WORM - Speicheraufteilung? Eigenes Volume?

[Garinkel]

Hi!

Für einen kleinen Teil meiner Dateien benötige ich die WORM-Funktionalität meiner DS224+ (mit 2 x 4 TB-Platten mit dem Synology-Raid) im Compliance-Modus. Die Datenmenge beträgt max. 500 MB pro Jahr, also eigentlich nicht viel.

Das ist mein erstes NAS, und mit WORM habe ich auch noch keine rechte Erfahrung. Deshalb tue ich mich gerade schwer mit der Entscheidung, wie ich das am besten einrichte.

Angenommen, ich mache ein einziges Volume auf die Festplatte, dann führt das WORM-Verzeichnis dazu, dass ich die Festplatten nicht mehr löschen kann, ohne das WORM zu verlieren. Ich bin auch bzgl. Löschen/Umbenennen von Ordnern eingeschränkt, wenn ich das richtig verstanden habe.

Wäre es besser, zwei Volumes auf die Festplatte zu packen? Ein kleines (100 GB?) für das WORM, und ein großes für den Rest?

Ist es richtig, dass man mit DSM Volumes zwar vergrößern, aber nicht verkleinern kann, sodass ich also auf die einmal eingangs erstellte Speicheraufteilung auf "Lebzeit" festgelegt bin? (Wenn ich das große Volume löschen würde, dann verliere ich meines Wissens z.B. die Snapshots.)

 

[Ronny1978]

Meines Wissen hat WORM nicht zwingend was mit Pool oder Volume zu tun, sondern geht auch auf Ordner Ebene. Also einfach einen neuen "Freigabeordner" anlegen und die WORM Funktionalität aktivieren.

https://blog.synology.com/ger/anleitung-was-ist-worm-schreib-und-loeschschutz-in-synology-dsm/

Eingeschränkt bist du immer bei WORM. Legst du ein 2. Volumen auf dem gleichem Speicherpool an, hast du immer noch die "Probleme" beim Löschen der Platten. Du bräuchtest ja einen 2. Pool. Und vielleicht noch einmal mit den WORM Methoden auseinandersetzen!!!

-> Enterprise-Modus
-> Compliance-Modus

Ich verstehe noch nicht so richtig die Zweifel. Entweder du benötigst WORM und willst Löschen verhindern oder auch nicht. Wieso die Theorien zum Löschen von Volumen, Ordner, Pool oder Festplatten??? Am besten oben den Link nutzen und sich näher mit den 2 Methoden von WORM beschäftigen.

 

[DaveR]

WriteOnce can only be enabled when creating new shared folders, and once created, shared folders with WORM enabled cannot be converted back to a regular shared folder at any time in the future.

See https://kb.synology.com/de-de/WP/WriteOnce_White_Paper/2

 

[maxblank]

WORM verhindert uU auch das Löschen des Volumes bzw. Entfernen des Speicher-Pools in der Zukunft - je nach eingestelltem Modus und / oder Dauer.

 

[Ronny1978]

WORM verhindert uU auch das Löschen des Volumes bzw. Entfernen des Speicher-Pools in der Zukunft

Naja, es soll ja schützen. Und damit für mich alles richtig, oder? Man sich halt irgendwo entschließen: Schutz durch WORM oder eben nicht. Das dann Einschränkungen beim Löschen von Pools und Volumen mit drin sind, ist aber auch etwas verständlich. Sonst wird der Schutz ja gleich wieder halb ausgehebelt.

Für mich heißt das eigentlich -> separater Pool, separates Volumen und dann nur dort WORM. Aber das müssen die Steckplätze für die Platten halt hergeben.

 

[maxblank]

Klar, Sinn und Zweck der Geschichte. Nur derjenige, der es anlegt und betreut, muss es wissen und mit einbeziehen.

 

[ctrlaltdelete]

Steht eigentlich alles super beschrieben im Whitepaper.
Compliance kann aus dem DSM heraus nicht gelöscht werden, bzw. erst am Ende der Aufbewahrungszeit, auch nicht der Speicherpool/Volume.
Enterprise authorisierte Admins können löschen.
Generell kannst du die HDD aber auch extern löschen/formatieren, bei Bedarf.

 

[Garinkel]

Ich hatte mir das von DaveR verlinkte White-Paper von Synology ja im Vorfeld selbst schon durchgelesen; das war ja gerade der Grund für meine Frage. Denn dort steht:

In both Compliance and Enterprise mode, the path to a file in a locked state is also locked to protect files from modifications.​

Das heißt, ich kann Dateien weder umbenennen, noch innerhalb der WORM-Ordnerstruktur verschieben{1}.

Und ich würde das jetzt auch so interpretieren (aber keine Ahnung, ob das so ist), dass man auch den WORM-Ordner nicht auf ein anderes Volume oder innerhalb des Volumes an eine andere Stelle verschieben kann (denn das würde den Dateipfad ja doch wieder ändern). Und das wäre schon eine ziemliche Einschränkung.

Zweitens steht im White-Paper:

Directory and parent directories containing the file cannot be deleted.​

Ich hatte das so interpretiert, dass man die Festplatten danach nicht mehr löschen kann - auch extern nicht. Laut ctrlaltdelete scheint das aber schon zu gehen. Das wäre schonmal ein Ausweg.


Kann man denn extern einen WORM-Ordner auf eine andere Festplatte verschieben, unter Erhalt der Zeitstempel?





{1} So ganz verstehe ich diese Einschränkung nicht. Was ist der Sinn, Tippfehler im Dateinamen oder das eine zehntelsekunde zu frühe Loslassen der Maustaste, weshalb die Datei im falschen WORM-Unterordner landet, auf ewig unkorrigierbar mit sich herumschleppen zu müssen?

 

[Ronny1978]

auf ewig unkorrigierbar

Du kannst doch einen Zeitraum festlegen, wie lange gesperrt wird. Und außerdem: Wenn man privat oder im kleinen Business etwas wie WORM einführen will, dann muss man sich einfach der Konsequenzen im Klaren sein. Du willst dich bzw. die Daten vor Manipulation schützen, dann heißt es ordentlich "Gehirnschmalz" IM VORFELD in das Konzept zu legen.

Ja, nein, vielleicht, weiß nicht - ist hier nicht angesagt. Und warum solltest du HDD extern nicht löschen dürfen? Die Daten sind halt dann weg. Bei WORM geht es ja nur darum, dass die Daten bei Zugriff (für einen bestimmten Zeitraum) unveränderlich sind.

Und ich würde das jetzt auch so interpretieren (aber keine Ahnung, ob das so ist), dass man auch den WORM-Ordner nicht auf ein anderes Volume oder innerhalb des Volumes an eine andere Stelle verschieben kann (denn das würde den Dateipfad ja doch wieder ändern). Und das wäre schon eine ziemliche Einschränkung.

Warum? Du legst die WORM Funktionalität fest. WORM soll dich und die Daten schützen. Wenn du die Daten umbenennst, ist das eine Manipulation!!! Wenn du die Daten verschiebst, ist das eine Manipulation. Fazit: Nix da. Mal einfaches Beispiel: Du bist TÜV zertifiziert und sagst: "Meine unveränderlichen Daten liegen, für den Zugriff (für die Mitarbeiter), hier und hier." Jetzt verschiebst du im Nachhinein die Daten und....? Hat der Mitarbeiter dann noch Zugriff? Nö, eben nicht. Daher einfach erst Nachdenken, dann machen. Es handelt sich hier um ein Business Feature. Ob du das als Privatperson, oder im kleinen Unternehmen benötigst, kannst nur du entscheiden.

Die Richtlinien für WORM sind eigentlich klar und man muss sie halt so hinnehmen. Ich finde diese gut durchdacht, für die, die das Feature benötigen. Daher heißt es ja auch:

Compliance and Enterprise mode

Das hat nix mehr mit Privat oder Small Office zu tun.

 

[ctrlaltdelete]

Genau deshalb heisst es WORM und nicht UVDMJWN (umbenennen, verschieben darf man ja wohl noch)

 

[Garinkel]

Du kannst doch einen Zeitraum festlegen, wie lange gesperrt wird. Und außerdem: Wenn man privat oder im kleinen Business etwas wie WORM einführen will, dann muss man sich einfach der Konsequenzen im Klaren sein.

