LUKS verschlüsselter Cloud-Raid 10

„Herzlich willkommen zu Ihrem neuen „Ärger den Hoster“ Projekt. Heute wollen wir Ihnen zeigen, wie Sie Webstorageanbieter wie OneDrive oder DropBox in die Knie zwingen können.“  🙂

LUKS verschlüsselter Cloud-Raid 10

Das ist zwar nicht das Ziel unseres kleinen Projekts, könnte aber passieren ;)Beim letzten Linux am Dienstag, hab es ja leider eine kleine Panne bei der Webserverzertifizierung, was uns aber nicht daran gehindert hat, es doch durchzuziehen 😉 In diesem Rahmen habe ich das Projekt schon einmal Live vorgestellt.

Worum geht’s denn eigentlich?

Ihr kennt ja vermutlich den Beitrag, wie man mit SSHFS und Veracrypt einen sicheren Container bei einem Cloudanbieter bauen kann. Das hatten wir ja im Rahmen des letzten LPD 2021.1 vorgestellt. I.d.R. reicht dies für die meisten Sachen völlig aus, hatte aber noch Potential, oder auf Deutsch, ein paar spannende Ecken zum ausforschen, was so geht 😀

Herausgekommen ist eine verschlüsselte, virtuelle Festplatte als RAID 10 mit Spare, die komplett im Netz liegt, aber nur auf dem Lokalen PC vollständig und nutzbar ist. Um die Spannung gleich etwas abzumildern, die Sache mit den Hostern ist, daß sobald sich ein Bit ändert in dem für den Raid genutzten LUKS Container, ist der Container komplett im Backup drin. Wenn der also GBs groß ist, dann belegt das sehr viel Platz im täglichen Backup des Hosters, was Hoster i.d.R. nicht gut finden 😉

Vorteile

  • Es müssen mehrere Hoster ausfallen, bevor das Raid auseinander fällt und Daten verloren gehen.
  • Je kleiner dabei die einzelnen Datenfiles bei den Hostern sind, desto schneller der Rebuild und desto einfacher die Suche nach geeigneten Hosterkandidaten.
  • Das Raid kann von jedem Ort der Welt sicher eingebunden werden.
    Keine Spuren auf dem eigenen PC
    Der Hoster kommt nicht an die Daten ran.

Es sind auch alle anderen Raidformen denkbar, von Raid 1 bis 60 . Denkt mal ein bisschen nach, wieso ich da kein Raid 0 liste.

Nachteile

Ist das Internet nicht erreichbar, oder kommt es auf Netzsegmenten zwischen sich und dem Hoster zu Problemen, fällt das Raid ggf. unabsichtlich aus oder kann gar nicht erst gemountet werden.
Der Raidrebuild ist sehr langsam, langsamer als Ihr jetzt vermuten werdet. Bei Tests 128 KB/s, statt mehreren MB/s.
Keine Redundanz auf dem PC
Das Raid kann immer nur von einem PC aus zusammengesetzt werden. Mehrere würden die Daten zerstören, außer Ihr seid völlig durchgeknallte Datenjongleure 😉

Sinnhaftigkeit

Über die Sinnhaftigkeit eines Cloudbasierten virtuellen Raid 10 muß man sich keine großen Gedanken machen, da es nur eine Grenzfallbetrachtung ist.

Auf der anderen Seite, ein Raid 1 mit einem lokalen Bein und einem, oder mehreren, bei einem Cloudhoster, ist schon deutlich sinnvoller. Das lokale Bein (so nennt man eine Seite des Raids ) hat eine extrem hohe Schreib- und Lesegeschwindigkeit (weil im Tests wars eine NVME ), im Vergleich zum Netzwerk. Das führte bei Tests des Systems zu einer schnellen Reaktion, wie bei einer normalen Platte, und im Hintergrund wurde das dann langsaaaammmm synchronisiert. Das fällt dem Nutzer erst dann auf die Füße, wenn er was ins Raid schreibt und dann das Laptop oder den PC abschaltet, bevor das Raid komplett gesynct ist.

Das Raid würde sich beim nächsten mal zwar reparieren, meistens in dem das Spare genutzt wird, so vorhanden, in ganz wenigen Fällen auch einfach weiter syncen. Eine gute Idee ist es definitiv nicht.

Alternativen

Wer Daten vom PC zu einem Cloudanbieter so spiegeln will, daß eine Backupkopie verhanden ist, sollte dort einen LUKS oder VeraCrypt-Container hinterlegen, den per SSFS anbinden, öffnen und dann mit RSYNC oder einem Clusterfilesystem arbeiten.

