Fragen zu BTRFS und Verschlüsselung

Status
Für weitere Antworten geschlossen.

MoS666

Benutzer
Mitglied seit
04. Okt 2017
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich interessiere mich gerade für das Synology DS218+ aufgrund von BTRFS und Verschlüsselung. Allerdings habe ich noch ein paar Fragen, die ich mir durch ein paar flüchtige Blicke durch die Doku nicht beantworten konnte. Ich hoffe ihr könnt mir schnell weiterhelfen.
Festgelegt auf das DS218+ habe ich mich noch nicht, evtl. gibt es bessere Alternativen für meine Anforderungen, siehe unten.

BTRFS
BTRFS und RAID kann im Moment noch keine automatische Bit-Rot Fehlerkorrektur. Synology arbeitet noch daran.
Wenn ich BTRFS mit nur einer Festplatte ohne RAID verwende, funktioniert dann die automatische Bitfehlerkorrektur von BTRFS?

Verschlüsselung interne HDD
Laut Doku kann man einzelne Ordner verschlüsseln. Dann muss man aber bei jedem Verbinden eines Netzlaufwerks die Daten eingeben, oder?
Kann man auch die komplette HDD Verschlüsseln und diese beim booten des NAS einmalig entsperren?
Also, jedesmal wenn das NAS neu gestartet wird, das Kennwort über den DSM eingeben und ansonsten merkt man nichts von der Verschlüsselung?

Verschlüsselung Backups externe HDD
Kann man Backups die über USB auf externe Festplatten schreibt verschlüsseln? Also, z. B. mit einem Zertifikat welches auf dem NAS hinterlegt ist (und auch auf evtl. Nachfolge/Ersatzmodelle übertragbar ist) und beim Backup automatisch die Daten verschlüsselt? Und natürlich beim Restore wieder entschlüsselt?
Oder muss ich bei der anforderung eines verschlüsselten Backups die Daten über den PC auf eine verschlüsselte externe HDD schieben?

Grüße,
MoS
 

adamp

Benutzer
Mitglied seit
17. Dez 2011
Beiträge
281
Punkte für Reaktionen
2
Punkte
18
Ich nutze BTRFS und kannte es von Syno auch bisher immer nur mit Bitfehlererkennung aber ohne Reparatur.

Aktuell schreibt aber Synology, dass Bit Fehler auch selbstständig korrigiert werden können.

Z.B. hier bei meiner DS416play:

https://www.synology.com/de-de/products/DS416play

Das stand da vorher DEFINITIV noch nicht. Also muss mit den letzten Updates etwas passiert sein.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Die Selbstheilung kann meiner Meinung nach nur mit Radius klappen. Woher sollen den sonst die nicht korrupten Daten kommen.

Ad Verschlüsselung intern. Das ist vielleicht nicht so ideal dokumentiert. Aber diese Verzeichnisse sind mehr als normale unterordner. Diese müssen einmal nach dem starten per Passwort entschlüsselt werden. Somit ist das wohl schon in die richtige Richtung, doe du benötigst
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
29.715
Punkte für Reaktionen
1.022
Punkte
754
Du meinst sicher RAID statt Radius.
 

adamp

Benutzer
Mitglied seit
17. Dez 2011
Beiträge
281
Punkte für Reaktionen
2
Punkte
18
Die BTRFS Selbstheilung soll auf Dateisystemebene und nicht auf "RAID-Ebene" laufen. Es geht hier wohl primär um Bit Rot und das lässt sich problemlos anhand der Fehlerkorrekturdaten im Dateisystem rekonstruieren. Eine HDD speichert ja auch nicht alle Dateien doppelt und trotzdem lassen sich Lesefehler anhand der ECC Daten beheben.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Der Schlüssel für die Verschlüsselung liegt seit 6.1 auf einem externen Datenträger. Das kann eine irgendwo im Lan befindliche HD/Stick oder auch ein USB-Stick an der Syno selbst sein. In diesem Fall mounten sich die verschlüsselten Ordner automatisch.
Fehlen diese, muss man die verschlüsselten Ordner manuell mounten.
 

MoS666

Benutzer
Mitglied seit
04. Okt 2017
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Danke für eure Antworten.

