Server Remote entsperren?

[undone]

Hallo,

ich habe mir nun einen Unraid Server zugelegt und möchte zu beginn alles verschlüsseln. Das verschlüsselte System sollte dabei auch aus der ferne zu entsperren sein, hier benötige ich eure Hilfe.

 

Auf meinem alten System hatte ich das System auf der SSD installiert, welche nicht verschlüsselt war. Für die Daten gab es mehrere Festplatten welche ich mit LUKS verschlüsselt hatte. Dieses vorgehen hatte ich gewählt, um den Server nach einem Neustart über remote Login zu erreichen. Das Problem dabei war, dass alle Daten auf der SSD offen lagen und somit nach einem Neustart nicht geschützt waren.

 

Den kompletten Server zu verschlüsseln sollte ja möglich sein, doch müsste ich diesen vor Ort entsperren um anschließend das System zu starten und über Fernzugriff (Internet) zu erreichen. Diese Seite hatte ich gefunden, welche erklärt das man die Verschlüsselung auch via remote Zugriff entsperren kann, doch weiß ich nicht ob und wie ich das mit Unraid umsetzen kann.

Zudem hatte ich gesehen, dass sich bei Unraid die Datenträger auf der Oberfläche alle einzeln verschlüsseln lassen, dieser Punkt würde ja wegfallen, da die Festplatten schon vor dem Systemstart entschlüsselt wurden.

 

• Mir stellt sich also die Frage wie man das am besten umsetzten könnte?
  1. Fernzugriff zum entsperren aller Festplatten > 2. (separater) Fernzugriff auf Unraid.
• Oder gibt es da einen ganz anderen Weg welchen ich nicht kenne?

 

Hardware ist ohne IPMI oder der gleichen, ist auch nicht geplant.

 

[DataCollector]

1 hour ago, undone said:

Auf meinem alten System hatte ich das System auf der SSD installiert, welche nicht verschlüsselt war. Für die Daten gab es mehrere Festplatten welche ich mit LUKS verschlüsselt hatte. Dieses vorgehen hatte ich gewählt, um den Server nach einem Neustart über remote Login zu erreichen. Das Problem dabei war, dass alle Daten auf der SSD offen lagen und somit nach einem Neustart nicht geschützt waren.

Auch bei Unraid liegt das OS erst  einmal unverschlüsselt auf dem USB Stick. Solange Du dort aber keine relevanten Nutzdaten ablegst ist das ungefährlich.

Ich verschlüssele auch meien atenträger (außer den Bootstick).

Wenn das System neu startet (im Keller) gehe ich doch nicht runter. Aktuell logge mich von einem anderen PC über LAN/Netzwerk ein, und kann dann manuell den Key eintippen/kopieren und das Array starten.

Soll auch Leute geben, die ein Keyfile nutzen und das irgendwo (im Internet) ablegen (also weit weg vom unraidsystem) und dieses Keyfile dann beim Starten von dort laden und automatisiert das System entschlüsseln und starten.

Oder so ähnlich. Es gibt viele Lösungen.

 

1 hour ago, undone said:

Den kompletten Server zu verschlüsseln sollte ja möglich sein,

...abgesehen vom Bootstick/OS.

 

 

[undone]

Hmm, hört sich irgendwie schlüssig an, da der Unterbau über den USB-Stick in den RAM geladen wird und dann erst die Datenträger entschlüsselt werden. Zum Verständnis würde ich das gerne nochmal mein Vorhaben durchgehen, damit es später zu keinen Problemen kommt.

• Zuhause: 1. Server starten, USB bootet → 2. Unraid ist in den RAM geladen, Oberfläche ist via Intranet abrufbar → 3. Datenträger im Array werden alle über ein Passwort (*) entschlüsselt und gestartet.
• Entfernt: 1. PC via Smarter Steckdose starten, USB bootet → 2. Unraid ist in den RAM geladen, Oberfläche ist über ein Remote-Tool (**) aus dem Internet abrufbar → 3. Datenträger im Array werden alle über ein PW entschlüsselt und gestartet.

