HBS3 und gesperrte USB-HDD

    Moin,


    dachte mal wieder schlau zu sein - hat wieder erfolgreich nicht funktioniert :/


    Habe an meiner TS-4543D eine USB-HDD nur für Backups per HBS3 dranhängen.

    Hierauf wird einmal in der Woche zeitgesteuert gesichert.


    Nun dachte ich in der allgemeinen DEADBOLT-Hysterie: mach dein Sicherungslaufwerk "noch sicherer" und sperre dein Backup-Laufwerk.


    USB-Laufwerk gesperrt.png

    Hat auch prima funktioniert :D


    So gut, dass HBS3 jetzt eben auch nicht mehr "automatisch" darauf zugreifen kann :huh:


    Meine Fragen nun:

    - kann man in HBS3 irgendwo einstellen, dass es das gesperrte LW vor bzw. während dem Sichern öffnet?

    - kann man das gesperrte Laufwerk evtl. zeitgesteuert öffnen?

    - macht das "sperren" denn überhaupt sicherheitstechnisch Sinn?

    - gibt es eine alternative Lösung?


    Da ich meine NAS nachts sowieso für 3 Stunden herunter fahre und morgens neu starte wird das LW hierüber immer wieder gesperrt. Das Sperren ist also nicht das Problem.


    Oder denke ich mal wieder komplett falsch?

    Moin,


    HBS kann nur auf entschlüsselte Datenträger zugreifen, klar. Eine Option diese durch HBS entsperren zu lassen gibt es nicht.


    Ebenso gibt es keinen vorgesehenen Weg sas Laufwerk per Zeitplan zu entschlüsseln, ggf kann man sich da selbst was mit einem Script bauen, aber da bin ich raus.


    Für die Sinnhaftigkeit des verschlüsseln eines Volumes fallen mir zwei Szenarien ein:

    1. Diebstahl mit Zugriff auf die Daten (oder Missbrauch bei ohnehin vorhandenem physischem Zugriff) des Datenträgers wird damit ausgeschlossen, der key wird im NAS gespeichert, sodass der Datenträger für das NAS stets zugänglich ist, sobald er verbunden wird.

    2. Malware zusätzlich zu 1. Dabei wird der key nicht gespeichert, damit das NAS niemals ohne Dein Zutun Zugriff darauf erhält. Das ist das was Du jetzt hast und für den gewünschten Schutz das einzig Mögliche. Stelle Dir vor die Malware erwischt das NAS und kann den Datenträger einfach entschlüsseln (um ihn anderweitig zu verschlüsseln ;) ). Wenn Du diesen Schutz also habe willst, dann musst Du selbst den Aufwand auf Dich nehmen und das Ding jedes Mal entschlüsseln. Von der Theorie (Schutz gegen Malware) müsstest Du Dich vor dem Entschlüsseln aber auch davon überzeugen, dass die originalen Daten nicht bereits durch Malware verschlüsselt sind, respektive das NAS befallen ist wodurch die externe HDD ggf direkt von der Malware verschlüsselt wird.

    Fazit: Ja, es kann Sinn machen, erfordert aber weiterhin Dein Augenmerk und das geht im Blick auf Malware nur wenn nicht automatisch entschlüsselt wird.


    Alternative Lösung?

    Für was jetzt genau? ;)

    Danke, die Antworten hatte ich zwischenzeitlich so schon "befürchtet"


    Alternative Lösung für was genau? -> für eine möglichst sichere Trennung des Backup-Laufwerkes vom NAS während der 98% Nichtnutzung und eine möglichst komfortable Zuschaltung des Backups-Laufwerkes zum NAS für die restlichen 2% während des Backups.


    Ich glaube, dass bei meinem TS-453D die hintere und vordere USB3-Buchse gleich schnell ist. Dann werde ich wohl den weg gehen müssen, die Backup-Platte wieder zu entsperren und manuell am vorderen (zugänglicheren) USB-Port einzustöpseln um den Backup-Job dann jedes mal beim "automatisch" beim "Verbinden des externen Speichergerätes mit dem NAS" zu starten. D.h. nur auch, dass bei einer nächtlichen Sicherung (Dauer ca. 1-2h) die Platte 8h unnötig der Gefahr ausgesetzt ist geentert zu werden (ja, jetzt werde ich paranoid) ....

    Du kannst eine externe HDD nach Abschluss eines Jobs auswerfen lassen, das ist das mindeste wenn eine HDD über den Backupdurchlauf hinaus am NAS hängt. Dann ist bis zum abstöpseln kein Zugriff möglich, es bleibt lediglich die Gefahr, dass die HDD durch Umwelteinflüsse Schaden nimmt.

    Jupp, super -> Danke!!!

    Da hatte ich nicht dran gedacht.


    Zitat von tiermutter

    die Gefahr, dass die HDD durch Umwelteinflüsse Schaden nimmt.

    Was meinst Du damit (beispielhaft)??

    Überspannung die über das NAS in die HDD schießt, Wasser, Feuer... Und natürlich auch Diebstahl, denn theoretisch könnte jemand ganz fix das NAS samt Backup wegstibitzen...

    O.K. - so weit geht meine Paranoia noch nicht - obwohl wenn ich's mir so recht überlege :/


    Jetzt brauch ich nur noch eine zeitgesteuerten "Einstöpsler"


    Hmmmmmm, aus "Dummschwätz" wird Brainstorming -> wenn ich jetzt das besagte Backup Laufwerk über einen Shelly o.ä. zeitgesteuert anschalte, während selbiges aber schon USB-technisch im NAS eingesteckt wäre?