Wie kommst Du darauf, dass ich das einführen *will*?

Seit 2025 muss jedes Unternehmen in der Lage sein, E-Rechnungen zu empfangen. Das gilt auch für Kleinstunternehmer mit nur dreistelligem Umsatz im Jahr oder jeden kleinsten Verein; also auch z.B. der Förderverein der KiTa. Und für deren Aufbewahrung ist laut Gesetz die Unveränderlichkeit sicherzustellen. Das betrifft aber nur den Dateiinhalt, nicht den Dateinamen oder den Dateipfad.

Um Übrigen fordert das Gesetz zeitgleich die Gewährleistung der Richtigkeit der Aufzeichnungen. Und das beißt sich nun mit WORM. Denn wenn es unveränderlich ist, und irrtümlich ein menschlicher Fehler passiert (kann man nie ausschließen), dann ist der mit dem WORM-Konzept von Synology unkorrigierbar, und damit ist die Richtigkeit gerade nicht mehr zu gewährleisten.

Falls Du mich jetzt fragst, warum ich denn Synology gewählt habe, wenn ich das so einschätze: Weil es das geeignetste war, das ich gefunden habe; unter zusätzlicher Berücksichtigung des Umstandes, dass so ein System nicht zehn "Jahresgewinne" kosten darf.

(Übrigens: Für den Empfang von E-Rechnungen gibt es keine Ausnahmeregelung für Kleinstunternehmer, nur für die Pflicht, solche auszustellen.)

Du willst dich bzw. die Daten vor Manipulation schützen, dann heißt es ordentlich "Gehirnschmalz" IM VORFELD in das Konzept zu legen.

Deswegen frage ich ja u.A. hier.

Ja, nein, vielleicht, weiß nicht - ist hier nicht angesagt. Und warum solltest du HDD extern nicht löschen dürfen?

Mir war nicht klar, ob das WORM software- oder hardwareseitig implementiert ist. Eine hardwareseitige Implementierung wäre auch extern nicht löschbar.

Die Daten sind halt dann weg. Bei WORM geht es ja nur darum, dass die Daten bei Zugriff (für einen bestimmten Zeitraum) unveränderlich sind.

ca. 10 Jahre. Das ist eine verdammt lange Zeit.

Warum? Du legst die WORM Funktionalität fest. WORM soll dich und die Daten schützen. Wenn du die Daten umbenennst, ist das eine Manipulation!!! Wenn du die Daten verschiebst, ist das eine Manipulation.

Und gerade diesen Schluss verstehe ich nicht. Die Daten sind doch unabhängig vom Aufbewahrungsort. Wenn der Verzeichnispfad signifikant ist, müsste es auch der Sektor auf der Festplatte sein oder die Volume-ID. Und damit müsste man ein WORM niemals migrieren dürfen. Noch nichtmal auf eine Ersatzfestplatte, weil die alte droht den Geist aufzugeben.

Und wenn der Datenstandort so relevant ist - darf man dann das NAS auf einen anderen Schrank packen?

Was unterscheidet denn den einen Standort (im Verzeichnisbaum) von den anderen Standorten (Sektor, Volume-ID, physikalischer Ort)?

Fazit: Nix da. Mal einfaches Beispiel: Du bist TÜV zertifiziert und sagst: "Meine unveränderlichen Daten liegen, für den Zugriff (für die Mitarbeiter), hier und hier." Jetzt verschiebst du im Nachhinein die Daten und....? Hat der Mitarbeiter dann noch Zugriff?

Natürlich. Nennt sich CIP (Continuous Improvement Process) und ist integraler Pflicht-Bestandteil jedes Qualitätsmanagementssystems, das z.B. nach ISO 9001 zertifizierfähig sein will.

Wenn sich z.B. ein Datenstandort als ungeeignet erweist, muss man ihn verbessern können. Man muss natürlich Zugriffsrechte, Anweisungen bzgl. Dateiablage etc. anpassen. Aber auch das ist Alltag im QMS.

Wer ein QMS mit der Maßgabe betreibt, einmal eingangs geregelte Dinge dürften niemals mehr geändert werden, wird damit scheitern.