Das Passwort würde ich dann von Hand eintippen. 

Nach dem dritten Punkt sollte das normale tun weitergehen, VMs und Docker starten etc..

 

* wie kann man in Unraid alle Festplatten mit einem Passwort entschlüsseln (alle zuvor natürlich mit demselben PW verschlüsselt)?

** wie richte ich das am besten in Unraid ein, und wie verbinde ich mich da am besten (Windows-Client)?

[alturismo]

grundsätzlich alles korrekt, wovon halt abgeraten wird ... ist der externe Zugriff auf dein unraid system ... sprich, auch dafür bitte SEHR sicheres Passwort nutzen !!! evtl. noch einen RP davor setzen (pi) und da fail2ban, http auth zusätzlich, was auch immer einrichten ... dir muss klar sein, wenn unraid "öffentlich" erreichbar ist, ist das ... und Nein, ich habe kein Problem damit, nutze selbst unraid webui von extern aus, muss Dir nur bewusst sein

 

Ver/Entschlüsselung bitte einfach einlesen

 

zur Verbindung, webui ... wie oben beschrieben, Port öffnen und oder RP davor und oder über einen VPN (noch besser)

[undone]

Das der Zugriff von extern nicht leichtfertig eingerichtet werden sollte ist soweit klar, daher hatte ich auf entsprechende Links mit spezifischen Anleitungen für Unraid gehofft - gerade von jemandem der es selber nutzt. Ein starkes PW, RP und andere Maßnahmen sind dabei selbstverständlich.

 

 

[DataCollector]

1 hour ago, undone said:

* wie kann man in Unraid alle Festplatten mit einem Passwort entschlüsseln (alle zuvor natürlich mit demselben PW verschlüsselt)?

 

Ich wüsste nicht, wie ich den Festplatten ein unterschiedliches Passwort vergebe.

Unraid hat auf der "Main" Seite unten ein Keypass/Passwort Feld und da trägt man es ein. Das gilt (bei mir) dann für alle verschlüsselten Datenträger.

 

1 hour ago, undone said:

** wie richte ich das am besten in Unraid ein, und wie verbinde ich mich da am besten (Windows-Client)?

Ich habe zuhause ein VPN Server laufen. Ich verbinde mich also von aussen auf den VPN Server und bin dann von aussen mit Vollzugriff im lokalen Netz.

Ich nutze zwar eine Lösung mit Netgeargerätschaft, aber diverse Fritzboxen können ja auch VPNserver spielen.

[hawihoney]

51 minutes ago, undone said:

Das der Zugriff von extern nicht leichtfertig eingerichtet werden sollte ist soweit klar, daher hatte ich auf entsprechende Links mit spezifischen Anleitungen für Unraid gehofft

 

Das ist unabhängig von Unraid und gilt für alle Zugänge von außen. Meine Meinung:

 

Niemals Unraid selbst freigeben PUNKT ENDE AUS. Alles andere ist höchst leichtsinnig. Wenn man es trotzdem machen will, dann nimmt man einen VPN Tunnel. Ich würde immer einen VPN Tunnel zum Router empfehlen. Denn wenn Du das auf einem Server laufen lässt und dieser schmiert ab, dann ist Essig.

 

Für die AVM Router (Fritzbox) findest Du die Anleitung z.B. hier:

 

https://avm.de/service/vpn/uebersicht/

 

[mgutt]

Video schauen und Beiträge lesen:

 

 

Ich denke das ist eine gute Methode, um trotzdem die Kontrolle zu haben.

 

[undone]

1 hour ago, DataCollector said:

Ich wüsste nicht, wie ich den Festplatten ein unterschiedliches Passwort vergebe.

Da ich aktuell nur eine verbaut habe war mir das nicht klar, danke für den Hinweis.

 

35 minutes ago, mgutt said:

Video schauen und Beiträge lesen:

Vielleicht habe ich den verlinkten Beitrag samt Video falsch verstanden, aber dabei geht es doch um das automatische entschlüsseln der Datenträger beim Systemstart (?). In meinem Fall würde ich das nicht benötigen, da ich das Array selber entsperren könnte nachdem ich auf dem Unraid-Server bin. Oder übersehe ich hier was?

