Thorsten Posted December 2, 2021 Share Posted December 2, 2021 Hallo zusammen, Ich habe ein Problem bei der automatischen Encryption meines Array. Ich habe alle meine Disk vom Array verschlüsselt. Ich habe auf meiner Diskstation ein FTPs Server eingerichtet auf dem das Keyfile bereitgestellt wird. Im Boot vorgang wir dieses keyfile heruntergeladen und unter /root/keyfile abgelegt es wir auch von Unraid verwendet. Allerdings wird hier gesagt das es sich um einen Falschen key handelt. Ich habe das keyfile so angelegt wie es in den Videos von Spaceinvader One steht. Allerdings schein sich die Version von Unraid zu unterscheiden von der im Video zu der aktuellen (6.4 - 6.9.2). Das Keyfile enthält die Passphrase im plain Text. Lösche ich das Keyfile wieder kann ich die Passphrase manuell eingeben die auch im Keyfile steht und das Array wird entschlüsselt und gestartet. In welchem format muss nun das Keyfile erzeugt werden? Viele Grüße Thorsten 1 Quote Link to comment
Asgard Posted February 16, 2022 Share Posted February 16, 2022 Hi @Torsten ich bin über deinen Beitrag gestolpert und hatte bis eben dasselbe Problem und auch meinen Fehler gefunden. Im Prinzip hat sich nicht gegenüber dem Video von @SpaceInvaderOne mit Unraid v.6.9.2 nicht viel geändert. Der Unterschied bei Unraid 6.9.2 ist die Stelle bei min 3:28, wo gezeigt wird das Unraid ein Keyfile nach Eingabe der Passphrase in der Unraid GUI unter /root/keyfile ablegt. Dies ist bei Unraid 6.9.2 nicht der Fall, der Mechanismus funktioniert aber weiterhin. Grundsätzlichen Vorgehen bei Unraid 6.9.2 beim Automount von einem encrypted array: Schritt 1: Auf den Unraid Server per SSH verbinden: ssh [email protected] Schritt 2: Passphrase in Plaintext im Keyfile auf dem USB Stick ablegen: echo -n 'my$1cureArray!Password' > /boot/config/keyfile_tower Schritt 3: Unraid Go Script mit bearbeiten cat /boot/config/go #!/bin/bash # automount cp /boot/config/keyfile_tower /root/keyfile # auto powersavings powertop --auto-tune # Start the Management Utility /usr/local/sbin/emhttp & Schritt 4: Autostart vom Array in Unraid GUI aktivieren: Schritt 5: Reboot und über encrypted Autostart freuen Anmerkungen zu Schritt 2: Keyfile Hier lag mein Fehler. Ich hatte dummerweise nicht einfache Hochkomma ' ' sondern doppelte " " verwendet. Damit werden die Shell Befehle interpretiert und ausgeführt. Sieht dann beispielsweise so aus: root@tower:~# date Wed Feb 16 07:24:04 CET 2022 root@tower:~# echo -n "my$1cureArray!!" > /boot/config/keyfile_tower echo -n "my$1cureArraydate" > /boot/config/keyfile_tower root@tower:~# cat /boot/config/keyfile_tower mycureArraydate Hier habe ich im Beispiel zwei !! im Passwordstring, die dann interpretiert werden. !! führt den letzten in der Shell eingegebenen Befehl nochmal aus, in diesem Fall ist dies Befehl date Also immer prüfen ob auch das der richtige passwortstring im keyfile drin steht! Zudem gilt zu beachten: Wenn du dein Passwort mit einem Editor in dein keyfile reinschreibst, achte darauf, dass du keinen Zeilenumbruch oder eine zweite Zeile drin stehen hast. Das gibt einen anderen Byteabfolge und folglich kommt dann zurecht im Unraid die Meldung, das es sich um den falschen key handelt. Aus dem Forum entnehmen wir zudem, dass die maximale Länge für den Passwortstring 512 bytes (characters) beträgt. Quelle: Anmerkungen zu Schritt 3: Go File Der Automount muss im Go File stattfinden, bevor die Unraid GUI gestartet wird! Reihenfolge ist hier wichtig #!/bin/bash # automount cp /boot/config/keyfile_tower /root/keyfile # Start the Management Utility /usr/local/sbin/emhttp & Machst du's anders rum, wird zuerst die Unraid Gui gestartet, findet kein keyfile und der autostart des arrays funkioniert entsprechend nicht. Das war mir anfangs nicht bewusst. Anmerkungen zu Sicherheit: Hier der Anleitung habe ich bewusst auf komplizierte Schritte, wie das Auslagern des Keys auf einem WebServer, FTP, Phone, Fritzbox Share sowie das Verschlüsseln des im Plaintext gespeicherten Keyfiles ausgelassen. Ich rate jedem an, sein keyfile zu verschlüsseln, bevor ihr es über eine ggf unsichere Leitung übertragt. Wer schonmal mit Wireshark oder anderen Netzwerksniffern gearbeitet hat, weiß was ich meine. Recht gute Ansätze dazu werden hier z.b. mit 7z beschrieben: Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.