Nö, eben nicht. Daher einfach erst Nachdenken, dann machen. Es handelt sich hier um ein Business Feature.

Kein Feature. Gesetzliche Pflicht.

Die Richtlinien für WORM sind eigentlich klar und man muss sie halt so hinnehmen. Ich finde diese gut durchdacht, für die, die das Feature benötigen. Daher heißt es ja auch:

Das hat nix mehr mit Privat oder Small Office zu tun.

Leider liegst Du damit falsch. Es hat seit 2025 sehr wohl mit Small Office zu tun. Sogar mit Micro Office.

 

[maxblank]

Denn wenn es unveränderlich ist, und irrtümlich ein menschlicher Fehler passiert (kann man nie ausschließen), dann ist der mit dem WORM-Konzept von Synology unkorrigierbar, und damit ist die Richtigkeit gerade nicht mehr zu gewährleisten.

Das bedeutet allerdings nicht, dass dieser Fehler nicht korrigiert werden kann, soll oder darf.
Dann gibt es halt eine geänderte bzw. korrigierte Version des fehlerhaften Dokuments, welches z.B. als V2 abgelegt wird. Das wird bei allen Dokumenten-Management-Systemen, die ich betreue, seit Jahren so umgesetzt. Und auch diese müssen die „Unveränderbarkeit“ sicherstellen.

 

[ctrlaltdelete]

Gute Idee, ich würde dafür auch eher ein DMS einsetzen.

 

[Ronny1978]

@Garinkel : Wenn ich deine Ausführungen in Post #11 so lese, bist du doch bestens vorbereitet. Warum dann Schwierigkeiten bei der Interpretation von Anleitung von Synology? Die 500 MB sind denn das alles Rechnungen? Dann wären das ja grob über den Daumen gepeilt ca. 2.000+ Dokumente.

Seit 2025 muss jedes Unternehmen in der Lage sein, E-Rechnungen zu empfangen. Das gilt auch für Kleinstunternehmer mit nur dreistelligem Umsatz im Jahr oder jeden kleinsten Verein; also auch z.B. der Förderverein der KiTa. Und für deren Aufbewahrung ist laut Gesetz die Unveränderlichkeit sicherzustellen.

Hier geht es um wie viele Dokumente (Rechnungen)???

(Übrigens: Für den Empfang von E-Rechnungen gibt es keine Ausnahmeregelung für Kleinstunternehmer, nur für die Pflicht, solche auszustellen.)

Gleiche Frage. Und Zugpferd Rechnungen sollte für den Normalnutzer nicht zwingend manipulierbar sein.

ca. 10 Jahre. Das ist eine verdammt lange Zeit.

Bei allem Respekt. Du hast bei DIR gesagt 500 MB pro Jahr. Lass mich kurz rechnen.... 5 GB in 10 Jahren. Also wenn du das mit deinem NAS nicht abbilden kannst, dann solltest du auf WORM verzichten.

Und wenn der Datenstandort so relevant ist - darf man dann das NAS auf einen anderen Schrank packen?

Also wenn jetzt hier Ironie und Sarkasmus dazukommt bin ich raus.

Was unterscheidet denn den einen Standort (im Verzeichnisbaum) von den anderen Standorten (Sektor, Volume-ID, physikalischer Ort)?

Die Unveränderbarkeit muss Synology ja irgendwie "festsetzen" und auch schützen. Hier wird wahrscheinlich nicht nur die Prüfsumme der Datei selbst, sondern auch andere Umgebungsvariabeln genommen, um das festzumachen. Ähnlich wie zum Beispiel Microsoft den Key vom Windows festlegt und dich neu registrieren musst oder musstest, wenn du an der Hardware was geändert hast. Hier wird vermutlich mit ähnlichen Steuerungsmechanismen gearbeitet.

Und damit müsste man ein WORM niemals migrieren dürfen. Noch nichtmal auf eine Ersatzfestplatte, weil die alte droht den Geist aufzugeben.

Dann frag doch einfach bei Synology mal nach, wie das in so einem Fall geht? Und nur weil ich etwas nicht verschieben, umbenennen oder löschen kann, heißt das nicht gleich im gleichen Atemzug, dass die Wiederherstellung nicht geht. Synology wird wohl kein Feature ausrollen, wenn die Wiederherstellung dann nicht mehr geht.

