Home > NAS > FreeNAS – Verschlüsseltes Software-RAID

FreeNAS – Verschlüsseltes Software-RAID

30. Juli 2010

Dieser Artikel beschreibt, wie ein Dateiserver mit Hilfe des Betriebssystems FreeNAS eingerichtet werden kann. Die Daten sollen dabei auf einem Software-RAID Level 5 mit 4 gleich großen Festplatten liegen und mit AES256 verschlüsselt werden.

Diese Anleitung setzt voraus, dass FreeNAS bereits installiert wurde und das Webinterface von einem Browser aus erreichbar ist. Informationen zur Installation sind im Artikel „FreeNAS – Installation“ zu finden.

Voraussetzungen für die Hardware

In diesem Artikel werden 4 neue Festplatten für das RAID verwendet. Für RAID 5 müssen mindestens 3 Festplatten verbaut werden, wobei zu beachten ist, dass aufgrund der Redundanz der Daten natürlich weniger Speicher zur Verfügung steht. Bei 4 Festplatten lässt sich als Faustregel festlegen, dass am Ende der Speicherplatz von 3 Festplatten für die Nutzung der Daten zur Verfügung steht.

Die Konfiguration der Festplatten

Festplatten zum System hinzufügen

Die Festplatten des NAS verwalten.

Eine Festplatte hinzufügen.

Bevor das RAID selbst eingerichtet werden kann, müssen erst die dazu notwendigen Festplatten dem System bekannt gemacht werden. Dies geschieht über das Menü „Disks“ im Untermenü „Management“. Dabei sollte man für jede Festplatte über die Einstellung „Hard disk standby time“ festgelegt werden, ab welchen Zeitpunkt sie ausgeschaltet werden soll, um keine unnötige Energie zu verschwenden. Hier dürften 30 Minuten ein guter Kompromiss sein. Sofern von der Festplatte unterstützt lässt sich über die Einstellung „Advanced Power Management“ auch festlegen, ob die Leistung oder das Sparen von Energie im Vordergrund stehen soll. Für ein Heimnetz dürfte auch hier ein mittlerer Wert wie „Level 127“ die beste Wahl sein. Die Einstellung „Acoustic level“ wird ebenfalls nicht von jeder Festplatte unterstützt und dürfte wohl stark von dem Ort abhängen an dem der Dateiserver aufgestellt wird. Steht er unhörbar in einem Keller kann das System hier natürlich auf Leistung getrimmt werden, ansonsten empfielt sich auch hier die mittlere Einstellung „Medium acoustic output“.

Eine wichtige Einstellung, die auf jeden Fall immer eingeschaltet werden sollte, ist die Unterstützung für „SMART„. Sie sorgt dafür, dass die Festplatten auf ihren Zustand überwacht und Selbsttests durchführen können.

Bei jeder Festplatte des RAID-Systems sollten exakt die selben Einstellungen vorgenommen werden, um nicht unnötige Konflikte zu provozieren. Außerdem sollte auch bei jeder der Festplatten als Dateisystem „Software RAID“ ausgewählt werden, damit sie später auch zu einem RAID hinzugefügt werden kann.

Nach der Konfiguration muss diese noch mit einem Klick auf „Apply Changes“ bestätigt werden. Danach erkennt das System die Festplatten und stellt sie in den anderen Menüs zur Verfügung.

S.M.A.R.T. konfigurieren

Allgemeine Einstellungen für S.M.A.R.T.

Nachdem die Festplatten konfiguriert wurden, sollte noch die SMART-Funktionalität von FreeNAS selbst aktiviert werden, damit frühzeitig Fehler bei den Festplatten erkannt werden. Die Einstellungen sind wiederum im Menü „Disks“ unter „Management“ im Tab „SMART“ zu finden. SMART selbst kann auf der rechten oberen Seite mit der Einstellung „Enable“ aktiviert werden. Anschließend sollte man mit der Einstellung „Standby“ oder „Sleep“ festlegen, dass die Festplatten nicht unnötig geweckt bzw. belastet werden.

