wie lange dauert ändern des Encryption Keys?

    Hallo,
    ich bin seit kurzem der stolze Besitzer eines TS-859 NAS und bin auch soweit schon richtig zufrieden damit.
    Nur eine Sache kommt mir im Moment etwas eigenartig vor, deshalb hoffe ich, dass mir hier jemand mit mehr Ahnung als ich weiterhelfen kann. Ich habe 5x 2TB-Platten als RAID-5 laufen & dieses Raidlaufwerk verschlüsselt. Danach wurden ca 7TB an Daten draufgeschaufelt, Freigabeordner erstellt usw...
    Soweit alles in Ordnung.
    Nun habe ich aber leider das Verschlüsselungspasswort nocheinmal geändert & das NAS rechnet jetzt schon seit etwas über einer Woche (erkennt man an der 100% CPU-Auslastung der 2 smbd-Prozesse, die seitdem laufen). Ich habe zwar mit einiger Zeit gerechnet, die sowas dauern müsste - aber nicht mit so viel. Hat da jemand schon Erfahrungswerte und kann mir da Orientierungswerte nennen? Will gerne wissen, ob alles in Ordnung ist.


    Vielen Dank für eure Mühe!
    Matthias

    Hallo Matthias


    Erahrungswerte hab ich da keine, kann mir aber gut vorstellen, dass diese Aktion sehr lange dauert.
    Die ganzen Daten müssen entschlüsselt und wieder neu verschlüsselt werden, das braucht Zeit.


    Man könnte mal einen Vergleichstest mit einem 7TB Zip-Archiv fahren :mrgreen:


    Gruss
    Micha

    Zitat von "TrueFazer"

    Man könnte mal einen Vergleichstest mit einem 7TB Zip-Archiv fahren :mrgreen:


    :D wie geil.
    Matthias,
    wie kommst du darauf 7 TB zu verschlüsseln?
    Warum?
    Das geht doch nur zu Lasten der Geschwindigkeit des Systems.

    Also eigentlich sollte das ändern des Kennworts bei einem Verschlüsselten Datenträger nicht arg so lange dauern. Das macht man nämlich eigentlich mit LUKS / sollte es eigentlich machen.


    Das sieht mir eigentlich eher nach einer Fehlimplementation aus, bei der halt nicht einfach nur eine neue Passphrase hinzugefügt und die alte entfernt wird, sondern eben re-encoded wird. Das re-encoden würde mit LUKS wegfallen (was QNAP übrigens nutzt). :-/ Sachen gibt's. :oops:
    Mehr "Sicherheit" bringt dass Re-encoden auch nicht.


    Strategisch wäre es besser vorher den mapper Teil via /dev/urandom voll zu schreiben (was auch sehr lange dauert) - alternativ halt /dev/zero - das verschleiert etwas die belegten / genutzten Sektoren.


    Soviel kurz zu der Erklärung.....
    Das ganze hat bei Dir jetzt einen sehr grossen haken.


    Dir bleibt leider nix anderes übrig als zu warten wenn Du kein Backup von deinen Datenträgern hast.
    Bei 7 TB würde ich wenn ich eines hätte eher abbrechen und versuchen zu mappen und mounten. Im Vergleich zu der Dauer.... Bei einer 7 TB grossen zip Datei... Diese wäre definitiv schneller als der re-encode (kommt auch auf die Komprimierungsstufe an).


    Wir werden das natürlich QNAP Melden. -> An die solltest Du dich aber auch noch einmal wenden (an den normalen Support).
    Ich persönlich hatte schon Erfahrung mit "Defekten" Verschlüsselten Datenträgern ich kann Dir aber nicht sagen, was dabei herauskäme, wenn Du den Prozess abbrichst. Und genau das solltest Du einmal anfragen - eventuell haben die das schon einmal Simuliert.


    Grüsse, David


    EDIT:
    Apropro... Ich vergass... Du bist Dir aber wirklich sicher, dass das NAS dein "kennwort" ändert?
    Bitte schaue Dir vorher mal die Logs an und poste die Ruhig mal. Eventuell liegt es auch an was anderem.