    Erkennt das NAS das als "Verbinden des externen Speichergerätes mit dem NAS" und startet dann automatisch den Backup-Job???

    Das Lauwerk könnte ich dann gechillt einige Stunden später wieder abschalten, da nach dem Backup-Job das Dingens ja ausgeworfen werden kann.


    Die Gefahr, dass ich in dem Moment eine bereits ein Malware-verschlüsseltes Backup durchführe wäre relativ gering, da ich jeden Tag mehrfach auf dem NAS bin.


    Muss ich doch gleich mal versuchen ....

    Viele machen es so dass sie HDD durch eine Zeitschaltuhr ein/ausgeschaltet wird. Muss dabn halt lang genug an sein damit das Backup jederzeit durchlaufen kann. Die physische Verbindung und damit Gefahr vor Überspannung bleibt aber bestehen...

    Zitat von tiermutter

    Gefahr vor Überspannung bleibt aber bestehen

    Relativ - habe nachdem mir ein Blitz eine fast nagelneue Fritzbox und meine TS-639 gehimmelt hat einen DehnGuard (4-polig) für meine IT-Steckdosen eingebaut. Hatte ich schon erwähnt dass ich leicht paranoid bin =O...


    Für mich wäre eher die Frage was es für einen Unterschied für die HDD macht, wennich sie "sauber" über den Einschaltknopf am Gehäuse an- und ausschalte oder eben "hardcut" über das Netzteil - Thema: Langlebigkeit HDD

    Naja der Powerbutton macht idR nichts anderes... Er unterbricht die Stromzufuhr. HDD haben ausreichend Kapa (Strom) um. Dem Lesekopf in dke entsprechende Position zu fahren...

    Zitat von tiermutter

    Du kannst eine externe HDD nach Abschluss eines Jobs auswerfen lassen, das ist das mindeste wenn eine HDD über den Backupdurchlauf hinaus am NAS hängt. Dann ist bis zum abstöpseln kein Zugriff möglich, es bleibt lediglich die Gefahr, dass die HDD durch Umwelteinflüsse Schaden nimmt.

    Das ist leider nicht richtig. Eine "ausgeworfene" externe USB-Festplatte lässt sich ganz einfach wieder aktivieren, auch ohne physisches Ab- und Anstöpseln. Es reicht z.B. per ssh die schlichte Befehlsfolge:

    Code
    echo 0 > /sys/bus/usb/devices/2-1/authorized
usleep 100000
echo 1 > /sys/bus/usb/devices/2-1/authorized

    2-1 ist dabei die USB-Buskennung für den USB-Anschluss, in diesem Fall der Front-Anschluss eines TS-228A. Für andere Modelle und Anschlüsse ist das ggf. anzupassen. Der richtige Wert ist aber nicht schwer zu ermitteln.

    Zitat von tgsbn

    . Der richtige Wert ist aber nicht schwer zu ermitteln.

    Mein 453BE "wirft" dauernd meine USV aus, Lässt die sich auch wieder einstöpseln? Wie finde ich den korrekten Wert dafür raus?

    Ja, das "virtuelle Wiedereinstöpseln" funktioniert mit allen USB-Geräten. Die Bus-ID steht u.a. prominent in der Kernel-Meldung beim Einstecken:

    Code
    [1276115.786113] usb 2-1: new SuperSpeed USB device number 5 using xhci-hcd

    Um wieder auf das eigentliche Thema zurück zu kommen: die "Gefahr" des virtuellen Wiedereinstöpselns würde sich in engen Grenzen halten. Mein Sicherungsjob mit Dedup und Gedönse benötigt als "Vorbereitungzeit" (die ersten 5%) mind. 30 max. 60 Minuten - die eigentliche Sicherung (die restlichen 95%) dauern maximal 2 Stunden (i.d.R. ca. 30 Minuten) so dass ich mit 3 Stunden "online" per Zeitschaltuhr vermutlich sehr gut zurechtkomme.

    Rein rechnerisch sind das (bei wöchentlicher Sicherung) 1,8% Einschaltdauer = Gefahrenpotential - da kann ich gut mit leben :beer:

    Als Schwabe rechne ich da anders herum: 98,2% der potentiellen Gefahr abgewehrt ^^



    Habe jetzt ein ganz anderes Problem: wie bekomme ich mein "gesperrtes" Laufwerk wieder dauerhaft (also nicht nur bis zum nächsten Neustart) entsperrt?


    USB-Laufwerk gesperrt.png


    Wie doof bin ich denn? :handbuch:


    Edit:


    Habe jetzt die USB-Backup-HDD ohne Verschlüsselung neu formatiert.

    Habe folgende Lösung die mich zufrieden stellt:


    - USB-Backup-HDD ist per WLAN-Steckdose (Shelly-Plug-S) ausgeschaltet und wird nur zum gewünschten Backup-Termin zeitgesteuert eingeschaltet

    - HBS3 erkennt die externe Platte und startet den Backup-Job

    - wenn Backup-Job fertig ist, wird die externe USB-Backup-HDD ausgeworfen

    - nach ein paar Minuten legt sich diese dann schlafen, d.h Verbrauch ca. 1,9W

    - bei einem Verbrauch <3W schaltet mein Shelly-Plug-S aus und nabelt die Platte ab

    - nix virtuelles einstöpseln per ssh - einfach nur wech, bis zum nächsten Job, den ich zeitgesteuert, temperatur-/helligkeits-/Lichtschalter- oder sonstwasgesteuert per Shelly-Plug-S starten kann 8o

    Einmal editiert, zuletzt von CJS ()

    Gefällt mir 1