtest. Wenn es dir nur um physischen Diebstahl des Servers oder Festplatten geht, dürfte das reichen, da wohl kaum jemand den mit angeschlossener USV klaut. Mehr als S3 ist nicht möglich, da der Schlüssel in einem flüchtigen Speicher vorgehalten werden muss.

HTPC lohnt sich wahrscheinlich aus Kosten/Nutzen Sicht nicht.

Wo genau siehst du denn hier den Unterschied, bei dir scheint ja beides ineinander überzugehen. Du solltest dir halt überlegen, ob die CPU/iGPU DXVA oder 3D usw. brauchst. Dann wirst du um einen I3 o.Ä. nicht herumkommen.

Voiceserver muss nicht 24/7 verfügbar sein. Nachts oder bei Abwesenheit kann dieser offline sein.

Ich will dich hier in nichts herein reden, aber geh mal davon aus, dass der früher oder später 24/7 laufen wird, weil du nachts noch ein Hörbuch streamen willst, ein Backup fährst etc. oder weil deine Anforderungen oder Anwendungsgewohnheiten sich ändern. Viele Freunde von mir meinten immer, dass ein Server bei ihnen niemals 24/7 laufen würde, immer nur ein paar Stunden, tatsächlich haben die aber mittlerweile alle den Komfort kennengelernt

Hört sich sehr interessant an. Leider ist der Stromverbrauch vergleichsweise hoch. Stellt sich natürlich die Frage, ab wann sich da ein Aufpreis zu Intel rechnet.

Kannst du dir ganz einfach ausrechnen, ein Watt mehr kostet dich ca. bei 12/7 ein Euro bzw. bei 24/7 zwei Euro im Jahr.

Für das Streamen (Anzeigen) von Streams aus dem Internet bräuchte ich wieder eine HDMI Verbindung zum TV oder gibt es die Möglichkeit über das Netzwerk die Daten vom Server abzugreifen?

VLC bietet z.B. eine Streaming-Server Lösung, aber ob deine Clients das dann wieder unterstützen ist nicht gesagt. Ein HDMI-Kabel und ein Server mit GUI ist dann die einfachere Methode, wenn auch nicht so schön. Aber wenn du Flash oder Silverlight basierende Streams wiedergeben willst, kann es sonst sehr nervig werden.

Was ist mit Synology 412/3 ( /j/+) ?
4 Festplatten, super Software, keine SSD nötig.

Viel zu wenig Leistung, wenn verschlüsselt, für einfache Backups noch ausreichend bzw. streams, für mehr nicht.
Vor allem nicht wirklich anpassbar an die Wünsche des TE.

 

[Gelöschtes Mitglied 195009]

btw. das ding hat 6x sata warum davon nur 4 nutzen?

Okay, hatte der Seite von HP "Integriertes SATA-RAID mit 4 Ports" entnommen.

Du solltest dir halt überlegen, wofür du die Verschlüsslung haben möchtest.

Ich möchte meine Festplatten vor dem physischen Zugriff anderer Personen schützen. Jedes Volume ist bei mir verschlüsselt. Das wird sich mit dem Server nicht ändern. Findet sich hierfür keine Lösung, kann ich eben keinen Server nutzen.

Wo genau siehst du denn hier den Unterschied, bei dir scheint ja beides ineinander überzugehen. Du solltest dir halt überlegen, ob die CPU/iGPU DXVA oder 3D usw. brauchst. Dann wirst du um einen I3 o.Ä. nicht herumkommen.

Den Unterschied sehe ich in der Leistung/Umfang der Hardware. Sowohl im Anschaffungspreis als auch im Stromverbrauch wird ein leistungsfähigeres System teurer sein. Ein i3 hat ja leider kein AES-NI.

Ich will dich hier in nichts herein reden, aber geh mal davon aus, dass der früher oder später 24/7 laufen wird

Der Reiz wird sicher vorhanden sein. Damit wäre aber eine Verschlüsselung ausgehebelt. Insofern muss ich mir vorher überlegen, ob ein Server ohne Dauerbetrieb für mich Sinn ergibt.

