Beiträge von Anthracite

Mit dem Backup bist du schon mal besser als so manche andere. Ist das backup in Ordnung, oder hat es während des Deadbolt-Angriffs am NAS gehangen?

In Ergänzung zu Dolbymans Beitrag:

- Die Dateien aus dem Backup haben Vorrang. Überall dort, wo sich seit der Erstellung des Backups nichts mehr geändert hat, die Datei aus dem Backup nehmen. Dateien auf dem NAS können durch den Angriff beschädigt sein, und bei den Dateien, die QRescue findet, ist eine Beschädigung relativ wahrscheinlich.

- Je nachdem, wie lande Deadbolt Zeit zum Verschlüsseln hatte, sind vielleicht noch nicht alle Dateien verschlüsselt. Schau nach, ob du noch was wichtiges findest, bevor du das Ding plattmachst.

- Qrescue zuerst versuchen, wie Dolbyman schon schrieb, weil der Weiterbetrieb des NAS die Chancen verringert.

Zitat von Helljumper

Bisher hat jeder Transceiver in meinem QNAP Switch funktioniert, da QNAP keinen Herstellerlock nutzt. Garantieren kann ich es dir nicht, aber ich gehe stark davon aus, dass sie funktionieren werden.

Das deckt sich mit meiner Erfahrung.

Zitat von Helljumper

An diese Liste würde ich mich vielleicht grob halten, sprich versuch keinen GBIC aus der zweiten Liste zu kaufen.

Doch, sollte gehen, auch Transceiver (=GBIC) aus der zweiten Liste müssten funktionieren. Z. B. funktioniert ein HP-Switch nur mit Transceivern, welche für HP kodiert sind. Umgekehrt lässt sich aber ein für HP kodierter Transceiver auch problemlos in Switches/Karten betreiben, welche keine Kodierung verlangen. (Und meine HP-Netzwerkkarte frisst jeden Transceiver, d. h. wider Erwarten verlangt die keine Kodierung.)

Und falls es wirklich nicht funktioniert, schick den Transceiver zurück. Der Verkäufer ist gewerblich, hat keine schlechten Bewertungen und eine Rücknahme wird angeboten.

Zitat von H3llF15H

Und da reden wir noch nicht mal über Snapshots, die Dich vor Malware oder sonstiges schützen

Snapshots schützen i. A. nicht vor Malware, da manche Schadprogramme alle erreichbaren Snapshots löschen.

Zitat von Qnatsch

Privat spielt die Ausfallzeit keine Rolle.

Komfort hingegen schon.

Wenn im Raid (außer Raid 0) eine Platte ausfällt, zieht man die alte Platte raus und steckt die neue Platte rein. Den Rest macht das System ohne weiteres Zutun.

Wenn eine Einzelplatte, eine Platte eines Raid 0 oder eines JBOD ausfällt, muss man zusätzlich die neue Platte einrichten und sämtliche Daten aus dem Backup zurückspielen - letzteres mit dem Risiko, dass etwas schief läuft und dadurch Daten verloren gehen.

Das ist jetzt im Heimbereich kein KO-Kriterium. Die Frage ist, was einem der Komfortgewinn finanziell wert ist.

Zitat von kadajawi

Mal eben auf Verdacht paar hundert Euro in eine neue Platte investieren, die man eigentlich nicht unbedingt braucht,

Dann nimm die White Label Platte raus (im Betrieb!). Danach ist das Raid zwar degradiert, aber Lesen und Schreiben geht weiterhin, und das sollte ausreichen für einen Geschwindigkeitstest, ob die eine Platte die Leistung deines Raids runterzieht. Dann weißt du hoffentlich schon mal mehr. Nach dem Weidereinstecken der Platte bitte das Rebuild abwarten, bevor weitere Versuche unternommen werden. Ein Backup hast du doch?

Zitat von illusionfactory

Interessant ist, dass das Phänomen neu ist.

Da das Phänomen neu ist, würde ich mal in die drei Richtungen überlegen:

1. Hardware-Defekt: Kabelbruch, defekter Port, defekter Switch (neulich habe ich die Erfahrung gemacht, dass ein Reboot des Switches(!) auf wundersame Weise Netzwerkprobleme lösen kann)

2. Fehlerhafte Netzwerkkonfiguration. Eine doppelt vergebene IP-Adresse oder zwei DHCP-Server können solche Effekte verursachen. Ein Reboot des Routers kann manchmal helfen.

3. Falsch konfigurierter PC/Mac. Ist in letzter Zeit ein neues Gerät hinzugekommen?

In allen drei Fällen würde ich die Suche beginnen mit Netzwerkgeräte abstecken, Ports wechseln, Kabel wechseln. Anfangen würde ich mit der Konfiguration Switch, Rechner und NAS, sonst nichts am Switch. Je nachdem, ob das funktioniert oder nicht, entweder nacheinander Geräte wieder einstecken oder aber Ports wechseln, Kabel wechseln, direkt verbinden, solange bis es nicht mehr geht oder wieder geht. (Es geht = Übertragungsleitung gut).

Zitat von IFI

Wie mache ich das denn auf dem Router?

Bedienungsanleitung S. 96

Die Clients (= PCs) brauchen dann auch ein anderes Programm für die Verbindung mit dem VPN, da ipSec statt OpenVPN zum Einsatz kommt.

Zitat von IFI

Ich würde es vorerst auf dem NAS belassen wollen, bevor ich da auf dem Router irgendwas verstelle.

Reicht es also nur die TCP Portweiterleitung (8080) deaktiviert zu haben? Oder sollte ich noch Weiteres machen

Die Portweiterleitung für 8080 zu deaktivieren ist entscheidend.

Ein Angriff über OpenVPN/Port 1194 ist nur dann möglich, wenn die OpenVPN-Implementierung auf dem NAS fehlerhaft ist. Das ist zwar nicht auszuschließen, aber es ist wesentlich weniger wahrscheinlich als eine Lücke oder ein schlechtes Passwort auf der Web-Oberfläche. OpenVPN hat eine gute Verbreitung und dürfte deswegen gut geprüft sein.

Es ist ok, wenn du den Port 1194 offen lässt, bis VPN über Router/IpSec läuft und alle PCs darüber zugreifen können. Zwei VPN-Zugänge gleichzeitig stören sich nicht.

Unabhängig davon solltest du ein Backup haben, das sicher ist gegen Verschlüsselungssoftware (z. B. zwei USB-Platten am NAS, die nie zum gleichen Zeitpunkt beide angeschlossen sind). Auch wenn alle Ports dicht sind, könnte es sein, dass jemand einen vergifteten Mail-Anhang anklickt und sich dadurch Schadsoftware einfängt.

Ich habe genau einen derartigen Prozess. Ich habe aber auch nur zwei Verzeichnisse für die Multimedia-Konsole freigegeben, einmal das Musik-Basisverzeichis, einmal ein Bilderverzeichnis. Nur für das Bilderverzeichnis gibt es einen Prozess, nicht für das Musikverzeichnis. Ich nehme an, der Prozess überwacht, ob neue Dateien in das Verzeichnis hinzugefügt werden.

Wenn du dir die Prozesse anschaust, wird da beim Parameter -reg: jedesmal auf ein anderes Verzeichnis verwiesen? Wenn ja, die Verzeichnisse kannst du in Multimedia Console -> Inhaltsverwaltung -> Bearbeiten festlegen.

Wenn das vernünftig programmiert ist, belegen die Prozesse nur minimal Ressourcen.

Hilft dir das hier weiter?

PHP ist nicht mein Ding, weswegen ich das nicht ausprobiert habe. Aber qnapclub.eu packetiert idR. Standard-Linux-SW für Qnap, deswegen sollten sich die Erweiterungen wie unter Linux installieren lassen.

In dem Falle dürfte es aber Probleme geben, weil dann immer noch die dafür benötigte libssh2-Bibliothek fehlt. Es ist einen Versuch wert, diese über Entware-Std (ebenfalls in Qnapclub.eu) zu installieren. Ich habe jetzt keine Ahnung, welche Abhängigkeiten libssh2 hat. Vllt. kann man das auch manuell (in der Shell, ohne Entware) installieren.

Wenn du mit diesem Vorgehen keinen Erfolg hast, bleibt wohl nur die Installation von Apache im Container oder gleich in einer virtuellen Maschine, wie schon FSC830 gesagt hat. Die Frage ist, was du damit vor hast. Wenn du Software-Entwicklung machst, würde ich unabhängig davon, ob obiges Vorgehen hilft, eine Installation in Container oder VM vorziehen, da du dann viel flexibler bist in der Version, die du installieren willst. Solltest du vorhaben, den Web-Zugriff per Portweiterleitung ins Internet freizugeben, würde ich aus Sicherheitsgründen nur eine Installation in einer VM in Erwägung ziehen, da dann ein Angreifer, der durch eine Sicherheitslücke ins System gelangt, erst einmal in der virtuellen Maschine ist und aus dieser ausbrechen muss (was nicht unmöglich ist, daher sollten ein gutes Backup und eine Sicherheitsabschätzung vorliegen).

Eine Alternative ist, man verschiebt in der Shell den ganzen Multimedia-Ordner oder aber nur einzelne Unterordner desselben auf das Ziel und setzt an der alten Stelle mit ln -s einen symbolischen Link. Dann sind die Dateien weiterhin auch unter dem alten Pfadnamen ansprechbar, so dass in der Konfiguration der Multimedia-Dienste gar nichts angepasst zu werden braucht. Das ist Standardvorgehen, wenn man unter Linux in einzelnen Verzeichnissen mehr Platz braucht, der nur ganz woanders zur Verfügung steht.

Manchmal funktioniert das Vorgehen mit dem symbolischen Link aber nicht, z. B. wenn am neuen Speicherort die Dateirechte nicht stimmen. Es gibt auch Programme, die mit symbolischen Links rumzicken und nicht auf das Ziel zugreifen, wobei "rumzicken" der falsche Ausdruck ist, weil es sich um aus Sicherheitsbedenken programmierte Einschränkungen handelt, damit darüber keine Dateien freigegeben werden, auf die ein Nutzer keinen Zugriff haben darf.

Ob dieses Vorgehen bei dem Multimediaserver funktioniert, kann man am besten ausprobieren, indem man für einen Versuch erst mal nur ein kleines Unterverzeichnis verschiebt. Dann siehst du auch, ob Kodi die Datenbank dafür neu erstellen will.

Etwas OT:

Zitat von dolbyman

Nein...das ist leider des Öfteren ein Problem..bitte den Admin account reaktivieren und damit ausführen.

Nein, nicht nötig: Der Admin-Account darf deaktiviert bleiben.

Stattdessen einfach ein sudo vor den Befehl setzen, z. B.

sudo md_checker

Wenn viele Befehle, die Admin-Rechte erfordern, kann auch mit sudo -i eine Root-Shell geöffnet werden.

(Eine kleine Warnung dazu: Eingeschränkte Rechte können manchmal auch vor eigener Dummheit schützen. Wenn man nur mal temporäre Verzeichnisse löschen will und bekommt eine Fehlermeldung wg. fehlender Rechte, kann man noch mal schauen, ob man da nicht gerade versehentlich sein System zerschießt. Mit einem sudo davor oder als admin ausgeführt ist oftmals zu spät.)

Zitat von rah84

Kann es sein das bei Raid5 die Performance erheblich sinkt?

Nein. Raid 5 ist zwar etwas langsamer als Raid 0 oder Raid 10, insbesondere beim schreiben, aber nicht erheblich langsamer.

Zitat von rah84

Und jetzt kommt's mir erst bei Raid5 wird ja was auch immer auf die nicht nutzbare HDD gesichert

Was hat die HDD im SSD-Raid zu suchen??

Hast du das Raid über HDD und SSD aufgespannt? Womöglich die HDD als Cache für das SSD-Raid definiert? Wenn eine HDD im SSD-Raid ist, bremst diese das Raid natürlich aus. Wenn es so ist, wie du schreibst, ist da in der Konfiguration was im Argen.

Zitat von Anglorenzo

Die Netzwerkkarten (neu) habe ich übrigens für je 55 € erhalten. Dazu drei DAC-Kabel (2 m) für je 13 €.

Die Preise sind gut.

Zitat von Anglorenzo

und dabei eine Übertragungsrate von rund 600 MB/s erreicht

Höhere Werte erreichst du mit Geschwindigkeitstestprogrammen.

Für Kopieraktionen sind die Werte gut. Da kommen einfach noch andere Zeitfresser hinzu, z. B. Lesen von SSD, Schreiben auf SSD, Verzeichniseinträge anlegen, Prozessor braucht auch Zeit, was die Gesamtdauer verlängert und den scheinbaren Durchsatz verringert. Du kannst noch mal mit Jumbo-Frames optimieren, aber wirklich Bedarf sehe ich dafür nicht.

Das Problem sehe ich weniger darin, dass der von Qnap installierte Apache fehlerhaft wäre.

Aber der Webserver spielt eine zentrale Rolle in qts und ist genau auf die Anforderungen des Systems angepasst. Wenn du jetzt dessen Konfiguration änderst oder gar eine neue Version einspielst, riskierst du, dass deswegen qts nicht mehr läuft.

Besser ist die Installation in einer eigenen VM. Da kannst du nach Belieben die Konfiguration anpassen und neue Versionen einspielen und testen.

So schwierig ist ssh über SSH-Keys nun auch nicht. Aber man sollte wissen, was man da macht und nicht einfach den Port freigeben.

Zitat von FSC830

Wer sein LAN sicher haben will, nimmt VPN, sonst nichts!

Das Matra hier im Forum. Einsteigern gegenüber ist das korrekt, aber wenn man sich auskennt, gibt es auch andere sichere Möglichkeiten, z. B. ssh. Weniger sichere Anwendungen stellt man in eine DMZ und versieht sie mit einem guten Backupkonzept.

http(s) ist relativ unsicher, weil zum einen der Webserver eine viel größere Angriffsfläche bietet und zum anderen der Angriff auch über die vergleichsweise schlecht getestete QNAP-Anwendung erfolgen kann.

Zitat von dolbyman

Weder Passwort not 2FA hilft bei Exploits

Das ist kein Exploit. Wäre es ein Exploit, hätte der Angreifer es nicht nötig, mit Brute Force viele Passwörter durchzuprobieren.

Zitat von _andreas_

Einerseits interessiert es mich technisch, über welchen Weg die Beute Force Attacke durchgeführt wird (wahrscheinlich über die DynDNS Adresse), und natürlich, ob es eine Möglichkeit gibt von der Liste zu verschwinden

Welcher Weg? Der, den du auch nimmst, normal über http(s). Und nein, dyndns kommt nicht zum Einsatz. Der Angreifer benötigt nur deine numerische IP-Adresse. Die viermilliarden IP-Adressen können heutzutage relativ schnell auf offene Ports durchprobiert werden. Damit erübrigt sich auch deine Frage, ob es möglich ist, von der Liste wieder zu verschwinden.

(Wenn du den Zugriff über IPv4 blockierst und nur IPv6 zulässt, verschwindest du übrigens tatsächlich von der "Liste". Der IPv6-Adressraum kann noch nicht in akzeptabler Zeit gescannt werden. Eine Sicherheit bietet das nicht, da der Angreifer auch anders an deine IPv6-Adresse kommen kann, aber in der Praxis dürfte die Zahl der Angriffe deutlich abnehmen, da es noch genug Dumme gibt, die IPv4-Ports mit http(s) offen haben.)

Hallo Anglorenzo

noch ein paar Anmerkungen von mir zur Hardwareoptimierung:

An Stelle des QSW-308S würde ich den Mikrotik CRS305-1G-4S+IN nehmen und an dessen einem Gigabit-Port den alten Gigabit-Switch anschließen. Ich habe übrigens beide.

Gründe:

- Mit dem QSW-308S hatte ich viel Ärger mit einer Inkompatibilität mit einem alten Thunderbolt-Adapter.

- Beim QSW-308S ist ein Wackelkontakt bei den Gigabit-Ports aufgetreten. (Einmal in zwei Jahren, hat aber eine längere Fehlersuche verursacht. Zugegeben, so lange habe ich den Mikrotik-Switch noch nicht, um das im Vergleich zu beurteilen.)

- Der Qnap-Switch ist nicht so gut verarbeitet (mehr Plastik, Ports nicht so passgenau) wie der Mikrotik.

- Der Mikrotik-Switch bietet Manage-Funktionen. (Das brauchst du zwar derzeit nicht, aber was man hat, das hat man.)

Bei den Adpaterkarten im PC und bei den LAN-Kabeln (bei sfp+ durchaus ein Kostenfaktor, da je zwei Transceiver benötigt werden) kann man durch Gebrauchtkäufe (z. B. auf Ebay) Geld sparen. Da Hardware aus Rechenzentren auf dem Markt ist, gibt es durchaus ein Angebot. Eine Adapterkarte von HP (allerdings im NAS eingesetzt, nicht im PC) habe ich für 35 Euro erwischt. Ein DAC-Kabel (die empfehlenswerte Verbindung bei sfp+ wenn die Länge nicht über 5m liegt) habe ich für einen Euro ersteigert, realistischer sind aber 15 bis 20 Euro.

Zitat von rah84

Ich habe kein Gerät der über 1Gbit fahren kann.

Dann vergiss dein Vorhaben. Das ist nämlich völlig blödsinnig.

Der Engpass ist in dem Falle die Gigabitschnittstelle deines Notebooks. Ob dann das NAS mit Gigabit oder 2,5GbE angeschlossen ist, ist völlig egal, weil die langsamste Verbindung die Geschwindigkeit bestimmt.

In Firmennetzwerken kann es sinnvoll sein, das NAS mit einer höheren Geschwindigkeit als die einzelnen PCs anzubinden, weil da viele gleichzeitige Zugriffe erfolgen. Und da, aber auch nur da, kann eine Portbündelung (Link Aggregation) nützlich sein. Aber dieses Szenario hast du bei dir nicht, nicht mal ansatzweise.

Wenn du eine höhere Geschwindigkeit nutzen willst, musst du einen Adapter (2,5GbE oder 10GbE) in dein Notebook stecken. Du kannst dieses direkt mit dem NAS verbinden (kein Switch dazwischen, nur ein LAN-Kabel; dann brauchen beide Enden eine IP-Adresse möglichst aus einem eigenen Subnetz) oder du verbindest über einen Switch mit entsprechender Geschwindigkeit.

Nur so am Rande:

Zitat von Cmdr_Michael

- 10GbE braucht mehr Strom, tlw. 5-10W pro Port 24/7.

Ein DAC-Kabel benötigt 0W.

Ein optischer Transceiver mit LWL-Kabel benötigt 1W (pro Seite).

Ein Transceiver für rj45 (10GbE über Kupfer) benötigt 3W (wieder pro Seite). Und ja, die Dinger werden heiß.

Zitat von Cmdr_Michael

- Ab 8x 10GbE Ports gibt es nur noch aktiv gekühlte Switches

Der Mikrotik CRS309 hat 8 10GbE-Ports und ist komplett passiv gekühlt. Davon abgesehen ist deine Bemerkung passend, denn viele 10GbE-Switche sind aktiv gekühlt mit Ventilator, und das ist im Serverraum oder im Keller in Ordnung, aber nicht im Arbeitszimmer oder Wohnzimmer. Man muss ziemlich suchen, wenn man passiv gekühlte 10GbE-Switche will.

Zitat von rah84

allerdings bin ich am überlegen ob ich nun nicht gleich alle 4 Schächte nutze und eine vierte kaufe,

Du kannst auch später jederzeit das Raid 5 um eine Platte erweitern, ohne es neu aufsetzen zu müssen. Das geht völlig unproblematisch (so denn die neue Platte nicht kleiner ist, und sei es nur ein Byte).

Raid 6 (war Bemerkung von UdoA ) bei nur vier Platten halte ich für oversized. Ein gleichzeitiger Ausfall zweier Platten ist recht unwahrscheinlich, und ein Backup brauchst du ohnehin, denn gegen Schadprogramme und eigene Dummheit hilft kein Raid.

Zitat von rah84

Oder eine SSD für ganz spezielle Daten nehme wo ein schneller Zugriff und schneller Datentransfer wichtig sind,

Das würde ich tun. Ein Cache macht das System komplexer und damit fehleranfälliger, und ein Cache wird nie so gut wie du selbst wissen, was oft genutzte Daten sind, auf die schnell zugegriffen werden soll.

Zitat von binam

Der Steckplatz im TS-453D ist Gen2x2 = maximaler Durchsatz 1 GB/s. Die Samsung EVOs sind Gen3x4 = maximaler Durchsatz 4 GB/s. PCI-Express ist zwar abwärtskompatibel, aber das schwächste Glied in der Kette begrenzt den Durchsatz.

Das schwächste Glied in der Kette ist der LAN-Anschluss. PCI Gen2x2 mit 1GByte/s liefert fast die zehnfache Leistung dessen, was Gigabit-LAN mit 1Gbit/s abrufen kann. Auch 2,5GbE LAN ist noch ein Stück weit von der Leistung entfernt, um PCI Gen2x2 auszureizen. Erst bei 10GbE wird Gen2x2 zum begrenzenden Flaschenhals, aber wer 10GbE ausreizen will, muss auch anderswo deutlich mehr Geld in die Hand nehmen, insbesondere auch beim Prozessor des NAS.

Insofern ist die Entscheidung von Qnap für PCI Gen2x2 zwar eine Sparschweinentscheidung, aber aus technischer Sicht nicht zu beanstanden.

Überhaupt sind, solange nur Gigabit-LAN im Einsatz ist (und vermutlich auch weitgehend bei 2,5GbE), alle Mühen mit SSDs, Raid 0, Caches etc. überflüssig, da nur optimiert wird, was eh' schneller als nötig ist. Für virtuelle Maschinen sieht das theoretisch anders aus, aber da sehe ich den Prozessor und eventuell den RAM-Ausbau als Engstellen.