Zurück zum Raid 10 in der Cloud

Da ich keine Lust habe, den 45 Minuten Vortrag nochmal zu tippen, hier die Quelle:

Click to access LAD-Raid-10-in-der-Cloud.pdf

Quelle: https://linux-am-dienstag.de/archiv/LAD-Raid-10-in-der-Cloud.pdf

Noch ein paar Anmerkungen

Man kann das auch mit ZFS bauen. Wie gut da die Krypto ist, kann ich nicht beurteilen. Außerdem ist es nicht auf jedem System drauf und es ist definitiv eher auf physikalische Datenträger ausgerichtet.

Die Sache mit dem kpartx ist eine Nummer, die sich nicht jedem sofort erschließt. Ich rate dazu, wenn Ihr das nachbaut, ein Terminal offen zu haben, das „watch -n 1 lsblk“ anzeigt. Damit wird einiges einfacher zu verstehen.

Die Failzeiten des SSHFS sind willkürlich gewählt, wie es meinem Gusto entsprach. Ihr könnt natürlich selbst entscheiden, ob Ihr da 3 Sekundenoder 30 Sekunden bis zum Fail angebt. Im Vergleich zur Dauer eines Rebuild mit 128 KB/s, sind diese exemplarischen 27 Sekunden natürlich nur eine kurze Zeitspanne.(50 MB Raidfiles => ca. 90 Minuten Rebuild )

Ein Raid 1 mit mehr als einem Cloudhoster ist vermutlich die bessere Wahl, kommt aber aufs Szenario an, welches man abdecken möchte.

Die Doppelte Lage LUKS könnte man auch durch eine LUKS ( Webhoster ) – VeraCrypt – Kombination ersetzen, was andere Verschlüsselungsalgorithmen beinhalten würde, was das brechen der Gesamtverschlüsselung deutlich erschwert. Auch könnte es einem in den Sinn kommen, die LuksFormatierung für jedes Datenfile einzeln zu machen, damit dort andere Kryptokeys im Einsatz sind. Weil, nach dem obigen Plan, sind die alle gleich. Bricht also ein LUKS-Container auf, gehen alle auf. Deswegen wäre es eine gute Idee, die planetenweit zu verteilen, was das Ergreifen der Daten deutlich erschwert.

Von Experimenten wie dem Speichern der Daten auf dem Draht der Netzwerkverkabelung ist dringend abzuraten, weil sich da kein LUKS Container drauf abbilden läßt 😉 Das ist ein echt höchst instabiles Speichermedium, wie unsere Tests bei Linux am Dienstag gezeigt haben 😀

Fedora: Die Zeit von Truecrypt ist abgelaufen

„Es kam, wie es kommen mußte. Joe ‚True‘ Crypt wurde zu alt für den Job als Datenschützer. Mit seinen 20 Jahren mußte er schliesslich doch in Frührente gehen. In einer kurzen Gedenkzeremonie durfte er sich von seinem geliebten Fedoradesktop verabschieden.“

Fedora: Die Zeit von Truecrypt ist abgelaufen

Ja, mit dem Wechsel auf Fedora 33 funktioniert Truecrypt nicht mehr. Das liegt an einer Änderung, wie die nötigen Sockets im System erzeugt werden dürfen. Ich denke hier ist SEL am Ball, ist aber nur eine Vermutung. Ein Wechsel zu Veracrypt 1.24u7 hat hier geholfen. Damit lassen sich die Truecrypt Datenträger wieder einbinden.

Wer die noch nicht hat, weil ältere tun es auch nicht mehr, der kann sich die Version hier runterladen:

https://www.veracrypt.fr/en/Downloads.html

Damit könnte die Geschichte ja bereits am Ende sein, aber so einfach ist es dann doch nicht. Wenn Ihr wie ich Bookmarks auf in den TC-Datenträgern gelegenen Verzeichnissen in Nemo oder Nautilus habt, dann dürft Ihr die Lesezeichen editieren 🙂

Das liegt daran, daß Truecrypt seine automatischen Verzeichnisse unter /media/truecrypt{SLOTNUMMER} mounted, Veracrypt aber /media/veracrypt{SLOTNUMMER} benutzt. Damit gehen die Lesezeichen ins Leere.

Die Lesezeichen für Nemo befinden sich hier:  ~/.config/gtk-3.0/bookmarks

Einfach „truecrypt“ mit „veracrypt“ ersetzen, erledigt.