Zur Verschlüsselung.
Ich verstehe das "Verzeichniss" jetzt mal als Mountpunkt, also z. B. ein Fileshare/Freigabe für Dokumente, eines für Bilder, usw. Diese kann man separat verschlüsseln oder eben nicht. So kann man Bilder und Dokumente verschlüsseln, eine Freigabe auf der "nur" die Musik liegt, muss aber dann evtl. nicht verschlüsselt werden.
Wenn ich das richtig verstanden habe, dann ist es dass was ich benötige.
Und wenn man das Passwort nur einmal nach dem Neustart (neu mounten) eingeben muss, ist das ok für mich.
Einen Stick an dem NAS möchte ich nicht haben, dann würde der Schlüssel im Falle eines Einbruchs ja immer mit dabei. Ob ich den irgendwo anders anstecken würde, muss ich mir noch überlegen. Aber dass muss natürlich jeder selbst wissen. :)

Backupverschlüsselung sollte auch mit Passwort gehen, soweit ich das jetzt nachlesen konnte.

Zur Selbstheilung gegen Bit Rot, ich hatte auch gelesen dass mit DSM 6.1 das nun automatisch funktionieren soll. Super.

Ich habe mich nun für das DS218+ entschieden. Wegen Verschlüsselung und BTRFS.
Schade, dass Synology kein 1-Bay mit AES Modul anbietet. Auf BTRFS könnte ich noch verzichten, Verschlüsselung wollte ich schon.
Qnap bietet ein 1-Bay für ca. 170 Euro mit AES Modul an. Wenn es von Synology etwas vergleichbares gebe, wäre mir die Entscheidung nicht so schwer gefallen. Aber ohne AES Modul brechen die Lese/Schreibraten bei Verschlüsselung auf dem DS116 schon sehr ein.
Ich hoffe Synology zieht in dem Bereich noch nach.

Nichtsdestotrotz freue ich mich schon riesig auf das TS218+

Grüße,
MoS
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Die BTRFS Selbstheilung soll auf Dateisystemebene und nicht auf "RAID-Ebene" laufen. Es geht hier wohl primär um Bit Rot und das lässt sich problemlos anhand der Fehlerkorrekturdaten im Dateisystem rekonstruieren. Eine HDD speichert ja auch nicht alle Dateien doppelt und trotzdem lassen sich Lesefehler anhand der ECC Daten beheben.

Hm, vielleicht reden wir aneinander vorbei. Meine Meinung bzw. wie ich es verstehe (hoffe ich liege nicht komplett daneben):
1.) BTRFS legt die Metadaten doppelt ab, somit kann hier BIT-Roting erkannt und normalerweise behoben werden. Das betrifft aber nur die Metadaten.
2.) Nachdem die Datei an sich nicht doppelt abgelegt wird, kann hier das Fehlverhalten erkannt werden und alarmiert werden. Der neue Punkt von Syno DSM ist jetzt dann das ggf. über Raid Systeme korrigiert werden kann (auf der Homepage erklären sie es jetzt schon so, wie lange es das so schon gibt kann ich aber nicht sagen).

https://www.synology.com/de-de/dsm/Btrfs -> Punkt Selbstheilung
 

adamp

Benutzer
Mitglied seit
17. Dez 2011
Beiträge
281
Punkte für Reaktionen
2
Punkte
18
Wenn ich mir das nochmals durchlese und darüber nachdenke....dann hast du ggf. tatsächlich Recht. :eek: Syno schreibt hier wirklich "automatisch erkennen und fehlerhafte Daten mittels der unterstützten RAID-Volumes, einschließlich RAID 1, RAID 5, RAID 6, RAID 10, F1 und SHR, wiederherstellen." Daher dort steht wirklich nichts von einem Basic Volume oder RAID0 oder JBOD auf dem die interne BTRS Korrektur durchaus auch Daten heilen könnte.

Ggf. reparieren sie anhand der RAID Parity die Dateien oder anhand der Kopie bei RAID 1.

Das ganze scheint aber bewusst schwammig formuliert zu sein.So wirklich schweigen sie sich darüber aus.