Der Abschnitt „Temperature monitoring“ erlaubt außerdem das Überwachen der Temperaturen der Festplatten. Wenn diese Funktion genutzt wird, ist es empfehlenswert ganz unten auch eine eMail-Adresse anzugeben, an die dann Warnungen geschickt werden. Damit das funktioniert müssen allerdings auch die allgemeinen Einstellungen für den eMail-Versand vorgenommen werden. Diese sind unter dem Menü „System“ im Untermenü „Advanced“ zu finden. (FreeNAS blendet eine entsprechende Warnung mit einem Link dorthin ein, falls dies noch nicht geschehen ist.)

Selbsttests lassen sich für jede Festplatte planen.

Auf jeden Fall sollten in festen Abständen zumindest kurze Selbsttests geplant werden um die Überwachung der Festplatten zu verbessern. Hierbei lässt sich für jede Festplatte ein eigener Zeitraum festlegen. Eine gute Strategie wäre es alle Festplatten alle 3-7 Tage mit einem Selbsttest überprüfen zu lassen.

Ein neues Software-RAID erstellen

Übersicht über vorhandene RAID-Systeme

Ein neues Software RAID erstellen.

Nun kann das RAID-System selbst eingerichtet werden. Im Menü „Disks“ wählt man dazu das Untermenü „Software RAID“ und anschließend den Abschnitt „RAID 5“. Ein Klick auf das Plus-Symbol erstellt ein neues Software RAID Level 5. Für dieses muss ein Name vergeben und alle dazugehörigen Festplatten festgelegt werden. Da es sich um einen neuen RAID-Verbund handelt muss außerdem die Einstellung „Create and initialize RAID“ ausgewählt werden.

Nachdem alle Einstellungen getroffen wurden, müssen diese nur noch bestätigt werden. Anschließend baut FreeNAS das RAID-System neu auf. Das kann allerdings einige Zeit dauern.

WARNUNG: Die Einstellung „Create and initialize RAID“ sorgt dafür, dass der RAID-Verbund neu initialisiert wird. Dadurch werden alle Daten von den Festplatten unwiderruflich gelöscht. Deshalb sollte nochmal extra kontrolliert werden, ob auch die richtigen Festplatten gewählt wurden.

WARNUNG: Während der RAID-Verbund initialisiert wird, sollte das System auf keinen Fall neu gestartet oder heruntergefahren werden. Sollte dennoch zB der Strom ausfallen muss es neu erstellt werden.

Status des RAID-Systems

Ob die Initalisierung abgeschlossen wurde lässt sich anhand der Ausgaben an der Konsole bzw. im Menü „Status“ unter dem Untermenü „Disks“ erkennen. Hier sollte in der Liste der RAID-Verbund mit dem Status „COMPLETE“ erscheinen.

Verschlüsselung aktivieren

Verschlüsselung des RAID-Verbunds

Das RAID-System ist jetzt bereit verschlüsselt zu werden. Dies erfolgt über das Menü „Disks“ im Untermenü „Encryption“. Hier muss lediglich das RAID selbst ausgewählt werden. Als Algorithmus ist AES empfehlenswert. Als Schlüssellänge sollte allerdings statt der Einstellung „Default“ (Entspricht 128 bit) der Wert „256“ gewählt werden. Auch leistungsschwache Prozessoren bieten hier ausreichend Leistung, außerdem sollte man bei der Sicherheit keine zu großen Kompromisse eingehen. Sollten dennoch Bedenken bestehen, ist eine Schlüssellänge von 128 Bit aber noch vertretbar.

Dateisystem erstellen und mounten

Dateisystem erstellen

Nun muss nur mehr ein Dateisystem erstellt werden. Das entsprechende Menü ist unter „Disks“ im Untermenü „Format“ zu finden. Der RAID-Verbund sollte hier bereits als „Encrypted Disk“ aufgelistet werden. Als Dateisystem bietet sich unter FreeNAS das Unix File System (UFS) an, das unter „File System“ gewählt werden kann.