VLC bietet z.B. eine Streaming-Server Lösung, aber ob deine Clients das dann wieder unterstützen ist nicht gesagt. Ein HDMI-Kabel und ein Server mit GUI ist dann die einfachere Methode, wenn auch nicht so schön. Aber wenn du Flash oder Silverlight basierende Streams wiedergeben willst, kann es sonst sehr nervig werden.

Mein Fernseher ist ein Samsung B650. Ein HDMI Port stellt natürlich wieder höhere Anforderungen an die Grafikkarte bzw. an eine dedizierte Grafikkarte.

Bevor sich weitere Fragen stellen, sollte ich wissen, ob ein Serverbetrieb mit Verschlüsselung zweckmäßig funktionieren kann. Damit steht und fällt nun mal für mich die Anschaffung.

 

[xzwr]

Ich möchte meine Festplatten vor dem physischen Zugriff anderer Personen schützen. Jedes Volume ist bei mir verschlüsselt. Das wird sich mit dem Server nicht ändern.

Wir reden hier als vom Schutz bei Einbruch bzw. Diebstahl?

Der Reiz wird sicher vorhanden sein. Damit wäre aber eine Verschlüsselung ausgehebelt.

Wie kommst du darauf?, ich habe meine Server 24/7 laufen, die Verschlüsselung ist trotzdem nicht ausgehebelt. Ich gebe einmal beim booten den Schlüssel ein und mounte die Festplatten. Wenn jetzt jemand die Festplatten klaut, hat er den Schlüssel nicht, weil der im RAM ist. Wird der gesamte Server entwendet, ohne das er konstant am Strom hängt, dann ist der Schlüssel auch weg, weil der RAM flüchtig ist. Wenn sich jemand ernsthafte mühen macht und den Server mit redundanter Stromversorgung klaut, dann kommt er, selbst wenn die Festplatten noch gemountet sind, nicht an die Daten, da er erstmal die Passwörter für SSH/SAMBA/SFTP bekommen muss.

Das mit dem potentiell 24/7 Betrieb hatte ich auch hauptsächlich erwähnt, weil sich dadurch ein sparsamer Server früher rentiert.

 

[NTB]

Xzwr ich muss dir widersprechen:
Auch nach über einem Jahr läuft mein Server immer noch nur bei Bedarf. Wenn ich ihn nicht mehr brauche, geht er in Standby. Braucht ihn jemand, wird er per WOL ruckzuck aufgeweckt. Das kriegt auch die Frau hin.
Es muss also nicht bei jedem so sein, dass er am Ende 24/7 läuft.

Geschrieben mit App

 

[xzwr]

Sorry, da habe ich mich nicht ganz deutlich ausgedrückt.
Ich meinte keinesfalls, dass es bei allen so ist, vielmehr, dass die Chance sehr groß ist, dass nach einiger Zeit u.a. die Anforderungen sich erweitern und sei es nur, dass es um mehr Komfort geht.

Der Punkt den ich versuche zu machen ist, dass ich es erlebt habe, dass viele sich am Anfang nicht eingestehen oder vorstellen wollen einen Server 24/7 laufen zu lassen bzw. dieses nicht wirklich vor sich rechtfertigen können.
Man sollte jedoch einfach zu sich so ehrlich sein und das vollständig in Erwägung ziehen.
Wenn der TE schon den Reiz sieht, so ist es durchaus sehr sinnvoll in teurere, aber sparsame, Hardware zu investieren, die sich schneller rentiert. Die Chance, dass der TE nach ein paar Monaten/Jahr feststellt, dass er den Server z.b. nur 14h am Tag betreibt ist sicher gegeben, aber die deutlich größere Chance besteht darin, dass es eher mehr als weniger Betriebsstunden pro Tag werden.

 

[Gelöschtes Mitglied 195009]

Wir reden hier als vom Schutz bei Einbruch bzw. Diebstahl?

Ja. Es geht aber auch allgemein darum, dass Personen in der Wohnung keinen Zugriff haben.

Wenn sich jemand ernsthafte mühen macht und den Server mit redundanter Stromversorgung klaut, dann kommt er, selbst wenn die Festplatten noch gemountet sind, nicht an die Daten, da er erstmal die Passwörter für SSH/SAMBA/SFTP bekommen muss.

Vielleicht habe ich hier ein Verständnisproblem. Bei gemounteter Festplatte können die Daten einerseits ohne Barriere gelesen und bei Bedarf auf eine externe Festplatte kopiert werden. Inwiefern wird ein weiteres Passwort für SSH/SAMBA/SFTP benötigt?

Das mit dem potentiell 24/7 Betrieb hatte ich auch hauptsächlich erwähnt, weil sich dadurch ein sparsamer Server früher rentiert.

Das habe ich auch so verstanden und war auch mein Gedankengang dahinter. Die Frage stellt sich aber für mich erst, wenn das Verschlüsselungskonzept geklärt ist.

 

[hominidae]

Ja. Es geht aber auch allgemein darum, dass Personen in der Wohnung keinen Zugriff haben.
[...]
Vielleicht habe ich hier ein Verständnisproblem. Bei gemounteter Festplatte können die Daten einerseits ohne Barriere gelesen und bei Bedarf auf eine externe Festplatte kopiert werden. Inwiefern wird ein weiteres Passwort für SSH/SAMBA/SFTP benötigt?

Vollverschlüsselung sichert nur die nackte Disk, bei Entwendung etc.
Wenn der Schlüssel eingegeben ist, ist die Platte "offen".
Daher müssen weitere Mechanismen greifen um die Daten vor Zugriff zu schützen...Zugangs-/Berechtigungs-Profile, Anwendungs-Verschlüsselung)....wenn gewollt

Beim lokalen kopieren auf eine externe Platte muss man evtl Berechtigungen haben, die externe Platte zu mounten und auch Berechtigung das System zu nutzen ("einloggen") und den Kopiervorgang durchzuführen.
Ein Server bietet aber auch Dienste, um auf die Daten extern zuzugreifen...(SMB/CIFS, NFS, FTP...). Diese Dienste sollten abgesichert sein...ein Gast-/Anonymous-Zugang würde bei "offenen" Platten eben den Zugriff erlauben.

 

[Gelöschtes Mitglied 195009]

Vollverschlüsselung sichert nur die nackte Disk, bei Entwendung etc.
Wenn der Schlüssel eingegeben ist, ist die Platte "offen".

Dessen bin ich mir natürlich bewusst. Deshalb ja meine Verwunderung, wieso die Verschlüsselung im Falle einer gemounteten Fesplatte nicht ausgehebelt sei.

Fremde Geräte nicht mounten zu können wäre ein Hindernis Daten zu kopiere, gelesen werden können sie aber trotzdem. Hier würde dann nur ein Systempasswort helfen, das ja auch wieder Komforteinbußen bedeutet.

 

[hominidae]

Willst Du Komfort oder Sicherheit?

1) Wenn der Server aus ist, sind Deine Daten geschützt.
2) Wenn er schläft, kann ihn jeder in Deiner Wohnung wecken, der Zugang zu Deinem Netz oder dem Server selbst hat....
3) Wenn der Server wach ist, und das Platten-Passwort eingegeben ist, gilt das gleiche wie (2) ...jeder in Deiner Wohnung kann an die Daten, es sei denn Du sicherst den Zugang auf anderer Ebene.,,,das kann man im System einstellen...es liegt beim Admin der Box das zu tun, was gefordert ist um die Daten zu schützen.

 

[Gelöschtes Mitglied 195009]

Willst Du Komfort oder Sicherheit?

Ich habe ja bereits geschrieben, dass ich vor habe den Server [zum Zwecke der Sicherheit] bei Abwesenheit auszuschalten.