    Danke für die vielen schnellen Antworten, ist ja richtig was los hier!


    frosch2: Ich nahm an, dass man dieses Feature zwecks Datensicherheit doch nutzen sollte, wenn es schon Angeboten wird. Genau wegen sowas legt man sich doch ein teures NAS zu, damit man sich nicht alles selbst zurechtkonfigurieren muss. Oder seh ich da was falsch? So habe ich die Sache bisher zumindest immer betrachtet ;)


    Terz: Danke für die umfangreiche Ausführung. Hätte man die Nutzung von LUKS irgendwie aktivieren können oder sollte das von selbst verwendet werden? Na dann hoff ich einfach mal, dass da nicht wirklich was schiefläuft bei mir *_*
    Im Moment scheint zumindest noch nix "defekt" zu sein (In dem Sinne, dass ich noch Zugriff aufs NAS habe & alle Daten noch da zu sein scheinen)

    Hi,


    Du hast genau genommen nix mit LUKS zu tun. ;) Das iss die "Technik". So müsstest Du es Dir vorstellen.
    Wenn Du allerdings an deine Daten herankommst, dann glaube ich nicht, dass es einen Re-Encode macht. Zumindest kann ich mir nicht vorstellen, dass er das on-the-fly machen kann.


    Bitte logge Dich mal via SSH auf dein NAS ein:
    http://forum.qnapclub.de/viewtopic.php?f=80&t=8700


    und lasse Dir mal ein:

    Code
    dmesg


    und

    Code
    ps -A


    ausgeben.


    Apropro...
    Ein

    Code
    cat /proc/mdstat


    bitte auch noch.
    Das Ergebniss dann bitte hier posten.


    Grüsse, David

    Entschuldigung, hat etwas gedauert:


    Dmesg:

