Forum Overview.com
Kategori: Lagring
Filserver/SAN med krypering?
Fråga:
Jo, det är så att jag vill flytta lagringen av all data, i det här fallet exklusivt film och musik, från min HTPC till en ren filserver eller SAN lösning för att få en helt passivt kyld HTPC. Saken hör till den att jag vill ha all data på filservern samt överföringen mellan filservern och HTPCn krypterad. Är det möjligt? Hur kommer det fungera med att streama media?

Finns det några lösningar med Linux och MythTV? Finns det alls någon medialösning som stödjer det här? Är en vanlig kryptering av filservern och sedan en SSL tunnel mellan filserver och htpc lösning?

Har du något förslag? Vet du något projekt som möter mina krav?

Tack!
Svaren i kort:
Truecrypt och smb borde fungera bra. Kör själv den combon, och det fungerar bra att streama krypterat material. Har dock inte krypterat alla min diskar. citat:Ursprungligen inskrivet av 4bstract
Truecrypt och smb borde fungera bra. Kör själv den combon, och det fungerar bra att streama krypterat material. Har dock inte krypterat alla min diskar.

Okay, men hur ser din setup ut då? Kör du Filserver och HTPC?

Jag tycks inte finna något om att Samba är krypterat på något sätt, i alla fall inte på Samba.org. Något du vet något om?

Jag tänker att det kan se ut följande:

Filserver - Truecrypt och Smb server.

till

HTPC och övriga klienter - Ansluten till Smbserver

Stämmer?

Hur fungerar det om du för över data från en annan klient, t.ex. min laptop eller arbetstation till Filservern, krypteras den datan "On-The-Fly" då, om vi utgår från att Smbservern delar en krypterad disk? Om jag bryter kontakten eller stänger av Filservern så kommer all ny och gammal data fortsatt vara kryperad och jag kommer behöve autentisera och starta Smb igen för att få tillgång till den från t.ex. min HTPC? AFS? Men jag klarar inte av att sätta upp skiten för det är krångligt, vet inte om du fixar det men isf är det väl bara att köra =P

Sök på OpenAFS eller Arla/Milko. citat:Ursprungligen inskrivet av Ph0ny^
Okay, men hur ser din setup ut då? Kör du Filserver och HTPC?

Jag tycks inte finna något om att Samba är krypterat på något sätt, i alla fall inte på Samba.org. Något du vet något om?

Jag tänker att det kan se ut följande:

Filserver - Truecrypt och Smb server.

till

HTPC och övriga klienter - Ansluten till Smbserver

Stämmer?

Hur fungerar det om du för över data från en annan klient, t.ex. min laptop eller arbetstation till Filservern, krypteras den datan "On-The-Fly" då, om vi utgår från att Smbservern delar en krypterad disk? Om jag bryter kontakten eller stänger av Filservern så kommer all ny och gammal data fortsatt vara kryperad och jag kommer behöve autentisera och starta Smb igen för att få tillgång till den från t.ex. min HTPC?
Jag skall försöka reda ut så gott jag kan!

Mitt nätverk ser ut så här:

Internet->Modem->Router->Klienter
Det som kanske inte är så standard är att jag har en delad router och filserver, vilket kan ge upphov till en del förvirring.
Min filserver betecknas som Routing/nas i sign och kör en mjuk raid5 på lagringsdiskarna.
Den kör smb/shorewall/www och jag kommer aldrig över 20 % i load och har en minimal minnesanvändning, 1024 är EXTREMT väl tilltaget. 256 räcker gott, kanske 512 om du skall köra krypteringen på servern (kommer tillbaks till detta senare).

Bakom routern/filservern har jag totalt tre olika switchar (varav en mest finns för att sladdarna är för korta..) och två olika accespunkter.
Min ws ansluter till filservern trådat genom samtliga tre switchar, och jag har inga prestandaproblem. Två laptops ansluter trådlöst genom en lite lyxigare neatgear accespunkt i den första switchen. En tredje laptop ansluter genom en accespunkt i den tredje switchen. Prestandaskillnaden är inte märkbar.

Personligen kör jag alltså ingen kryptering på filservern, och mig veterligen krypteras alltså inte trafiken via smb.