Hoffen wir mal, dass das System im Ernstfall tatsächlich funktioniert. Zumindest irgendwas haben sie gemacht, da vor DSM 6.1 definitiv irgendwo drin stand, dass defekte Dateien NUR ermittelt werden können.


Es müsste sich jemand im Forum Opfern und auf einem gefüllten Volume auf einer HDD per HEX Editor einfach ein Bit ändern und schauen was BTRFS damit macht.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Ja, seh ich ähnlich.
Meine Überlegung dazu ist eher die: wenn hier nicht BTRFS selbst für die Heilung verwendet wird (mal abgesehen von den Metadaten), sondern eben das Raid, wäre das für mich eigentlich okay.
Bei der BTRFS Selbstheilung ist der Overhead an Speicherbedarf seitens BTRFS nicht zu vernachlässigen. Das möchte ich eigentlich gar nicht in Kauf nehmen, dafür habe ich meine Backups.

Für mich würde eigentlich die Alarmierung ausreichen, da dann die Datenkorrektur manuell mit Hilfe des Backups erfolgen könnte. Dass das Syno DSM die Reperatur über Raid probiert, ist natürlich ein nettes Feature. Für mich reicht eigentlich schon mal die Information, dass etwas nicht mehr passt.
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Diese "Bit Rot" bezieht sich ja gerade auf Fehler die die Festplatte selber nicht erkennt/korrigiert (Begriff: Silent Data Corruption).
Auch in der "Standard" Installation kann BTRFS das nur mit einem RAID korrigieren!
Corruption detection and correction. In Btrfs, checksums are verified each time a data block is read from disk. If the file system detects a checksum mismatch while reading a block, it first tries to obtain (or create) a good copy of this block from another device—if mirroring or RAID techniques are in use.
In der "Standard" Installation verwaltet BTRFS das RAID selber, Synology nutzt aber auch bei BTRFS mdadm fürs RAID.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
if mirroring or RAID techniques are in use.

Okay, nachdem ich mich selbst noch nicht allzuviel damit beschäftigt habe, war mir dieser Nebensatz noch nicht bekannt. Danke!
Den Rest sehe ich so wie du. Zusätzlich zum Erkennen der Korruption (ging schon mit 6.0) versuchen sie jetzt die Korrektur übers Raid (6.1).

Das mit mdadm stimmt, und ist in der Syno auch gut so.
Somit lassen sich eben auch BTRFS und Raid5 umsetzen. Liest man in den Syno Foren immer wieder mit diesem Missverständnis (das BTRFS Fehler bei Raid5/6 hat - btrfs Status). Hat aber für Synology DSM mit mdadm keine Auswirkung.
 

adamp

Benutzer
Mitglied seit
17. Dez 2011
Beiträge
281
Punkte für Reaktionen
2
Punkte
18
Genau und das was immer der Punkt warum das BTRFS RAID 5/6 stabil bei Syno lief, da sie nicht die BTRFS Funktionen dafür genutzt haben sondern normale Linux Funktionen. Es war ja auch immer meine Vermutung, dass genau deshalb die Selbstheilung nicht funktioniert.

Ab DSM 6.1 soll die Selbstheilung funktionieren. An der RAID Verwaltung hat sich (richtigerweise) nichts geändert. Es wird über alle HDDs eine RAID 1 EXT4 Partition für DSM und eine SWAP Partition für DSM erstellt. Und dann später ein (oder mehrere) entsprechende (hier z.B. RAID 5) Volumen über alle HDDs, das mit BTRFS formatiert wird.

Nur wie repariert das BTRFS die Daten? Denn direkten Zugriff auf das Linux RAID hat BTRFS nicht.
 

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
4
Punkte
78
Kapier ich nicht. Es werden doch zwei Metadaten erstellt.
Sobald beim Check oder lesen ein Fehler erkannt wurde, wird sie durch die heile Datei Dank der Raidsicherung ersetzt.
Warum sollte btrfs keinen Zugriff haben?
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Denke BTRFS ist eine Ebene zu weit unten. btrfs kennt kein Raid. So stelle ich mir das ganz abstrakt vor:

Synology DSM
mdadm Software Raid Controller
HDD als Teil eines Raids mit btrfs Filesystem