Daraufhin schrieb xzwr:

Wie kommst du darauf?, ich habe meine Server 24/7 laufen, die Verschlüsselung ist trotzdem nicht ausgehebelt. Ich gebe einmal beim booten den Schlüssel ein und mounte die Festplatten. Wenn jetzt jemand die Festplatten klaut, hat er den Schlüssel nicht, weil der im RAM ist. Wird der gesamte Server entwendet, ohne das er konstant am Strom hängt, dann ist der Schlüssel auch weg, weil der RAM flüchtig ist. Wenn sich jemand ernsthafte mühen macht und den Server mit redundanter Stromversorgung klaut, dann kommt er, selbst wenn die Festplatten noch gemountet sind, nicht an die Daten, da er erstmal die Passwörter für SSH/SAMBA/SFTP bekommen muss.

Deshalb meine Nachfrage, wie xzwr das bei physischem Zugriff ausschließen kann.

 

[hominidae]

...also, gegen einen physischen Angriff, wenn der Schlüssel noch im RAM liegt, und die Jungs von der Firma mit den 3 Buchstaben kommen, wirst Du Dich geschlagen geben müssen
Der Otto-Normal-Verbraucher/User und Admin sichert sein System mit einem guten Passwort....und wenn er/sie mal das Porzellan aufsuchen muss und die Box dafür nicht runterfahren will, sperrt der die Kiste einfach.
.....das nennt man Benutzer- und Zugangs-Verwaltung. ...per Knopf auf dem Bildschirm oder nach x min ohne Benutzer-Aktivität.
Selbst wenn jemand eine Platte ansteckt und die automatisch gemounted wird, kommt er nicht rein um den Kopiervorgang zu starten (wenn man solchen Schmuck wie "autorun" ausschaltet, latuernich).
Beim aufwecken bleiben zwar die Platten offen...Nutzer müssen sich aber neu anmelden, die beim schlafengehen aktiven Zugänge werden automatisch gesperrt (wenn man es einstellt).

---------- Post added at 23:33 ---------- Previous post was at 23:16 ----------

...achja...und Server so "einmauern", das niemand ein Gerätchen zum mitschneiden Deiner Tastatur-Eingaben und der Bildschirmausgabe einschleifen kann

 

[xzwr]

Daraufhin schrieb xzwr: [...]
Deshalb meine Nachfrage, wie xzwr das bei physischem Zugriff ausschließen kann.

Das Bezog sich auf die Gefahr eines Diebstahls.
Ich war davon ausgegangen, dass du die weiteren Zugänge sinnvoll absicherst. Denn es kopiert sich nichts automatisch auf eine externe Festplatte, dazu muss man das kopieren anstoßen und dies verhindert eine Zugangsbeschränkung.
Die Verschlüsselung der Festplatten ist alleine nicht ausreichend.

...achja...und Server so "einmauern", das niemand ein Gerätchen zum mitschneiden Deiner Tastatur-Eingaben und der Bildschirmausgabe einschleifen kann

Und aufpassen, dass keiner deinen RAM einfriert.
Das haben wir zum Spaß ein paar mal auf der Arbeit gemacht. RAM mit LN2 überschütten, ausbauen und dann in einen anderen System wieder auslesen.
Wir haben das nur bei kleinen ARM-Systemen und einzelnen Speicherchips gemacht, das geht aber auch mit normalen DDR3-RAM-Riegeln.

 

[hominidae]

D
Und aufpassen, dass keiner deinen RAM einfriert.
Das haben wir zum Spaß ein paar mal auf der Arbeit gemacht. RAM mit LN2 überschütten, ausbauen und dann in einen anderen System wieder auslesen.
Wir haben das nur bei kleinen ARM-Systemen und einzelnen Speicherchips gemacht, das geht aber auch mit normalen DDR3-RAM-Riegeln.

...Jo!...aber "keiner" muss aufpassen, dass bei nem grossen Hobel nix auf die Füsse tropft, sonst wird es echt messy