Wer seine Datenträger automatisch beim Login in die Desktopsession mounten will, muß auch die ~./config/autostart/truecrypt.desktop Datei anpassen, inhaltlich, nicht vom Namen her 😉

Exec=sudo /usr/bin/veracrypt –auto-mount=favorites

Damit wären wir dann fast durch.

… und die Linuxgötter waren erzürnt, daß es neben ihnen einen weiteren Titanen geben sollte und peppten LUKS auf…

Es geht auch ganz ohne Veracrypt, nur kann man dann nicht von den neuen VeraCrypt Eigenschaften profitieren:

cryptsetup –type tcrypt open /dev/sda tcsda
mount /dev/mapper/tcsda /media/truecrypt1

mit

umount /media/truecrypt1
cryptsetup close /dev/mapper/tcsda

kann man es wieder schließen. Wenn man diesen Weg gehen will, was völlig legitim ist, dann wäre clever das in ein kleines Bashscript zu packen, daß auf dem Desktop nach dem Passwort bettelt. Das Passwort kann man elegant an Cryptsetup übergeben:

echo „$password“ | cryptsetup –type tcrypt open /dev/sda tcsda

Jetzt muß sich für das Bashscript nur noch ein Desktopfile in ~/.config/autostart erstellen und ist durch 🙂

Wenn die TC-Datenträger das gleiche Passwort (wenn vorhanden) wie die Systemplatte haben, dann kann man das auch beim Booten erledigen lassen in dem die Einträge dafür in /etc/crypttab gespeichert werden.

Für alle, die mehr über Truecrypt und Luks wissen möchten, hier ein LPD Beitrag zum Thema:

Linux am Dienstag: Nachlese 27.4.2021

Liebe „Linux am Dienstag“ – Teilnehmer: DANKE!

Linux am Dienstag: Nachlese 27.4.2021

Wir haben gestern Abend den bisherigen Besucherrekord überschritten, wir waren kurzfristig fünfreihig, dafür Danke 🙂

Wir sprachen über…

Unzulänglichkeiten im Deutschen Justizwesen in Fragen von IT-Angriffen
die Hausgabe von Bandit Level 7
die „Post Voting Society“ und „Post Choice Society“ (beides Blödsinn den sich ein Bundesinstitut ausgedacht hat )
die neuen Spamwelle durch den 3.2 Milliarden Passwörter und 2.18 Milliarden Emailadressen Leak
Firefox 88
„Die Uni Minnosata und der Versuch die Linuxgemeinde zu exploiten“

Sicherheitslücken im ach so sicheren RUST und das man jetzt alle Rustapps neu kompilieren muß
( Security fixes for CVE-2020-36323, CVE-2021-28876, CVE-2021-28878,CVE-2021-28879, and CVE-2021-31162. )
Sicherheitslücken im Kernel <= 5.11.15
(5.11.16: CVE-2021-29155 kernel: protection for sequences of pointer arithmetic operations against speculatively out-of-bounds loads can be bypassed to leak content of kernel memory)

Die beiden Hauptvorträge:

„Warum das Markieren von Spam Mist ist, und was man sonst tun könnte.“
„LPD 2021 Preview:  VeraCrypt und das Cloudlaufwerk – Daten sicher in der Cloud speichern“

können wir leider nicht verlinken, weil die nur mündlich gehalten, bzw. erst am 15.5. zusehen seien sollen 😉
Wer den Spamvortrag nochmal hören möchte, nächsten Dienstag am Star Wars Day kommt ein Rerun, diesmal mit Folien, für das bessere Verständnis.

Zum Tod von Dan Kaminsky

Leider mußte ich gestern hören, daß Dan Kaminsky an einer Komplikation seines Diabetes viel zu früh verstorben ist. Er wurde gerade einmal 42.

Dan, wir alle werden Dich vermissen!

Dan war einer der ganz großen Unterhalter auf den CCC Veranstaltungen, die ich besucht habe. Ich hatte auch das Vergnügen ihn bei einer Proftpd-Sicherheitslücke konsultieren zu können, die ich später als Vortrag beim CCC eingereicht habe. Seine DNS Spielereien werde ich auch nie vergessen.

Daher wird es nächste Woche einen Gedenkevent zum Thema „Was kann man mit DNS eigentlich nicht machen????!!?!!?“ geben.

 

Ein Hinweis in eigener Sache

Wir nehmen wissentlich keine Treffen auf Video auf, es sind keine PODCasts die dort ablaufen. Ihr müsst leider Live dabei sein, oder verpasst es. Vorträge, auch die auf Video vom kommenden LPD, werden dann auf der Linux am Dienstagseite verfügbar sein.