"Console setup" deaktivieren? Was benötigt für Rebuild?

[battleck]

Hallo FreeNAS Community,
ich habe am Wochenende mir einen FreeNAS Server mit 5x2TB Platten (Raid-Z2) aufgesetzt. Soweit so gut, hat auch alles geklappt. Soweit ich das verstanden habe, kann niemand bei einem Diebstahl auf die Daten zugreifen? Aber angenommen, jemand klaut wirklich meine NAS, wäre es ein leichtes nach dem booten das root Passwort zurück zu setzen. Und genau hier kommt meine Frage.

Ist es möglich diesen "Consolen Setup" Screen zu deaktivieren oder zu verhindern das ein dritter einfach so das root Passwort ändern könnte?

Desweiteren stell sich für mich nun die Frage, im Falle eines defekts der Systemfestplatte, was benötige ich, damit ich mein "altes" Raid-Z2, mitsamt Daten wieder nutzen kann? Wie ist da die Vorgehensweise? Gibt es Erfahrungen?

Danke vielmals im Voraus.

bye
Tobi

 

[xaibex]

Wenn du deine zpools verschlüsselt hast kommt tatsächlich niemand an deine Daten, auch nicht du selbst wenn beispielsweise der Datenträger abraucht auf dem das Freenas System liegt. Deshalb empfiehlt es sich die Keys zu sichern (siehe http://doc.freenas.org/9.3/freenas_storage.html#managing-encrypted-volumes > Download Key)

Im Falle eines defektes des Datenträgers auf dem dein FreeNAS System liegt, kannst du deinen bestehenden Pool in eine neue FreeNAS Installation importieren (Bei Verschlüsselung nur wenn du die Keys für die Verschlüsselung gesichert hast)

Ob und wie du das Consolen Setup deaktivieren kann weiß ich leider nicht.

 

[battleck]

Im Falle eines defektes des Datenträgers auf dem dein FreeNAS System liegt, kannst du deinen bestehenden Pool in eine neue FreeNAS Installation importieren (Bei Verschlüsselung nur wenn du die Keys für die Verschlüsselung gesichert hast)

Vielen Dank. Dann sollte ich die wohl noch backupen. Braucht man für den Import des Keys ein Passwort oder ist jeder, der im Besitz des Keys ist, in der Lage den Pool zu importieren? Alternativ könnte ich das Backup natürlich auch packen und mit Passwort schützen.

Das mit Console Setup muss ich mir genauer anschauen, irgendwann wird dieser Startbildschirm ja geladen. In einem alten Thread von 2012 wurde erwähnt das es nicht möglich sei, da bei FreeNAS nicht auf 100% Sicherheit Wert gelegt wird. Aber dann brauch ich auch keine verschlüsselten Pools, wenn der Zugriff so einfach ist. irgendwie fehlt die Logik dahinter.

 

[xaibex]

Du kannst für deinen Encryption Key eine Passphrase vergeben und auch ändern.

Schau dir einfach mal die Doku zu dem Kapitel genauer an
http://doc.freenas.org/9.3/freenas_storage.html#managing-encrypted-volumes

 

[battleck]

Du kannst für deinen Encryption Key eine Passphrase vergeben und auch ändern.

Okay, aber wenn ich physischen Zugriff auf die Festplatten habe, habe ich den auch auf die NAS selber. Eine Tastatur, Root Passwort ändern und schon habe ich Vollzugriff. Deswegen verstehe ich auch die Logik nicht, verschlüsselte Pools anzulegen aber den Willkommensbildschirm mit der möglichkeit das Root Passwort zu ändern unbeschränkt offen zu lassen. Wieso sollte ich Festplatten ausbauen und diese auf einem neuem FreeNAS System importieren, wenn ich doch nur eine Tastatur anschließen müsste... *kopfschüttel*

 

[xaibex]

So wie es aussieht wird ein verschlüsselter zpool nach reboot oder poweroff+boot erst nach erfolreicher eingabe der passphrase oder des recovery keys gemountet! (Zpool Import benötigt sogar beides)

Wenn also jemand Physikalisch an deinen Server kommt, kommt er ohne Recovery Key oder Passwort auch nicht an die Daten.

https://forums.freenas.org/index.php?threads/encrypt-or-not-encrypt.13008/#post-64595

 

[battleck]

So wie es aussieht wird ein verschlüsselter zpool nach reboot oder poweroff+boot erst nach erfolreicher eingabe der passphrase oder des recovery keys gemountet!

Bei einem Diebstahl brauche ich mir dann keine Sorgen machen. Während die NAS aber läuft, begrüßt einem der Willkommensbildschirm. Jemand der nur auf die Daten aus wäre, könnte diese dann noch so abgreifen. Klar jetzt wird es leicht Paranoid. :)

Vielen Dank für deine ausführliche Information und deine Zeit! Eine solche Hilfsbereite Community wünscht man sich bei jeder Software :)

 

[xaibex]

Da hilft dann nur ein abschließbarer serverschrank oder nach jedem feierabend den zpool zu unmounten.

 

[battleck]

Da hilft dann nur ein abschließbarer serverschrank oder nach jedem feierabend den zpool zu unmounten.

Da wird sich meine Freundin aber freuen, wenn wir einen Serverschrank im Wohnzimmer stehen haben :)
Mounten, Unmounten ist halt etwas umständlich, wenn man nur Zeitweise auf die Daten zugreifen will bzw. der Receiver dort Aufnahmen vom Fernsehen ablegt.

Sollte ich eine Lösung finden, werde ich es hier reinschreiben. Vielleicht hat ja jemand das gleiche Problem bzw. Gedanken :)

 

[battleck]

Soho, also Console Setup deaktivieren könnte man, indem man den Python Script entsprechend anpasst. Ich habe das für mich schon mal getan:

Zu finden ist das ab Zeile 1126 in den Dateien

/etc/netcli

und

/conf/base/etc/netcli

Wusste nicht welche von beiden genau benutzt wird zu welcher Zeit, daher habe ich das einfach in beiden geändert. Die entsprechenden Zeilen (Menüpunkte) wie üblich in Python ganz einfach mit # auskommentieren. Neustarten, Spaß haben :)

 

[Spacemarine]

Warum so umständlich? Übersehe ich hier was?

Ich habe das einfach unter "System -> advanced -> Enable console menue" ausgeschaltet. Ein Klick, fertig.

 

[battleck]

Warum so umständlich? Übersehe ich hier was?
Ich habe das einfach unter "System -> advanced -> Enable console menue" ausgeschaltet. Ein Klick, fertig.

Argh, nein. Du übersiehst hier gar nichts. Danke, das erspart natürlich alles :)