Wir setzen betrieblich auch ein DMS und auch zu Hause habe ich ecoDMS. Da wird auf Datenbankbasis gearbeitet und jede Änderung festgehalten.

 

[Garinkel]

Die Unveränderbarkeit muss Synology ja irgendwie "festsetzen" und auch schützen. Hier wird wahrscheinlich nicht nur die Prüfsumme der Datei selbst, sondern auch andere Umgebungsvariabeln genommen, um das festzumachen.

Naja, Deine ursprüngliche Aussage war, dass Umbenennen/Verschieben einer Datei Manipulation der in der Datei gespeicherten Daten darstellen würde.

Jetzt klingt es eher danach, als wäre das Verbot von Umbenennen/Verschieben eine (willkürliche) Einschränkung, weil Synology sich halt so entschieden hat, das zu machen.

Wenn das eine Designentscheidung von Synology war, OK, kann ich nachvollziehen.

Ersteres leuchtet mir aber immer noch nicht so ganz ein, und das Beispiel "was, wenn das NAS in einem anderen Schrank steht", war durchaus ernst gemeint. Der eine Schrank könnte mit "Rechnungen" beschriftet sein, der andere mit "Comics und Zufallszahlen".
Was den Unterschied zwischen Dateistandort und NAS-Standort ausmacht, sehe ich einfach nicht.
Aber ich denke, das brauchen wir nicht weiter zu vertiefen.

Wir setzen betrieblich auch ein DMS und auch zu Hause habe ich ecoDMS. Da wird auf Datenbankbasis gearbeitet und jede Änderung festgehalten.

Ich hatte mir mal LogicalDoc angeschaut; hat mich aber nicht überzeugt. Denn wenn die Dateien einfach so auf meinem PC liegen, sind sie doch nicht unveränderbar.

Und wenn sie in einer Datenbank liegen, werden Dinge wie Backup & Wiederherstellung evtl. ein Thema. Ich müsste ja sicherstellen, dass ich die Datenbank in 8 Jahren noch lesen kann. Gibt es das DMS dann noch für die aktuellen Betriebssysteme? Wenn ja, wie teuer ist das dann? Wenn nein - dann müsste ich neben dem Datenbackup noch ein Hardwarebackup garantieren können.

Da erschien mir das NAS als die einfachere Variante.

Ich habe mich jetzt übrigens entschlossen, das WORM zusammen auf das normale Volume zu packen.

Danke für eure Tipps!

 

[Ronny1978]

Wenn das eine Designentscheidung von Synology war

Hast du denn bei Synology mal nachgefragt?

Der eine Schrank könnte mit "Rechnungen" beschriftet sein, der andere mit "Comics und Zufallszahlen".

Und? Wenn das NAS ans Netzwerk angeschlossen ist, haben die Nutzer, egal in welchem physischen Schrank das NAS steht, Zugriff - hoffentlich.

werden Dinge wie Backup & Wiederherstellung evtl. ein Thema

Wieso evtl.??? Backup & Restore sollte immer ein Thema sein. Egal, ob du mit WORM oder einer Datenbank arbeitest.

Ich müsste ja sicherstellen, dass ich die Datenbank in 8 Jahren noch lesen kann. Gibt es das DMS dann noch für die aktuellen Betriebssysteme?

Auch das kann ich nicht richtig nachvollziehen. Das gleiche Problem hast du doch bei WORM und Synology auch? Oder kannst du die Festplatten/Ordner bequem auf QNAP oder Proxmox wieder mounten/herstellen??? Das Problem, dass du dich bei DMS oder irgendwelchen Verschlüsselungen auf den Hersteller verlassen musst und auch in irgendeiner Art und Weise bindest, bleibt leider nicht aus. Ich gehe aber schon davon aus, dass ich die Installationsdateien von ecoDMS - sollte der Hersteller mal pleite gehen - auch wieder her bekommen und auch die PostgreSQL wiederherstellen kann. Und ecoDMS gibt es ja für Linux, als Docker Variante und für Windows. Also man hat schon ein paar Möglichkeiten.

Aber manchmal habe ich das leichte Gefühl, dass du hier immer mal wieder was mit der Hard- und Software durcheinander würfelst und immer und zu jeder Zeit vom Worst-Case ausgehst. Dann dürftest du aber auch mit WORM nicht arbeiten, weil Synology ja nächste Woche auch weg vom Markt sein könnte, oder?

 

[Garinkel]

Hast du denn bei Synology mal nachgefragt?

Du bist auf Implementierungsdetails seitens Synology zum Sprechen gekommen (Thema Prüfsumme). Nicht ich. Ich habe nur Deine Aussage aufgegriffen.

Und? Wenn das NAS ans Netzwerk angeschlossen ist, haben die Nutzer, egal in welchem physischen Schrank das NAS steht, Zugriff - hoffentlich.

Es ging ja darum, warum das Umbenennen / Verschieben einer Datei dem WORM-Gedanken widersprechen soll, das Umstellen des NAS in einen anderen Schrank aber nicht.

Wenn das, was Du oben sagst, das entscheidende Argument wäre, würde ich kontern:

Wenn das NAS ans Netzwerk angeschlossen ist, haben die Nutzer, egal wie die Datei heißt und egal, in welchem der WORM-Verzeichnisse die Datei steht, Zugriff.

Und somit wäre wieder kein Unterschied zwischen "NAS in anderen Schrank stellen" und "Datei verschieben/umbenennen".

Wieso evtl.??? Backup & Restore sollte immer ein Thema sein.

Nein. Backup & Restore sollte eine Selbstverständlichkeit sein und mit das erste, was final geklärt ist und automatisch laufen sollte, sodass es danach dann kein Thema mehr ist.

Wenn durch den Einsatz eines DMS der Dateizugriff im Backup plötzlich nicht mehr gewährleistet ist, weil eine zusätzliche Nebenbedingung dazukommt (-> Notwendigkeit einer zusätzlichen Software, um die Datenbank zu lesen), wird ein Aspekt, der eigentlich schon längst abgehakt ist, plötzlich wieder zum Thema.

Egal, ob du mit WORM oder einer Datenbank arbeitest.

Da ist schon ein Unterschied.

Ich brauche keine spezielle Software, um ein WORM-Backup wieder lesen zu können. Solange da einzelne Dateien gesichert sind, kann ich sie ohne Probleme mit den Standard-Bordmitteln eines jeden Rechners lesen.

Bei einer Datenbank habe ich ohne spezielle Software zum Lesen der Datenbank keinen direkten Dateizugriff mehr.

Auch das kann ich nicht richtig nachvollziehen. Das gleiche Problem hast du doch bei WORM und Synology auch? Oder kannst du die Festplatten/Ordner bequem auf QNAP oder Proxmox wieder mounten/herstellen???

Ich verwende die Synology nicht für das Backup. Von daher stellt sich die Frage nicht.

Das Problem, dass du dich bei DMS oder irgendwelchen Verschlüsselungen auf den Hersteller verlassen musst und auch in irgendeiner Art und Weise bindest, bleibt leider nicht aus.

Auch wenn man Abhängigkeiten vielleicht nicht zu 100% vermeiden kann, so stellt sich doch die Frage, ob man sich deshalb gleich in maximale Abhängigkeit begeben muss oder ob man das nicht irgendwie minimieren kann.

Mit jedem zusätzlichen Tool, das ich benötige, um ein Backup wieder lesen zu können, steigt einmal der Monitoring-Aufwand (ich muss ja im Blick behalten, was mit dem Tool geschieht, um gegebenenfalls rechtzeitig das System wechseln zu können) und damit auch das Risiko, dass bei der Wiederherstellung dann doch was schiefgeht.

Aber manchmal habe ich das leichte Gefühl, dass du hier immer mal wieder was mit der Hard- und Software durcheinander würfelst und immer und zu jeder Zeit vom Worst-Case ausgehst.

Leute, die *nicht* vom Worst-Case ausgehen, erkennt man spätestens daran, dass im Falle des Datenverlusts die Litanei losgeht, was sie denn nun tun sollen, da sie ja kein Backup haben.