51 minutes ago, hawihoney said:

Niemals Unraid selbst freigeben PUNKT ENDE AUS.

Okay. Dann habe ich da wohl ein falsches Verständnis zu.

 

Wie geht Ihr das dann bei euch an, sofern überhaupt eingeplant?

• Ihr habt einen Unraid-Server zuhause stehen, die Datenträger sind verschlüsselt, Ihr entschlüsselt diese nach einem Start des Server über die Passworteingabe
• Ihr fahrt in den Urlaub/ zu entfernten Freunden/ seid auf Montage, der Server läuft in der Zeit, da Ihr diverse Dienste nutzen möchtet (z.b. Nextcloud)
• Zuhause gibt es einen langen Stromausfall welchen die USV nicht überbrücken kann/ eine VM schmiert ab/ Unraid startet neu und der Server ist so eingerichtet das dieser anschließend von alleine wieder hochfährt, Ihr wollt also auf Unraid zugreifen um das Array zu entschlüsseln/ die VM neu zu starten, wie macht Ihr das?

Die ganzen Erklärung und Videos welche ich mir zum Verbinden über das Internet gelesen/ angeschaut habe, gehen von einzelnen Dockern/ VMs aus, welche in meinem Fall noch nicht gestartet wären (da die Datenträger noch verschlüsselt sind). Klar könnte man nun das automatische entsperren einrichten, wie von @mgutt verlinkt, doch möchte ich genau das vermeiden. Gewünschter Ablauf nochmal zusammengefasst:

• Server via Smartsteckdose starten → PC mit Unraid startet automatisch → Zugriff über das Internet zum entsperren der Datenträger und starten der VM/ Docker

Ich lese mich da auch gerne ein, doch sollte ich erstmal wissen nach was ich genau schauen soll. 

Danke

[hawihoney]

39 minutes ago, undone said:

Zuhause gibt es einen langen Stromausfall welchen die USV nicht überbrücken kann/ eine VM schmiert ab/ Unraid startet neu und der Server ist so eingerichtet das dieser anschließend von alleine wieder hochfährt, Ihr wollt also auf Unraid zugreifen um das Array zu entschlüsseln/ die VM neu zu starten, wie macht Ihr das?

 

Überhaupt nicht. Unser letzter Stromausfall datiert aus dem letzten Jahrhundert. Und wenn ich unsere Elektrozuleitungen und Verteiler aus 1960 so anschaue, dann frage ich mich, wieso andere dauernd Stromausfälle zu haben scheinen. Wie alt mögen deren Systeme sein?

 

Mit einem VPN-Tunnel über den Router kannst Du im Katastrophenfall jede Konsole, jede interne GUI, IPMI, was auch immer, erreichen. Du arbeitest z.B. im Ausland als wärst Du vor Ort. Es muss sich nur der Router nach einem Stromausfall neu starten. Das ist alles. VPN über den Server halte ich persönlich für eine blöde Idee ...

 

[alturismo]

53 minutes ago, undone said:

Ich lese mich da auch gerne ein, doch sollte ich erstmal wissen nach was ich genau schauen soll. 

 

ich würde mal sagen, soviel nutzen keine Verschlüsselung und haben auch keine Stromausfälle (mich eingeschlossen).

 

ja, ich habe unraid hinter einem RP von außen zugänglich, jedoch mit zusätzlicher auth (verschiedene Nutzer, Passwörter), fail2ban, geoip ... das reicht mir persönlich aus und ja, wenn da jemand durch käme wäre er im System  aber das halte ich persönlich für recht unwahrscheinlich ... da glaube ich eher das bei Phishing zuhause im LAN was passiert, ist Ansichtssache ...

 

das "automatische" Entschlüsseln ... ist ein anderer Ansatz den du ja gar nicht willst.

 

Grundsätzlich, nimm einen VPN, empfohlen über den Router wie @hawihoney angemerkt hat und alles ist recht einfach zu lösen, VPN verbinden, auf unraid "wie im LAN" zugreifen, deinen pass eingeben, VPN disconnect, fertig.