    Code
    Protect is offsd 12:0:0:0: [sdx] Mode Sense: 23 00 00 00sd 12:0:0:0: [sdx] Assuming drive cache: write throughsd 12:0:0:0: [sdx] Assuming drive cache: write through sdx: sdx1 sdx2 sdx3 sdx4 < sdx5 sdx6 >sd 12:0:0:0: [sdx] Assuming drive cache: write throughsd 12:0:0:0: [sdx] Attached SCSI removable diskEXT3-fs (sda1): recovery required on readonly filesystemEXT3-fs (sda1): write access will be enabled during recoverykjournald starting.  Commit interval 5 secondsEXT3-fs (sda1): recovery completeEXT3-fs (sda1): mounted filesystem with writeback data modeEXT3-fs (sdb1): recovery required on readonly filesystemEXT3-fs (sdb1): write access will be enabled during recoverykjournald starting.  Commit interval 5 secondsEXT3-fs (sdb1): recovery completeEXT3-fs (sdb1): mounted filesystem with writeback data modeEXT3-fs (sdc1): recovery required on readonly filesystemEXT3-fs (sdc1): write access will be enabled during recoverykjournald starting.  Commit interval 5 secondsEXT3-fs (sdc1): recovery completeEXT3-fs (sdc1): mounted filesystem with writeback data modeEXT3-fs (sdd1): recovery required on readonly filesystemEXT3-fs (sdd1): write access will be enabled during recoverykjournald starting.  Commit interval 5 secondsEXT3-fs (sdd1): recovery completeEXT3-fs (sdd1): mounted filesystem with writeback data modeEXT3-fs (sde1): recovery required on readonly filesystemEXT3-fs (sde1): write access will be enabled during recoverykjournald starting.  Commit interval 5 secondsEXT3-fs (sde1): recovery completeEXT3-fs (sde1): mounted filesystem with writeback data modemd: md9 stopped.md: bind<sdb1>md: bind<sdc1>md: bind<sdd1>md: bind<sde1>md: bind<sda1>raid1: raid set md9 active with 5 out of 8 mirrorsmd9: bitmap initialized from disk: read 5/5 pages, set 84358 bitscreated bitmap (65 pages) for device md9md9: detected capacity change from 0 to 542769152 md9: unknown partition tablekjournald starting.  Commit interval 5 secondsEXT3-fs (md9): using internal journalEXT3-fs (md9): mounted filesystem with writeback data modemd: md13 stopped.md: bind<sdb4>md: bind<sdc4>md: bind<sdd4>md: bind<sde4>md: bind<sda4>raid1: raid set md13 active with 5 out of 8 mirrorsmd13: bitmap initialized from disk: read 4/4 pages, set 81921 bitscreated bitmap (57 pages) for device md13md13: detected capacity change from 0 to 469893120 md13: unknown partition tablekjournald starting.  Commit interval 5 secondsEXT3-fs (md9): using internal journalEXT3-fs (md9): mounted filesystem with writeback data modekjournald starting.  Commit interval 5 secondsEXT3-fs (md9): using internal journalEXT3-fs (md9): mounted filesystem with writeback data modekjournald starting.  Commit interval 5 secondsEXT3-fs (md13): using internal journalEXT3-fs (md13): mounted filesystem with writeback data modeusbcore: registered new interface driver hiddevusbcore: registered new interface driver usbhidusbhid: USB HID core driverICH7/ICH9R rtc control driver.iTCO_vendor_support: vendor-support=0iTCO_wdt: Intel TCO WatchDog Timer Driver v1.05iTCO_wdt: Found a ICH9R TCO device (Version=2, TCOBASE=0x0860)iTCO_wdt: initialized. heartbeat=120 sec (nowayout=0)usbcore: registered new interface driver usblpufsd: module license 'Commercial product' taints kernel.Disabling lock debugging due to kernel taintufsd: driver U82 (Nov  5 2010 06:32:35) with acl LBD=OFF with ioctl loaded at f8                                              3c6000NTFS read/write support includedHfs+/HfsX read/write support includedkjournald starting.  Commit interval 5 secondsEXT3-fs (md9): using internal journalEXT3-fs (md9): mounted filesystem with writeback data modee1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXmd: bind<sda2>raid1: raid set md8 active with 1 out of 1 mirrorsmd8: detected capacity change from 0 to 542769152 md8: unknown partition tableAdding 530040k swap on /dev/md8.  Priority:-1 extents:1 across:530040kmd: bind<sdb2>RAID1 conf printout: --- wd:1 rd:2 disk 0, wo:0, o:1, dev:sda2 disk 1, wo:1, o:1, dev:sdb2md: recovery of RAID array md8md: minimum _guaranteed_  speed: 5000 KB/sec/disk.md: using maximum available idle IO bandwidth (but not more than 200000 KB/sec)                                                for recovery.md: using 128k window, over a total of 530048 blocks.md: bind<sdc2>md: bind<sdd2>md: bind<sde2>active port 0 :139active port 1 :445active port 2 :20md: md8: recovery done.RAID1 conf printout: --- wd:2 rd:2 disk 0, wo:0, o:1, dev:sda2 disk 1, wo:0, o:1, dev:sdb2md: md0 still in use.md: bind<sdb3>md: bind<sdc3>md: bind<sdd3>md: bind<sde3>md: bind<sda3>raid5: device sda3 operational as raid disk 0raid5: device sde3 operational as raid disk 4raid5: device sdd3 operational as raid disk 3raid5: device sdc3 operational as raid disk 2raid5: device sdb3 operational as raid disk 1raid5: allocated 84240kB for md00: w=1 pa=0 pr=5 m=1 a=2 r=5 op1=0 op2=04: w=2 pa=0 pr=5 m=1 a=2 r=5 op1=0 op2=03: w=3 pa=0 pr=5 m=1 a=2 r=5 op1=0 op2=02: w=4 pa=0 pr=5 m=1 a=2 r=5 op1=0 op2=01: w=5 pa=0 pr=5 m=1 a=2 r=5 op1=0 op2=0raid5: raid level 5 set md0 active with 5 out of 5 devices, algorithm 2RAID5 conf printout: --- rd:5 wd:5 disk 0, o:1, dev:sda3 disk 1, o:1, dev:sdb3 disk 2, o:1, dev:sdc3 disk 3, o:1, dev:sdd3 disk 4, o:1, dev:sde3md0: detected capacity change from 0 to 7995169177600 md0: unknown partition tablee1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXactive port 0 :139active port 1 :445active port 2 :20warning: `proftpd' uses 32-bit capabilities (legacy support in use) Set Adpater:port=0:0 standby to 240 (1200 secs).rule type=2, num=0Loading iSCSI transport class v2.0-871.iscsi: registered transport (tcp)EXT4-fs (dm-0): recovery completeEXT4-fs (dm-0): mounted filesystem with ordered data modeactive port 0 :139active port 1 :445active port 2 :20e1000e: eth0 NIC Link is Downe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Downe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Downe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Downe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Downe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Downe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Downe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Downe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Downe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Downe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TXe1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TX[~] #


    ps-A:

    Code
    PID  Uid     VmSize Stat Command    1 admin       492 S   init    2 admin           SW  [kthreadd]    3 admin           SW  [migration/0]    4 admin           SW  [ksoftirqd/0]    5 admin           SW  [migration/1]    6 admin           SW  [ksoftirqd/1]    7 admin           SW  [migration/2]    8 admin           SW  [ksoftirqd/2]    9 admin           SW  [migration/3]   10 admin           SW  [ksoftirqd/3]   11 admin           SW  [events/0]   12 admin           SW  [events/1]   13 admin           SW  [events/2]   14 admin           SW  [events/3]   15 admin           SW  [khelper]   21 admin           SW  [async/mgr]   22 admin           SW  [pm]  175 admin           SW  [sync_supers]  177 admin           SW  [bdi-default]  178 admin           SW  [kintegrityd/0]  179 admin           SW  [kintegrityd/1]  180 admin           SW  [kintegrityd/2]  181 admin           SW  [kintegrityd/3]  182 admin           SW  [kblockd/0]  183 admin           SW  [kblockd/1]  184 admin           SW  [kblockd/2]  185 admin           SW  [kblockd/3]  186 admin           SWN [kacpid]  187 admin           SWN [kacpi_notify]  188 admin           SWN [kacpi_hotplug]  294 admin           SW  [tifm]  300 admin           SW  [ata/0]  301 admin           SW  [ata/1]  302 admin           SW  [ata/2]  303 admin           SW  [ata/3]  304 admin           SW  [ata_aux]  306 admin           SW  [kseriod]  311 admin           SW  [kmmcd]  321 admin           SW< [kslowd000]  322 admin           SW< [kslowd001]  352 admin           SW  [rpciod/0]  353 admin           SW  [rpciod/1]  354 admin           SW  [rpciod/2]  355 admin           SW  [rpciod/3]  390 admin           SW  [kswapd0]  391 admin           SWN [ksmd]  447 admin           SW  [aio/0]  448 admin           SW  [aio/1]  449 admin           SW  [aio/2]  450 admin           SW  [aio/3]  467 admin           SW  [nfsiod]  480 admin           SW  [crypto/0]  481 admin           SW  [crypto/1]  482 admin           SW  [crypto/2]  483 admin           SW  [crypto/3]  709 admin           SW  [scsi_tgtd/0]  710 admin           SW  [scsi_tgtd/1]  711 admin           SW  [scsi_tgtd/2]  712 admin           SW  [scsi_tgtd/3]  714 admin           SW  [kmpath_rdacd]  720 admin           SW  [scsi_eh_0]  722 admin           SW  [scsi_eh_1]  724 admin           SW  [scsi_eh_2]  726 admin           SW  [scsi_eh_3]  728 admin           SW  [scsi_eh_4]  730 admin           SW  [scsi_eh_5]  738 admin           SW  [scsi_eh_6]  740 admin           SW  [scsi_eh_7]  766 admin           SW  [kstriped]  769 admin           SW  [kmpathd/0]  770 admin           SW  [kmpathd/1]  771 admin           SW  [kmpathd/2]  772 admin           SW  [kmpathd/3]  773 admin           SW  [kmpath_handlerd]  774 admin           SW  [ksnapd]  828 admin           SW  [flush-1:0]  852 admin           SW  [scsi_eh_8]  853 admin           SW  [scsi_eh_9]  854 admin           SW  [scsi_eh_10]  855 admin           SW  [scsi_eh_11]  876 admin           SW  [ksuspend_usbd]  880 admin           SW  [khubd] 1102 admin           SW  [scsi_eh_12] 1103 admin           SW  [usb-storage] 1296 admin           SW  [md9_raid1] 1340 admin           SW  [md13_raid1] 1447 admin           SW  [kjournald] 1514 admin       368 S   /sbin/daemon_mgr 1547 admin           SW  [usbhid_resumer] 1579 admin       396 S < qWatcodogd: keeping alive every 5 seconds... 