@adamp: reine Vermutung, dass es in diese Richtung gehen könnte...
btrfs feuert eine Nachricht, dass es "einen Fehler gibt bei Datei x".
Diese Fehlermeldung wurde ja bereits in DSM angezeigt.
Und jetzt versuchen sie zusätzlich, aus Sicht von DSM über den Raid Controller diese fehlerhafte Datei zu reparieren indem sie das Raid nutzen.
(Hoffe nicht, dass sie versuchen, die Selbstheilung der Bits auf Grund des MD5 Hashes nachzurechnen - ginge ja theoretisch, wird praktisch bei großen Dateien aber unberechenbar auf Grund der Zeitkomponente)

Sprich, wenn es hier irgendeine Form von Selbstheilung gibt, dann hat Synology das selber nachimplementiert.
 

MoS666

Benutzer
Mitglied seit
04. Okt 2017
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Dann brauche ich also doch zwei interne Platten (Raid 1) für die Selbstheilung.
Geplant hatte ich aus Kostengründen erst mal mit einer.
Dann geht aber anscheinend nur die Fehlererkennung beim Lesen der Datei.
Backup hätte ich dann ja vorliegen um es manuell zurück zu spielen.

Muss ich noch mal drüber nachdenken, ob ich gleich in eine zweite Platte investiere oder später :)
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Moment...! Entweder lese ich deinen Beitrag falsch, oder du planst Raid 1 als Backup.
Such das einfach mal hier im Forum raus, wurde schon oft diskutiert. Raid in jeglicher Form ist kein Backup.

Also, wenn du im Moment kein Raid 1 machst, ist das okay. Dafür aber eine physisch getrennte USB Platte anschaffen oder in der Cloud sichern...!
Löscht du Dateien, oder macht die Software (Raid Controller) einen Mist, oder brennt die Synology ab, hilft dir kein Raid1 oder Raid5 der Welt.

Ob der Anwendungsfall für die Selbstheilung so oft auftritt weiß ich nicht. Jeden falls kannst du die korrupten Dateien manuell herstellen ohne Raid, so lange du ein Backup hast.
 

MoS666

Benutzer
Mitglied seit
04. Okt 2017
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Nein, keine Sorge, ich gehöre selbst zu den brennenden Verfechtern dass ein RAID kein Backup ist. Ich versuche das ständig all meinen bekannten zu erzählen und weiß wie schwer sich manche davon überzeugen lassen.

Ich habe zwei externe Festplatten die ich im Vater-Sohn Prinzip überschreibe und ausserhalb meines Hauses aufbewahre (Brand, Diebstahl, usw.).
Wenn die Platte im NAS abraucht oder ähnliches --> Backup. Raid 1 kommt vielleicht später als zusätzliches Sicherungsmedium.
Erstellen tue ich das Backup einmal im Monat, mein Kompromis zwischen Datenaktualität und einem ausser Haus gelagertem Backup.

Der Cloud möchte ich meine Daten nicht anvertrauen. Mal sehen, vielleicht richte ich noch ein verschlüsseltes Backup meiner wichtigsten Daten in der Cloud ein, damit diese aktuell dort gesichert werden.
Mal sehen ob ich das über Synology automatisch verschlüsselt machen kann. Habe mich noch nicht damit beschäftigt, da mir der Gedanke gerade erst gekommen ist.
 

adamp

Benutzer
Mitglied seit
17. Dez 2011
Beiträge
281
Punkte für Reaktionen
2
Punkte
18
Schon interessant das ganze !:cool:
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
..........................
Der Cloud möchte ich meine Daten nicht anvertrauen. Mal sehen, vielleicht richte ich noch ein verschlüsseltes Backup meiner wichtigsten Daten in der Cloud ein, damit diese aktuell dort gesichert werden.
Mal sehen ob ich das über Synology automatisch verschlüsselt machen kann. Habe mich noch nicht damit beschäftigt, da mir der Gedanke gerade erst gekommen ist.

Ich sichere schon länger 1x wöchentlich per Hyperbackup verschlüsselt in der Cloud (Strato). Auf das Backup kann ich sogar mit dem Desktop Tool zugreifen und es auf einem Zielmedium wieder herstellen. Seit dem verzichte ich auf die Art von Backup wie du sie noch machst.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat