Server mit Vollverschlüselung

[Zeror]

Hallo zusammen,

ich möchte mir in meiner Wohnung einen kleinen Server aufstellen, der hauptsächlich als NAS dienen soll. Da auf dem Server neben privaten und beruflichen Daten auch ein paar Backups meiner Familie liegen soll, würde ich gerne eine Vollverschlüsselung aller verbauten Festplatten einrichten. Nun wäre die Frage, wie ich das am besten bewerkstellige. Ob ich dabei Windows Server oder z.B. OpenMediaVault mit einer zusätzlichen Windows-VM laufen habe, ist mir dabei nicht so wichtig.

Mit TrueCrypt (oder auch meinetwegen VeraCrypt) könnte ich die Platten verschlüsseln. Dann müsste ich beim Hochfahren ein Passwort eingeben, was aber für mich in Ordnung wäre. Nun wird es aber interessant, wenn ich z.B. bei OpenMediaVault die Autoshotdown-Funktion nutze: Lässt sich der Server dann über WOL starten und sind die Festplatten dann weiterhin gemountet? Wie handhabt Windows-Server das?

Oder wäre es besser bzw. nötig die Systemplatte nicht zu verschlüssen, dafür aber nur die einzelnen Festplatten? Ich hoffe ihr könnt mir hier einen Weg zeigen, wie ich das umsetzen kann.

Es geht mir hierbei darum, dass bei einem Einbruch in meiner Wohnung die Diebe nichts mit den Daten anfangen können.

 

[Gen8 Runner]

Arbeite zurzeit mit FreeNAS und bin sehr zufrieden.
Allerdings ist damit Standby nahezu ausgeschlossen, da in FreeNAS (bzw. FreeBSD) m.W.n. keine Funktionen für einen Ruhezustand integriert sind, d.h. WOL und ähnliches dürfte nur sehr schwer realisierbar sein.

Auf jeden Fall ist es dort so:
Du kannst Speicherpools (Datasets) erstellen, die dann auch komplett verschlüsselt sind, Verschlüsselungsstärke nicht auswählbar.
Zum Entschlüsseln rufst du die Weboberfläche auf, fügst den Key File ein und gibst dein Kennwort ein, im Anschluss entschlüsselt er die Datasets, welche sich ganz normal per SMB / NFS einbinden lassen. Bis zum Neustart, manuellen verschlüsseln oder Stromausfall sind diese entschlüsselt und es kann normal mit gearbeitet werden.
Die Systemplatte (bei mir zwei USB Sticks zur Redundanz) ist unverschlüsselt, braucht auch keine Verschlüsselung.

 

[rayze]

Den Server mit FreeNAS in den Standby oder Hibernate Modus versetzen geht zwar aufgrund der nicht vorhandenen Implementierung nicht. Ein Zeitgesteuertes Herunterfahren bei nicht vorhandener Netzwerkaktivität aber schon. Nutze dafür auf meinem Backupserver folgendes Script. Aufwecken per WOL geht nach kleinen Anpassungen ebenfalls.

#!/bin/sh
#set -xv

# Being called by rc
if [ ! -z $RC_PID ]; then
    if [ -z $PROCMAIN ]; then
        export PROCMAIN=YES;
        /bin/sh $0 ${ALL_ARGS} | logger -i -t ethidle &
        exit 0
    fi
    echo $$ >/var/run/ethidled.pid
fi

TMPFILE=/tmp/ifoctets.dat

SNMP_COMMUNITY=public
SNMP_HOST=localhost
SNMP_INDEX=1
SNMP_GET="/usr/local/bin/snmpget -c $SNMP_COMMUNITY -v 2c -Ov $SNMP_HOST ifInOctets.$SNMP_INDEX ifOutOctets.$SNMP_INDEX"

TIMEOUT=90
TIMEDELAY=60

#THRESHOLD_IN=20240
#THRESHOLD_OUT=25048

THRESHOLD_IN=200000
THRESHOLD_OUT=200000

echo "Count    In Delta    Out Delta"

COUNT=$TIMEOUT
OCT_IN2=0
OCT_OUT2=0

while [ true ]; do
    let OCT_IN1=OCT_IN2 >/dev/null
    let OCT_OUT1=OCT_OUT2 >/dev/null

    $SNMP_GET | tr -s '\n' ' ' > $TMPFILE
    read C1 OCT_IN2 C2 OCT_OUT2 < $TMPFILE

    let OCT_IN=OCT_IN2-OCT_IN1 >/dev/null
    let OCT_OUT=OCT_OUT2-OCT_OUT1 >/dev/null

#   if [ ${OCT_IN-0} -le 0 -a ${OCT_OUT-0} -le 0 ]; then
    if [ ${OCT_IN-0} -lt $THRESHOLD_IN -a ${OCT_OUT-0} -lt $THRESHOLD_OUT ]; then
        let COUNT=COUNT-1 >/dev/null
    else
        COUNT=${TIMEOUT}
    fi

    printf " %.3d  %11d  %11d\n" $COUNT $OCT_IN $OCT_OUT

    [ $COUNT -le 0 ] && break || sleep $TIMEDELAY
done

echo "SHUTTING DOWN SERVER"
shutdown -p now

 

[wargodofmetal]

Nun wird es aber interessant, wenn ich z.B. bei OpenMediaVault die Autoshotdown-Funktion nutze: Lässt sich der Server dann über WOL starten und sind die Festplatten dann weiterhin gemountet? Wie handhabt Windows-Server das?

War der Server im Standby sind die TC-Laufwerke weiterhin da. War er ausgeschaltet oder im Hibernate (wenn das Systemlaufwerk auch verschlüsselt ist), muss das Kennwort erneut eingegeben werden.

Oder wäre es besser bzw. nötig die Systemplatte nicht zu verschlüssen, dafür aber nur die einzelnen Festplatten? Ich hoffe ihr könnt mir hier einen Weg zeigen, wie ich das umsetzen kann.

Die Systemplatte muss nicht verschlüsselt werden, dann kannst du nach dem Booten und Anmelden das TC-Passwort eingeben um die Laufwerke zu mounten. Hat den Nachteil, dass Programme, die bis dahin darauf zugreifen wollen, eventuell Probleme bekommen. Der Vorteil ist, dass du das auch per Teamviewer, Remotedesktop etc. machen kannst. Ist die Systemplatte verschlüsselt, brauchst du schon KVM per IPMI o.ä., um den Server nach Stromausfall, Reboot wegen Updates usw. remote wieder ans Laufen zu bekommen. Dafür sind alle Laufwerke schon "da", bevor irgendein Programm darauf etwas machen will.

Ich nutze schon seit Jahren Truecrypt mit kompletter Verschlüsselung. Da der Server zu hause steht macht es auch nichts, hin und wieder geplant das Passwort zum Booten eingeben zu müssen (z.B. Patchday).

 

[Zeror]

Erstmal vielen Dank für eure Hilfe. FreeNAS ist bei mir erstmal ausgeschieden, da ich da (soweit ich weiß) nicht virtualisieren kann. Ich benötige aktuell aber noch eine Windows-Instanz. Daher wird es nun Windows-Server und über eine virtuelle Maschine werde ich mal Linux installieren und gucken, ob ich dann eines Tages migrieren kann.

Ich werde erstmal nur die Datenplatten verschlüsseln und mir ein kleines Programm bauen, mit dem ich über Netzwerk die Platten auf dem Server mounten kann. Ich glaube OpenMediaVault war das, die ein ähnliches System haben, bei dem das Keyfile über ein HTML-Formular hochgeladen werden kann, das würde mir erstmal reichen.

 

[rolfie]

Du kannst auch z.B. Debian vollverschlüsselt mit luks aufsetzen, per Samba Freigaben für Windows. Ich würde die Datenplatten einzeln verschlüsseln.

Mfg rh

 

[pumuckel]

Ich würde dazu raten eher lokale (konten) in Encrypt statt einer Vollverschlüsselung zu nutzen

aka jeder hat seine eigene Daten encrypted

in einer Boot encrypt sehe ich keinen Vorteil (aber nur meine meinung) .. nur Nachteile bei der Performance und Sicherheit, da jeder dann die Decrypt keys braucht

 

[Handle]

Erstmal vielen Dank für eure Hilfe. FreeNAS ist bei mir erstmal ausgeschieden, da ich da (soweit ich weiß) nicht virtualisieren kann.

FreeNAS bietet VirtualBox als Jail-Template an. Damit kannst du dann virtualisieren, was du möchtest.

@pumuckel deine Meinung in Ehren, aber das ist weder sicherer noch performanter, wenn jeder seine eigenen Daten verschlüsseln würde. Komplizierter wäre es außerdem noch. Und was meinst du mit "da jeder dann die Decrypt Keys braucht"? Der TS gibt beim Bootvorgang das Passwort ein, die Volumes werden entschlüsselt und fertig ist. Die User müssen gar nichts tun.