Die Einstellung „Minimum free space“ sollte bei 8% belassen werden. Bei besonders großen RAID-Verbunden kann der Wert aber reduziert werden um nicht zu viel freien Speicher zu verschenken.

Ein Klick auf „Format disk“ startet die Formatierung, die je nach Größe einige Zeit dauern kann. Der Status der Formatierung wird direkt darunter ausgegeben.

Mount Point erstellen

Mount Point erstellen

Nachdem das Dateisystem erstellt wurde, muss es noch in den globalen Verzeichnisbaum eingehängt (mounten) werden, damit es vom System verwendet werden kann.

Dies lässt sich im Menü „Disks“ unter „Mount Point“ und einem Klick auf das Plus-Symbol bewerkstelligen. Für den Mount Point werden die selben Angaben gemacht, wie bei der Formatierung der Partition auf dem RAID-Verbund. Der „Type“ ist natürlich „Disk“ und als „Disk“ muss das RAID-System ausgewählt werden. Das „FileSystem“ ist „UFS“ und als MountPoint sollte ein sprechender Name für das Verzeichnis im Verzeichnisbaum festgelegt werden. In diesem Beispiel wurde einfach „myRAID“ gewählt.

Die Option „File system check“ bietet die Möglichkeit, das Dateisystem bei jedem Start zu überprüfen. Auf den ersten Blick erscheint es eine gute Idee diese Einstellung zu aktivieren, allerdings ist sie bei einem verschlüsseltem Dateisystem wirkungslos, da FreeNAS zu diesem Zeitpunkt noch gar keinen Zugang zu diesem hat.

Es können außerdem beliebige Rechte für den Mount Point vergeben werden. Hier bestimmt vor allem das Einsatzgebiet des NAS, welcher Benutzer welche Rechte besitzen soll. Nach der Konfiguration der Rechteeinstellungen – sofern notwendig – lässt sich der Mount Point mit der Schaltfläche „Add“ erstellen. Abgeschlossen wird die Konfiguration wieder mit einem Klick auf „Apply changes“.

Booten mit verschlüsselten Partitionen

Leider ist der größte Vorteil einer verschlüsselten Partition gleichzeitig ihr größter Nachteil: Die Daten darauf sind erst nach der Eingabe eines Passworts lesbar. Vorher besteht kein Zugriff und auch FreeNAS kann nur hilflos mit den Schultern zucken. Deshalb muss nach jedem Start des Servers das Dateisystem freigegeben werden. Das Betriebssystem weiß vorher nichts damit anzufangen und das ist auch gut so, denn könnte FreeNAS die Partition selbst entsperren, wäre der gesamte Schutz der Daten überflüssig.

Das Dateisystem muss erst entsperrt werden.

Verschlüsseltes Dateisystem entsperren.

Das Dateisystem lässt sich allerdings sehr schnell über das Webinterface wieder einhängen. Dazu muss nur unter „Disks“ das Untermenü „Encryption“ aufgerufen werden. Die verschlüsselte Partition erscheint hier mit dem Status „not attached“ als Link. Ein Klick auf diese Meldung gibt sofort das Menü zum Entsperren der Partition frei. Die Einstellung „Command“ kann auf dem Wert „attach“ belassen werden. Es muss nur mehr das Passwort eingegeben und auf „Execute“ geklickt werden. Darauf sollte die Meldung erscheinen, dass das Dateisystem eingebunden und auch bereits auf den zuvor erstellten Mount Point gemountet wurde. Das Dateisystem lässt sich aber diesem Zeitpunkt wieder normal nutzen.

Categories: NAS Tags: , , , , , ,
  1. 26. April 2011, 07:58 | #1

    Valuable info. Lucky me I found your site by accident, I bookmarked it.

  2. 26. April 2011, 13:11 | #2

    Thanks for an idea, you sparked at thought from a angle I hadn’t given thoguht to yet. Now lets see if I can do something with it.

Kommentare sind geschlossen