Beroende på dina krav finns det ett par olika lösningar (bara truecrypt/smb nu då):
Om du inte behöver krypterad ÖVERFÖRING (varför skall du ha det i ett hemnätverk?) så är det enklaste att helt enkelt skapa en truecrypt-volym på filservern och mounta den där manuellt vid uppstart och dela ut den mountade enheten via smb. Fördelen är att allt lagras krypterat och att klienterna inte behöver belastas med att kryptera/dekryptera. Nakdelen är alltså att du inte får krypterad överföring, samt måste in på servern och manuellt ange lösenord till dina krypterade enheter varje gång du startar om den (man brukar väll köra 24/7 så).

Ett annat alternativ är att skapa sk. "file containers" på filservern för att sedan mounta dessa på klienterna. Data skickas då krypterad, men belastar klienterna med arbetet. Dessutom kan containers tyvärr bara vara mountade på en klient i taget, vilket alltså begränsar dig till en samtida klient.


Själv har jag funderat på att köra mitt första alternativ, men det har helt enkelt inte blivit av. Använder alternativ två till en del känslig data och personliga saker. Återkom gärna med rapport om du testar något av detta!

Har tyvärr ingen erfarenhet alls av truecrypt under linux, det blir att testa någon gång när jag har tillgång till 1 TB lånediskar (: Jag kör DM-crypt luks på alla diskarna i servern. För att sedan ha en krypterad överföring mellan server och htpc använder jag ssh mount. Fungerar på precis samma sätt som smb och nfs mount men med fördelen att överföringen är krypterad. du får ju köra VPN mellan HTPCn och filservern. citat:Ursprungligen inskrivet av 4bstract
Jag skall försöka reda ut så gott jag kan!

Mitt nätverk ser ut så här:

Internet->Modem->Router->Klienter
Det som kanske inte är så standard är att jag har en delad router och filserver, vilket kan ge upphov till en del förvirring.
Min filserver betecknas som Routing/nas i sign och kör en mjuk raid5 på lagringsdiskarna.
Den kör smb/shorewall/www och jag kommer aldrig över 20 % i load och har en minimal minnesanvändning, 1024 är EXTREMT väl tilltaget. 256 räcker gott, kanske 512 om du skall köra krypteringen på servern (kommer tillbaks till detta senare).

Bakom routern/filservern har jag totalt tre olika switchar (varav en mest finns för att sladdarna är för korta..) och två olika accespunkter.
Min ws ansluter till filservern trådat genom samtliga tre switchar, och jag har inga prestandaproblem. Två laptops ansluter trådlöst genom en lite lyxigare neatgear accespunkt i den första switchen. En tredje laptop ansluter genom en accespunkt i den tredje switchen. Prestandaskillnaden är inte märkbar.

Personligen kör jag alltså ingen kryptering på filservern, och mig veterligen krypteras alltså inte trafiken via smb.

Beroende på dina krav finns det ett par olika lösningar (bara truecrypt/smb nu då):
Om du inte behöver krypterad ÖVERFÖRING (varför skall du ha det i ett hemnätverk?) så är det enklaste att helt enkelt skapa en truecrypt-volym på filservern och mounta den där manuellt vid uppstart och dela ut den mountade enheten via smb. Fördelen är att allt lagras krypterat och att klienterna inte behöver belastas med att kryptera/dekryptera. Nakdelen är alltså att du inte får krypterad överföring, samt måste in på servern och manuellt ange lösenord till dina krypterade enheter varje gång du startar om den (man brukar väll köra 24/7 så)....

Tackar för ett mycket bra svar! Blir nostalgisk och tänker tillbaka till gammla goda Sweclockers

Ja, jag läste in mig lite på Truecrypt igår och det verkar vara en väldigt smidig lösning. Att man kan behöva mounta volymerna vid en eventuell omstart ser jag inte som något direkt problem. Blir ju att servern kommer att stå på 24/7 så det skall inte behövas så ofta. Container funktionen verkar mer vara för mindre filer så den går nog bort.

nfm nämnde ju SSH Mount som är krypterad och det kan kanske vara något. Men som du säger, kryptering av överföringen kanske inte är 100% nödvändigt i det sluta nätverket. Får se om jag kommer köra trådlöst. Då blir det mer aktuellt.

nfm, vad har du för specs i din filserver och vad får du för prestandad med fullt krypterade diskar? Använder du LUFS eller liknande för att mounta diskarna? Bör tillägga att jag har en disk lokalt krypterad på volymnivå (truecrypt, AES). CPU-användningen ligger på sådär 20 % vid skriv. Kort fråga: Vad är finessen med att ha en krypterad förbindelse mellan filservern och HTPC:n? Är det Internet som är bärare mellan dessa två maskiner??

Själv så har jag hela mitt "diskhav", (1,3 TB), krypterat med TrueCrypt AES->TwoFish-Serpent, och monterar denna partition via vanlig windowsfileshare.

CPU:n i filservern är en P3-733 MHz, men det är i det minsta laget om man vill köra nästlad kryptering. Det går ganska trögt med större fil-flyttar, men konceptet är klockrent.

//Calimero citat:Ursprungligen inskrivet av calimero
Kort fråga: Vad är finessen med att ha en krypterad förbindelse mellan filservern och HTPC:n? Är det Internet som är bärare mellan dessa två maskiner??

Själv så har jag hela mitt "diskhav", (1,3 TB), krypterat med TrueCrypt AES->TwoFish-Serpent, och monterar denna partition via vanlig windowsfileshare.

CPU:n i filservern är en P3-733 MHz, men det är i det minsta laget om man vill köra nästlad kryptering. Det går ganska trögt med större fil-flyttar, men konceptet är klockrent.

//Calimero

Jag överväger att ha trådlös förbindelse mellan htpc och filserver vilket gör frågan om kryptering aktuell. Inte för att den verkligen verkligen behövs, men för att det går. citat:Ursprungligen inskrivet av Ph0ny^
Jag överväger att ha trådlös förbindelse mellan htpc och filserver vilket gör frågan om kryptering aktuell. Inte för att den verkligen verkligen behövs, men för att det går.

Okej....men jag antar att du aktiverar WPA mellan HTPC:n och filservern och då blir förbindelsen hyfsat krypterad. Viktigt att tänka igenom vad man egentligen vill uppnå. Jag jobbar professionellt med brandväggar/VPN och har sett en del (mindre) roliga varianter där kunderna kör ett VPN i ett VPN i ett VPN vilket leder till ganska dålig prestanda eftersom varje kryptering skapar overhead vilket i sin tur innebär att man kan skicka mindre antal bitar "nyttolast" i varje paket som går över förbindelsen.

Detta brukar kallas "security by obscurity" :-)



//Calimero citat:Ursprungligen inskrivet av calimero
Okej....men jag antar att du aktiverar WPA mellan HTPC:n och filservern och då blir förbindelsen hyfsat krypterad. Viktigt att tänka igenom vad man egentligen vill uppnå. Jag jobbar professionellt med brandväggar/VPN och har sett en del (mindre) roliga varianter där kunderna kör ett VPN i ett VPN i ett VPN vilket leder till ganska dålig prestanda eftersom varje kryptering skapar overhead vilket i sin tur innebär att man kan skicka mindre antal bitar "nyttolast" i varje paket som går över förbindelsen.

Detta brukar kallas "security by obscurity" :-)


//Calimero

Det här ju faktiskt sant. Jag kommer i vart fall testa med t.ex. SSHmount som nämnes av någon här upp. Har dte på inverkarn så kanske jag får nöja mig med WPA. citat:Ursprungligen inskrivet av Ph0ny^
Det här ju faktiskt sant. Jag kommer i vart fall testa med t.ex. SSHmount som nämnes av någon här upp. Har dte på inverkarn så kanske jag får nöja mig med WPA.
Testade faktiskt SSHmount i går eller i förgår eller vad det var. Sftpdrive tror jag programmet hette. Överföringshastigheten låg på ungefär en tiondel av vad jag får med smb (grovt testat med filöverföring). Det är plågsamt att behöva se en laddningsbar när man flyttar filer på några mb. Det gick bort direkt.

Vill inte tänka på hur det går med wifi, som redan är relativt segt i sig. Jag kan utnyttja 20 % av 54 mbit wifi (riktigt bra accespunkt). Motsvarande siffra för 100 mbit trådat är 80 % (!).
Gå till forumet

del.icio.us:Filserver/SAN med krypering?   digg:Filserver/SAN med krypering?   spurl:Filserver/SAN med krypering?   wists:Filserver/SAN med krypering?   simpy:Filserver/SAN med krypering?   newsvine:Filserver/SAN med krypering?   blinklist:Filserver/SAN med krypering?   furl:Filserver/SAN med krypering?   reddit:Filserver/SAN med krypering?   fark:Filserver/SAN med krypering? blogmarks:Filserver/SAN med krypering?   Y!:Filserver/SAN med krypering?   smarking:Filserver/SAN med krypering?

Relaterade länkar:
Nästa om Lagring
Att Prepaid Phone Cards Kameraövervakning Acai Berries Kjoler Green Japanese Maple
Föregående om Lagring