Home (File-) Server mit Verschlüsselung und RAID

[LittleMisterHappy]

Hallo Leute!

Da ich mich seit einiger Zeit mit der Zusammenstellung meines Homeservers beschäftige, bin ich hier auf dieses Forum getroffen. Ich hoffe ihr könnt mir bei meinem (doch sehr speziellen) Problem helfen.

Also, hier mal die Ausgangsbasis:
Ich möchte mir gerne einen Homeserver anschaffen, welche folgende Anforderungen erfüllt:
- Raid 5 (Hard- oder Software) mit 4 SATA Festplatten
- Verschlüsselung (Software, da mir kein HW-Controller bekannt ist, welcher
HW-Verschlüsselung bietet)
- ausreichend performant um FullHD Videos über Netzwerk (Gigabit)
wiederzugeben
- Monitoranschluss wegen Jdownloader Benutzung (somit fallen NAS Gehäuse
von QNAP und Synology leider flach)
- Am liebsten wäre mir ein ITX Mainboard mit möglichst stromsparendem
Prozessor (Intel Atom etc.)
- Möchte gerne folgendes Gehäuse benutzen:
Chenbro Micom Co., Ltd.
- Auf dem Server soll eine Linux Distribution zum Einsatz kommen (teste gerade welche ich nehmen werde)


Nun zu meinen Fragen:
1. Ist Softwareverschlüsselung (z.B.: mit LVM unter Linux) und Software Raid 5 mit 4 Festplatten noch so performant, um FullHD Videos über das Netzwerk zu streamen? Oder benötige ich hier einen stärkeren Prozessor als nen Atom?

2. Wenn meine erste Frage beneint werden kann, kann ein Hardware Raid Controller mein Vorhaben ermöglichen?

3. Ich habe am Markt schon so manche externe Festplatte mit HW-Verschlüsselung gefunden. Gibt es solche Controllerkarten auch zu kaufen?

4. Weiß jemand von euch, ob Festplatten (mit Full Disc Encryption Feature) im Raid 5 funktionieren?


Soda, das wäre es mal mit meinen Fragen. Ich hoffe, dass ihr mir weiterhelfen könnt. Hab mir jetzt schon einige Zeit darüber den Kopf zerbrochen.


LG,
Christian

 

[orpheus88]

LSI Safestore + Seagate FDE

http://www.lsi.com/campaigns/forms/security_cw/index.html?banner=fdesecurityleaders_ibmcom

 

[LittleMisterHappy]

hm, hört sich interessant an. Mir würde aber auch die 4i version von der megaraid karte genügen. Oder hat diese nicht die gleichen securitY features? Laut datasheet normalerweise schon.
Brauch ich dann eigentlich die fde platten noch?

 

[orpheus88]

So wie ich das verstanden hab verschlüsseln die Platten sich selbst und der Controller verwaltet die Schlüssel.

 

[LittleMisterHappy]

glaubst du, dass ich von der performance her mit einem softwareraid und softwareverschlüsselung auch zu meinem gewünschten ergebnis komme? Die platten und der controller sind ja ganz schön teuer!

 

[orpheus88]

Software-Verschlüsselung ja wenn du nicht gerade einen Atom nimmst. Von Software-RAIDs halte nicht wirklich was obwohl die theoretisch auch für GBit ausreichen sollten.

Man braucht für JDownloader keinen Monitor-Anschluss einfach nen VNC-Server mit Blackbox (oder was anderem kleinen) dann kannst du das auch Remote steuern.

 

[NiclasM]

Oda einmal einstellen und dann per Web Inteface DLC's etc reinladen...

 

[Supaman]

dazu mal einen erfahrungsbericht vorn mir, ich habe sozusagen den selben anwendungszwecke, im prinzip ist das recht easy:

zotac ion-itx-a (atom 330 dual core mit passivem notebook netzteil) per bios fsb einstellung von 533->667 auf nominal 2 ghz cpu übertakten, das läuft ganz locker 24/7 stabil bei ~35w stromverbrauch.

performance @win7 unverschlüsselt: gigabit max. transfer, also bis 95 mb
performance @win7 mit jetico bestcrypt: read/write ca. 40 mb

wichtig: vorher den verschlüsselungsmodus austesten. im gegensatz zu C2D architekturen war der TWOFISH algorythmus auf dem atom deutlich performanter.

1080p videos laufen ruckelfrei von gecrypteteb partition, selbst wenn der jdownloader um hintergrund mit voller DSL-16000 rate am saugen und entpacken ist. allerdings muss ich dazusagen, das ich per TCP-NFS streame, da samba auf meinem alten single core server rumgezickt hat. der einfachheit halber hab ich das bei dem wechsel auf atom beibehalten.

das zotac atom board hat zwar auf dem papier nicht die ultra rechenpower, macht aber viel durch die übertaktung auf 2 ghz, dual-core + hyperthreading (= 2 reale + 2 virtuelle kerne) wett. ich hab mal spaßeshalber das hyperthreading abgeschlatet, das war ein unterschied wie tag und nacht, machte nicht mehr wirklich spaß.

zugriff auf den server per RDP, selbst mit aero effekten @RDP läuft das super flüssig.

alles unter win7, unter linux kann das anders aussehen.


die sache mit dem software raid-5 würde ich aber sein lassen, wenns da mal einen time-out im array gibt und du kein backup hast, wird das schwierig mit der raid-recovery, wenn die daten verschlüsselt sind. dann lieber basic-volumes, die du 1:1 spiegelst. soo teuer sind platten nicht mehr.

gruß,

supa

 

[Lebedev]

aufn monitoranschluss kannst du verzichten, für jdownloader gibts nen webinterface-plugin!

 

[pred2k]

Es gab ja schon den ein oder anderen Thread zu dem Thema. Allerdinge mit Linux.

Was ich aus meiner Erfahrung berichten kann: Mit meinem Server (siehe Sig) mit E6400, 2x 2.13GHz, der mit einem voll-verschlüsseltem Ubuntu läuft, hab ich auf die eigenständige Festplatten (mit aes-xts-plain verschlüsselt) Übertragungsraten mit samba bei ~50mbyte/s.

 

[Karbe]

Welchen Sinn soll eigentlich die Verschlüsselung bei einem Home-Server haben ?

Grüße

 

[Supaman]

Welchen Sinn soll eigentlich die Verschlüsselung bei einem Home-Server haben ?

Grüße

es gibt eine menge privater und persönlicher dinge, die niemanden etwas angehen. wenn einfach nur mal die nachrichten verfolgt, was der liebe staat alles überwacht und welche kranken pläne noch in der schublade liegen, dazu immer häufigere berichte über staatliche willkür und hausdurchsuchungen bei oft an den haarren herbeigezogenen begründungen - das sollte ein solches "sicherheitsbedürfnis" eigentlich selbstverständlich sein.

oder möchtest du dein leben gerne komplett vor unbekannten ausbreiten?

gruß,

supa

 

[Karbe]

Da muss man schon etwas paranoid sein, wenn man daran glaubt. Um die Partition zu mounten, muss man sie eh entschlüsseln, eine Verschlüsselung macht also nur Sinn, wenn die Partitionen nicht gemountet sind oder der Rechner ausgeschalten ist. Bei einem Notebook macht das ja Sinn, aber bei einem Home-Server ?

Mal so aus Interesse, wie oft besucht euch denn die Staatsanwaltschaft im Monat ? Und rücken die dann mit hängenden Köpfen ab, weil die ganzen Rapidshare-Filme auf einer verschlüsselten Partition liegen ? So ein Schwachsinn !

oder möchtest du dein leben gerne komplett vor unbekannten ausbreiten?

Was hat mein Leben mit meinem File-Server zu tun ?

Grüße

 

[underclocker2k4]

Über den Sinn oder Unsinn einer Verschlüsselung brauchen wir uns hier bitte nicht streiten. Es kann schon Sinn machen, dass man Daten verschlüsselt. Gerade wer wichtige Dokumente auf dem Server ablegt sollte sich Gedanken um deren Sicherheit machen.

Zum einen wegen Hackern(hier natürlich nur temp gemountet) oder aber auch wegen Diebstahl.

Wer darin keinen Sinn sieht, der muß diese Technik ja auch nicht nutzen.

Daher bitte keine Grundsatzdiskussionen zu dem Thema, danke.

 

[LittleMisterHappy]

Hallo Leute!

Danke für eure sehr wertvollen Antworten. Sie haben mir sehr weitergeholfen. Die grundsätzliche Idee mit dem HW-Raidcontroller und den Seagate SAS Platten ist sicher sehr gut, nur leider habe ich das Budget dafür nicht

Nur mal zur Richtigstellung: Unter Softwareraid fallen ja auch diese Mainboard Chiplösungen ala Intel ICHXX (Matix Storage Manager) oder JMicron JMB 360x?

Ich habe mir nun mal folgende Lösung gedacht:
===================================
Mobo: (Intel Media Series DH57JG)
CPU: Intel Core i3 530 oder Core i5 661 (wegen des AES-NI Befehls, siehe: Core i5: Clarkdale AES-Verschlüsselung analysiert)
RAM: (G.Skill ECO DIMM Kit 4GB PC3-10667U CL7-7-7-21 (DDR3-1333)) oder (G.Skill RipJaws DIMM Kit 4GB PC3-10667U CL7-7-7-21 (DDR3-1333))
Festplatten: Wahrscheinlich Western Digital Cavier Green oder Seagate (jedenfalls keine Samsung!)
Laufwerk: (LG Electronics GT20N Slim Bulkh)
Gehäuse: (Chenbro ES34069 schwarz, 180W, Mini-ITX)

Was haltet ihr schon mal von der Config? Ich glaube der Core i3 sollte für mein Vorhaben eine gute Preis/Leistungsalternative sein.

Interessant finde ich auch die lustigen Raid Modi von dem Intel Chipsatz. Da kann man z.B.: Raid 5 und 0 kombinieren (Wichtige Daten kommen in Raid 5, Programme in Raid 0! siehe: Intel Matrix Storage Technology) Erinnert mich ein bisschen an die "Pseudo Raidlösungen" von Windows Home Server ^^

Hab hier auch noch einen sehr interessanten Artikel auf Toms Hardware gefunden: Der 25 Watt PC.

@Karbe: Muss das denn eigentlich immer wieder sein??? Ich mag schon meine Gründe haben, wieso ich verschlüsseln will. Dieser Thread ist als konstruktive Hilfestellung für mein oben angeführtes Problem gedacht und nicht der Beantwortung von Grundsatzfragen in puncto Verschlüsselung. Manche glauben auch wirklich immer, dass, nur weil sie sich hinter ihrem Bildschirm sicher fühlen, auch alle möglichen (unnötigen) Diskussionen anfangen können!!!

@alle Anderen: Danke!!!

LG,
LMH

 

[Karbe]

Ich mag schon meine Gründe haben, wieso ich verschlüsseln will.

Das mag sein, nur hätte es mich wirklich mal interessiert, welche Gründe das sind. Benennen kann oder will sie komischerweise nie jemand.

Ich hab auch denke ich konstruktiv dargestellt, wann Verschlüsselung Sinn macht und wann nicht, so ab vom Thema ist die Frage also nicht wie ich finde.
Grüße

 

[LittleMisterHappy]

ok, grundsätzlich ist deine frage ja berechrigt. Mein server wird sich aber nicht ständig im 24/7 modus befinden. Somit habe ich dann schon ein höheres sicherheitsgefühl. Man braucht aber auch nicht gleich andere als paranoid hinstellen. Würde mich da persönlich angegriffen fühlen. War das jetzt genug erläuterung?
Wenn ja, dann wäre es nett, wenn du mal auf meine konfiguration eingehen könntest!

 

[Karbe]

Das Board hat nur 4xSATA, die wirst du vermutlich für dein RAID5-Storage nutzen wollen. Eine Systemplatte wirst du aber wohl auch brauchen, oder ?

Deswegen kannst du ja auch mal einen Blick auf das Zotac-Board werfen:
Zotac H55-ITX WiFi, H55 (Sockel-1156, dual PC3-10667U DDR3) (H55ITX-A-E) Preisvergleich bei Geizhals.at Deutschland
Das bringt auch gleich noch einen WLAN-Adapter mit.

Als Systemplatte lässt sich in dem kleinen Chenbro ja ein 2,5"-Laufwerk bzw. eine kleine SSD einsetzen.

Hast du dir schon Gedanken gemacht, wie du dein verschlüsseltes Array mounten willst ? Da der Server ja nicht ständig an ist, musst du jedesmal Bildschirm und Tastatur anstecken, nicht gerade praktisch. Auch ein automatisiertes Hochfahren per WOL ist somit nicht möglich. Letztenends hängt irgendwann ein USB-Stick mit der Passphase am Board und der Nutzen der Verschlüsselung ist vollkommen dahin (alles schon gesehen )

Grüße

 

[NiclasM]

Wie wärs mit Remote Desktop ? Linux halt SSH...

 

[gdfan]

Und damit kann ich auf den Bootloader zugreifen und mein Truecryptpasswort eingeben?
Die Systemplatte will er doch garantiert auch verschlüsseln...

 

[linuxlebt]

Das System an sich braucht ja kein Mensch zu verschlüsseln, es geht ja wenn nur um das Raid!

so far

 

[LittleMisterHappy]

Das mit der 2,5" Festplatte hab ich mir natürlich auch schon überlegt (werde ich auch machen).

Zotac H55-ITX WiFi, H55 (Sockel-1156, dual PC3-10667U DDR3) (H55ITX-A-E) Preisvergleich bei Geizhals.at Deutschland

Das hat aber keine Raid Funktionen (zumindest laut Hersteller HP). Laut Intel HP wird die Advanced Storage Technology erst bei H57 Chipsatz unterstützt: Chipsatz Produktbeschreibung. Hat dieses Board nun Raid Funktionalitäten???

Das System an sich braucht ja kein Mensch zu verschlüsseln, es geht ja wenn nur um das Raid!

Nachdem ich mir die Truecrypt Dokumentation durchgelesen hatte, habe ich mich dazu entschlossen, auch die System Platte zu verschlüsseln, aufgrund folgender "Data Leaks":
Truecrypt Doc

Danach kann man in Truecrypt angeben, dass das Raid System ein so genanntes "System Fovourite Drive" ist, was das Volume dann ja automatisch mountet.

Es ist jedoch auch möglich, die Pre-Boot Authentication für das Boot System auszuschalten. Somit kann das Raid danach (z.B.: unter Verwendung einer Remote Desktop Software) gemountet werden. WOL würde somit auch funktionieren. Korrigiert mich, falls ich falsch liege.

A pro po WOL: Weiß jemand von euch, welche Halt Zustände dieses Intel Board unterstützt (S3 oder S4?). Laut Dokumentation scheint Intel etwas anderes als Wake on Lan zu unterstützen: Intel Remote Wake

Hat jemand von euch schon Erfahrung mit der Intel Matrix Storage Technology gemacht? Im speziellen mit Software Verschlüsselung? Man kann ja konfigurieren, dass verschiedene Ordner z.B.: im Raid 5 sind und andere (z.B.: Programme) im Raid 0. Wenn ich mein ganzes Raid jedoch mit Truecrypt verschlüssele, kann der Matrix Storage Manager aber erst nach dem mounten des verschlüsselten Voumes auf die einzelnen Daten zugreifen. Somit wüsste er ja nicht, welche Teile im Raid 5 und welche im Raid 0 lagern!?


LG,
LMH

 

[Karbe]

Praktikabel ist das dann aber nicht, wenn du jedesmal erst das RAID-Volume händisch mounten musst. Aber gut, ist deine Sache.

Wenn ich meinen HTPC starte weckt dieser automatisch den Fileserver und ich habe sofort Zugriff auf die Freigaben. Schalte ich ihn wieder aus, fährt der Fileserver spätestens 15min später von allein wieder runter.

@RAID-Funktionalität vom Mainboard.. das ist vollkommen unrelevant, die sog. "RAID-Funktionalität" bedeutet lediglich, das "Fake"-RAIDs möglich sind. Ein richtiges Software-RAID kannst du problemlos auch ohne dieses Feature einrichten.

Grüße

 

[gdfan]

Das System an sich braucht ja kein Mensch zu verschlüsseln, es geht ja wenn nur um das Raid!

so far

Sorry, aber das stimmt so nicht. Wenn ich meine Daten verschlüsseln will, sollte ich auch die Temp Verzeichnisse und Caches auf der Systemplatte gleich mit verschlüsseln. Wie er es auch schon gesagt hat

 

[LittleMisterHappy]

Hallo Leute!

Hier meine aktualisierte Hardwareliste:
============================
Mobo: (Intel Media Series DH57JG)
CPU: Intel Core i3 530
RAM: (G.Skill RipJaws DIMM Kit 4GB PC3-10667U CL7-7-7-21 (DDR3-1333))
Festplatten: Western Digital Cavier Green
Systemplatte: Hitachi Travelstar E7K320 320 GB
Laufwerk: Samsung SN-T083C
Gehäuse: (Chenbro ES34069 schwarz, 180W, Mini-ITX)

Glaube, dass ich mit dieser HW sehr gut zurecht kommen werde.


LG,
LMH

 

[underclocker2k4]

Bin mal frech, noch faul am Morgen. ^^

http://www.hardwareluxx.de/community/14437618-post19.html

evtl auch für dich von interesse, gerade wenn man mal nen Backup auf externe HDDs machen möchte.

 

[Karbe]

Wie willst du sechs Laufwerke (Systemplatte, optisches Laufwerk, RAID5-Storage) an 4 SATA-Ports anschließen ? Entweder brauchst du einen RAID-Controller für das Storage oder ein Board mit 6xSATA.

Grüße

 

[LittleMisterHappy]

mein gott bin ich dämlich ^^
Hab die ganzen mobos die ich mir in letzter zeit angesehen hab ein wenig durcheinander gebracht
Hm, da muss ich mir nochwas überlegen...

 

[hattabatatta]

es sei denn das von dir gewählte mainboard unterstützt port multipliering.
dann kannst du auch mehrere sata platten mittels eines port multipliers an einen sata port anschliessen.
performance geht dann halt runter wenn auf die platten die an einem port angeschlossen sind gleichzeitig zugegriffen wird.

 

[Gohst_oc]

Der Ansatz beim Chipsatz ist schon mal gut, da der H57 KVM unterstüzt (Bildübertragung über die Netzwerkkarte).

Aber es gibt noch keine ITX Boards mit H57 & >4 SATA Ports.
Man könnte aber einfach den eSATA Port & die USB Ports nutzen.

An den eSATA die System-Platte hängen?!

Was ich noch zur Verschlüsselung sagen will:

Die nützt euch einen Scheiss vor Datenklau am laufenden System!
Jedenfalls bei ner Whole-Disk encryption (wie stehts mit Containern?)

Weil Programme innerhalb des OS können ja auf alle Dateien zugreifen.
Daher kann man über Trojaner schön die Daten klauen.

Gut, gegen das Trojaner-Problem ist man mit Linux eigentlich gut gerüstet.
Wenn ihr also so paranoid seid, und angst habt das der Staat zu euch ins Haus kommt und die Platten klaut, pech gehabt.

Ich bin überzeugt dass jede legale Verschlüsselungssoftware ein Backdoor hat.
Opensource hin oder her.
Packt eure HDDs lieber in die Mikrowelle

Auch ne noch so gute Verschlüsselung kann auf nem Grossrechner erstaunlich schnell geknakt werden.
Daten sind nie wirklich sicher.