[undone]

1 hour ago, hawihoney said:

Mit einem VPN-Tunnel über den Router

Ich habe gerade geschaut, bei mir wäre WireGuard oder L2TP/IPSec im Router verfügbar, mit Wireguard und Mobilfunk am Smartphone hat es auch funktioniert. Welche Lösung hierbei besser ist müsste ich noch schauen.

 

MyServers in Unraid schalte ich dann am besten auch wieder ab, auch wenn mir das vom offiziellen Support vorgeschlagen wurde.

 

Danke an alle.

 

___

1 hour ago, hawihoney said:

Unser letzter Stromausfall datiert aus dem letzten Jahrhundert. [...] Wie alt mögen deren Systeme sein?

Das freut mich für dich. Bisher wohnte ich etwa in einem halben dutzend Wohnungen, wo etwa die hälfte das Problem mindestens einmal hatte.

War ja aber nur als Beispiel gedacht, in 99% der Fälle ist man vermutlich schnell am Server, doch hatte ich den 1% Fall, wo ich über viele Monate mehrere Flugstunden entfernt vom Server war und Familienmitglieder via Telefon anleiten musste diesen zu starten und Passwörter einzugeben, das möchte ich so nicht mehr.

 

1 hour ago, alturismo said:

ja, ich habe unraid hinter einem RP von außen zugänglich, jedoch mit zusätzlicher auth

So in etwa habe ich das letztlich beim aktuellen Server gelöst, jedoch ohne verschlüsselte Boot-SSD, wodurch sich meine Frage ja erübrigen würde.

 

Danke nochmals.

[mgutt]

2 hours ago, undone said:

um das automatische entschlüsseln der Datenträger beim Systemstart (?).

Genau darum geht es ja. Aber du kontrollierst ob die Datei zum Entschlüsseln überhaupt vorhanden ist. Wenn nicht, dann entschlüsselt der Server nicht.

 

Ablauf:

- der Schlüssel liegt als AES verschlüsselte Datei zb per 7zip in irgendeiner kostenlosen Cloud 

- du startest den Server per smarter Steckdose

- der Server holt sich die Datei, entschlüsselt sie und nutzt den Schlüssel um die Platten zu entschlüsseln

- du löschst die Datei aus der Cloud. Der Server prüft regelmäßig die Existenz und fährt sich automatisch herunter, wenn diese fehlt.

 

Statt die Datei ständig zu löschen und neu vom Smartphone hochzuladen, könnte man auch zwei Cloud Accounts nutzen. Ein Account (deiner), wo die Datei permanent liegt und ein zweiter (Server) mit dem du die Datei einfach nur teilst oder eben das Teilen aufhebst. Das sollte recht komfortabel gehen.

 

Wenn der Server dauerhaft an bleiben darf, könnte der Check auch einfach immer nur das Array stoppen / starten, je nachdem ob die Datei verfügbar ist oder nicht.

[undone]

Ich hätte noch eine ergänzende Frage, nachdem ich etwas mit Unraid rumgespielt habe.

 

Da ich einige Daten via rClone in der Cloud gesichert habe, würde ich mit dem Unraird-Server auch auf diese zugreifen.

Die Installation von rClone ist soweit kein Problem, doch wird zb. das Passwort des zum Ver- und Entschlüsseln unter /boot/config/plugins/rclone/ hinterlegt - hier kann man auch ohne laufendem Array zugreifen und alles auslesen (das verschleierte Passwort ist auch einfach zu ermitteln).

 

Gibt es also eine Möglichkeit die 'config' Datei auf das verschlüsselte Array zu verschieben, so das rClone diese auch wiederfindet?

(Unraid starten → Array starten und entschlüsseln → rClone plugin kann Datei abrufen)

 

rClone ist hier nur ein Beispiel, letztlich zielt die Frage auf alle Dateien/ Apps/ Plugins/ ... welche nicht direkt im verschlüsselten Array liegen und wichtige Informationen enthalten.

[mgutt]

Die Frage musst du an den Plugin Entwickler richten.