1635 admin           SW  [kjournald] 1686 admin           SW  [md8_raid1] 1881 admin       200 S   /sbin/modagent 2127 admin           SW  [md0_raid5] 2158 admin       620 S   /sbin/hotswap 2166 admin       496 S   /sbin/qsmartd -d 2374 admin       436 S   /usr/sbin/mDNSResponderPosix -f /etc/config/mDNSRespo 2421 admin       828 S   /sbin/upnpd eth0 eth0 2663 admin      1056 S   /usr/local/sbin/_thttpd_ -p 8080 -nor -nos -u admin - 2900 admin       240 S   /usr/sbin/ntpdated 2922 admin       324 S   /usr/sbin/stunnel /etc/stunnel/stunnel.conf 3066 admin       768 S   /usr/sbin/sshd -f /etc/ssh/sshd_config -p 22 3905 admin       600 S   /sbin/bcclient 3919 admin       932 S   /sbin/picd 3963 admin       520 S   /sbin/gpiod 3967 admin       804 S   /sbin/hwmond 4034 admin       460 S N /sbin/acpid 4057 admin       528 S   /usr/sbin/upsutil 4123 admin       680 S   /sbin/hd_util 4138 admin       516 S   /sbin/gen_bandwidth -r -i 5 4211 admin           SW  [iscsi_eh] 4219 admin           SW  [qnap_et] 4226 admin       404 S   /sbin/iscsid --config=/etc/config/iscsi/sbin/iscsid.c 4227 admin      2232 S < /sbin/iscsid --config=/etc/config/iscsi/sbin/iscsid.c 4235 admin       500 S   /sbin/lcdmond 4240 admin       476 S   qLogEngined: Write log is disabled... 4245 admin       424 S   /sbin/qsyslogd 4250 admin       448 S   /sbin/qShield 4284 admin       432 S   /usr/sbin/upsd -u admin 4307 admin       696 S   /bin/sh /etc/init.d/klogd.sh start 4315 admin       320 S   /bin/dd if=/proc/kmsg of=/mnt/HDA_ROOT/.logs/kmsg bs= 4663 admin       400 S   /sbin/getty 115200 tty1 4664 admin       400 S   /sbin/getty 115200 tty2 4736 admin           SW  [kdmflush] 4737 admin           SW  [kcryptd_io] 4738 admin           SW  [kcryptd] 4747 admin           SW  [flush-253:0] 4748 admin           SW  [jbd2/dm-0-8] 4749 admin           SW  [ext4-dio-unwrit] 4750 admin           SW  [ext4-dio-unwrit] 4751 admin           SW  [ext4-dio-unwrit] 4752 admin           SW  [ext4-dio-unwrit] 6192 guest       964 S N proftpd: (accepting connections) 6213 admin       476 S N /sbin/btd 6235 admin      1124 S N /sbin/flv_convertd -d 6250 guest       312 S N /sbin/ImRd -d 6290 admin      1428 S N /usr/local/samba/sbin/smbd -l /var/log -D -s /etc/con 6295 admin       532 S N /usr/local/samba/sbin/smbd -l /var/log -D -s /etc/con 6314 admin      1000 S N /usr/local/samba/sbin/nmbd -l /var/log -D -s /etc/con 6385 admin       632 S N /usr/local/sbin/Qthttpd -p 80 -nor -nos -u admin -d / 6401 admin       600 S N /usr/sbin/crond -l 9 7533 admin       388 S N /usr/bin/rsyncd --daemon --sever-mode=1 7585 admin       852 R N /usr/local/samba/sbin/smbd -l /var/log -D -s /etc/con 7666 admin       852 R N /usr/local/samba/sbin/smbd -l /var/log -D -s /etc/con29424 admin      2420 S   sshd: admin@pts/029454 admin      1660 S   -sh29493 admin      1292 S   manaRequest.cgi29494 admin       456 S   /usr/local/sbin/_thttpd_ -p 8080 -nor -nos -u admin -29495 admin       872 S   /usr/bin/top -Q 029496 admin       772 R   ps -A[~] #


    Cat /proc/mdstat:


    Ist wirklich ne Menge an Infos. Vielen Dank für die Mühe!

    Also eigentlich dachte ich echt an die Encryption ^^
    Das hier: 2 smbd-Prozesse,...
    gibt jetzt aber auch einen Sinn. ;)


    ich glaube nicht mehr dass es an der encryption liegt sondern an Samba. 8-)
    Also nix mehr mit Fehlimplementation :engel:


    Du solltest Dein NAS einfach mal neu starten und schauen ob es dann wieder alles funktioniert. ;) smbd == Samba.


    Grüsse, David

    Hey ich glaubs nicht! Es geht tatsächlich! :D
    Ich war mir fast sicher, das ich das kurz nach der Umstellung des Schlüssels schonmal neugestartet hatte. Dann war das scheinbar wirklich nur irgend ein komischer "Ausnahmebug" oder sowas.
    Vielen Dank für den hilfreichen Tipp, sonst wär der Weihnachten noch am CPU-auslasten :D


    Einen schönen Abend wünsch ich noch allerseits, ich werde ihn haben :)