DSM 7.2 Speicherpool verschlüsseln

[Medienspuernase]

War nur eine Frage, ich hätte sowieso gewartet. Hab nur paar Programme installiert und Ordner erstellt nebenbei.

 

[ctrlaltdelete]

Pakete und Ordner erstellen ist ok, aber keine 27,5 TB gleichzeitig draufschieben.

 

[Medienspuernase]

So, mein lieber @ctrlaltdelete Seit dem Nachmittag ist die Optimierung meines Speicherpools fertig. Jetzt habe ich natürlich mehrere Festplatten, allerdings derzeit nur mit 19 TB, auf die DS1522+ zu ziehen. Verteilt sind die auf mehrere Platten ohne Gehäuse, die ich nacheinander via Dockingstation anschließe und eine externe Platte mit Gehäuse und USB 3.x Anschluss. Und es gibt auch einige Clouds in meiner Familie. Ich habe die ersten ca 10 TB Daten gestartet, von einer Platte in der Dockingstation, die am hinteren USB Port angeschlossen ist und die externe im Gehäuse am vorderen. Ich denke das kann die DS1522+ recht gut händeln von der Auslastung her. Morgen kommen dann noch die beiden anderen Platten dran, einzeln in der Dockingstation. Derzeit liegt die CPU Auslastung bei ca 30% bis 40%

Cloudsync schalte ich dann die Tage scharf, wenn alle Platten zurückkopiert wurden.

 

[ctrlaltdelete]

Ich würde mir die Datenträgerauslastung anschauen, ob es Sinn macht 2 Kopierjobs gleichzeitig zu fahren. Das kann manchmal langsamer sein, als 2 Jobs nacheinander.
Schau dir mal die Auslastung im Ressourcenmonitor an, bei Datenträger.

 

[Medienspuernase]

Ging alles soweit gut. Hatte Nachtschicht gehabt. Abends vor der Schicht gestartet und früh nach der Schicht war alles drauf.

 

[Dutchi83]

ich interessiere mich ebenfalls für die Verschlüsselung des gesamten Volumes, hätte hier aber noch ein paar Fragen zu:

Werden die Daten auf einem Netzlaufwerk automatisch entschlüsselt, wenn ein Zugriff via PC stattfindet?
Wir synchronisieren unsere Dokumente mit der Documents by Readdle App auf das Smartphone. Sind die Daten hier dann weiterhin lesbar?

Ich nutze für die Apps und Pakete zwei NVMe Volumes als RAID1. Macht es Sinn diese ebenfalls zu verschlüsseln?

 

[*kw*]

Das ist, als wenn jemand die Haustür aufschließt und offen lässt. So lange sind Zugriffe (je nach Rechte) möglich. Wird die Haustür abgeschlossen, ist dicht. Und durch's Fenster krabbeln gibt's nicht.

Mehr Infos gibt's noch hier

 

[maxblank]

Werden die Daten auf einem Netzlaufwerk automatisch entschlüsselt, wenn ein Zugriff via PC stattfindet?

Wenn dein NAS regulär gebootet ist, dann merkst du von der Volumenverschlüsselung gar nichts. Da die Volumen beim Systemstart automatisch entschlüsselt werden und die Keydatei in einem entsprechendem Encryption Key Vault (Schlüssel-Manager) auf dem NAS liegt.

 

[Ronny1978]

Nur noch einmal für die Mitleser (wie ich): Wenn ich aber, aus welchem Grund auch immer, selbst einen Datenrettungsversuch (bei RAID 1 Platten) unternehmen und die dann an einen PC anstecken möchte, wird das Auslesen nicht mehr funktionieren. Korrekt? Das sollte man aber auch beachten, bevor man sich der Verschlüsselung "ergibt". Oder ist es möglich mit dem gesicherten Key, das Auslesen dennoch zu bewerkstelligen? Dann ist die Sicherung des Keys umso wichtiger.

 

[maxblank]

Wenn du dann die Key-Datei nicht hast, sollte das Auslesen bzw. das Wiederherstellen der Daten an einem PC scheitern, korrekt.
Allerdings sollte das bei einer entsprechenden Backup-Strategie nie notwendig sein.

 

[ctrlaltdelete]

Kein Key - keine Daten.

 

[Ronny1978]

Allerdings sollte das bei einer entsprechenden Backup-Strategie nie notwendig sein

Da gebe ich dir komplett recht. Ich habe eine . Aber es geht ja auch um die Mitleser, die mit der Strategie noch nicht so weit sind und dann sagen: "Über das Backup wollte ich....." usw. Viele "Neulinge wissen dann aber nicht, dass bei Volumenverschlüsselung die Sicherung des Keys UND eine gescheite Backupstrategie um so wichtiger ist. Die lesen dann evtl. "nur" "....ist sicherer... schützt die Daten vor Diebstahl der Platten..." blablabla.

Aber sie haben ggf. die Wichtigkeit des Backups dann nicht auf dem Schirm. Ohne Verschlüsselung komme ich ggf. noch über den PC an die Daten ran, wenn die DS selbst "stirbt". Sonst halt nicht mehr. Das muss man klar im Hinterkopf haben. Für mehr sollten meine Hinweise nicht dienen.

 

[Medienspuernase]

@Dutchi83 Ich habe bei meiner DS1522+ jetzt seit einigen Tagen den Speicherpool verschlüsselt (RAID5 und BTRFS). Ich dachte eben auch, daß ich beim Anmelden an die Kiste (via SAMBA Netzlaufwerk oder Weboberfläche oder anderem Tool) noch irgendwelche zusätzlichen Schritte machen müsste, um an meine Daten zu kommen. Aber das war ein Irrtum. Egal wie du dich da anmeldest, meist musst du am PC oder TV oder im Browser dein stinknormales Anmeldepasswort hinterlegen und schon kannst du da ran. Wenn du noch irgendwelche Nutzer hast, die sich darauf einloggen können, musst du denen natürlich vorneweg die entsprechenden Lese- und Schreiberechte geben, je nachdem wie du magst. Ich werde mal an einem freien Tagen das auch noch mit der DS923+ von meinem Vater machen.

 

[maxblank]

Bin ich absolut bei dir. Danke für den wichtigen Hinweis.

 

[Medienspuernase]

Das ist, als wenn jemand die Haustür aufschließt und offen lässt. So lange sind Zugriffe (je nach Rechte) möglich. Wird die Haustür abgeschlossen, ist dicht. Und durch's Fenster krabbeln gibt's nicht.

Mehr Infos gibt's noch hier

Bei uns gibts immer durchs Fenster krabbeln, wenn man raus will und den Schlüssel verlegt hat .... durchs Toilettenfenster

 

[Medienspuernase]

@Dutchi83 Ich kann dir nur empfehlen, den Speicherpool zu verschlüsseln, bevor du dir die Arbeit machst alle deine Daten und Programme drauf zu speichern, denn der Speicherpool will verschlüsselt werden, wenn du den erstellst.

 

[synfor]

Wie verschlüsselt man denn Speicherpools?

 

[Annika Hansen]

Sodele ... es hat ein wenig gedauert bei mir (es gibt ja noch ein Leben neben Synology ), aber jetzt ist meine DS1522+ auch mit einem verschlüsselten Volume beglückt. Momentan läuft noch die Speicherpool-Optimierung und wenn die durch ist, dann wird das Backup wieder eingespielt.

Bei meinem Setup nutze ich nicht den lokalen Schlüsseltresor sondern einen KMIP-Server, den ich auf einem Raspberry aufgesetzt habe. Den aufzusetzen war nun wirklich keine Raketenwissenschaft und so sieht das jetzt aus:

Die Zertifikate und Keys sind jetzt also erstmal drei Jahre gültig. Ich hoffe bis dahin finde ich den richtigen Weg um Zertifikate und Keys auf dem KMIP-Server zu erneuern.

 

[Medienspuernase]

Mittlerweile habe ich auch die DS923+ von meinem Vater verschlüsselt bzw neu aufgesetzt und den Speicherpool verschlüsseln lassen. Habe ich vergangenes Wochenende gemacht, von daher ist die Speicherpooloptimierung da schon durch. Ich habe aber keine Zusätzliche Hardware für die Schlüsseltresore als Server zwischengeschaltet. Ich habe dafür zwei USB Sticks und zwei kleine externe SSDs gemacht, wo ich generell Schlüsselpaare (jeweils in eigenen Ordnern), Libre-Office Calc Sheets (keine Excelsheets) für Passwortlisten und wichtige Einstellungen für verschiedene und häufig genutzte Programme, Treiber und so nen Kram drauf habe. Eine der SSDs und einer der USB Sticks liegt (mit Veracrypt) verschlüsselt bei der Bank im Schliesfach und der andere USB Sticks in der Wohnung etwas versteckter. Und nach Aktualisierung der Daten auf Sticks und SSDs werden die, die daheim sind ins Schließfach verbracht und die anderen geholt und auch aktualisiert.

 

[Rotbart]

@Annika Hansen ein Backup von Key/Zertifikat bzw gleich den ganzen Raspi wäre bestimmt auch nicht die schlechteste Idee.