Truecrypt mit Raid 6 >2TB

Da Du offensichtlich noch nie die Doku zu TrueCrypt gelesen hast:

http://www.truecrypt.org/docs/?s=v [...] cification

Der ist insbesondere auch mit GPT Volumen wie auch Windows Dynamischen Datenträgern kompatibel.

Das Lesen der TrueCrypt Doku empfiehlt sich, da man im Falle eines Fehlers ja vielleicht noch irgendwie an die Daten kommen muss. Und dazu muss man wissen, was man von einem TrueCrypt Volumen wie sichern muss. Hinzu kommt das Wissen darum was geht und was nicht. Beispielsweise soll's ja schon Leute gegeben haben, die ein existierendes Volumen in ein TrueCrypt Volumen umwandeln wollten. Die Daten waren anschließend weg (kein Wunder - hätte man Doku gelesen).

Dass ein TrueCrypt nicht gegen einen Bundestrojaner schützt versteht sich von selbst (da dieser ja aus dem Internet auf das bereits gemountete TrueCrypt Volumen zugreift). Ebenso, dass WMP etc. in ihrer Last-Recently-Used Liste genügend Verweise auf die Dateien im TrueCrypt Volumen speichern.

Ah danke, ich hatte in der Doku geforscht und hatte DIESEN Abschnitt noch nicht gefunden, hatte wohl aber einen Vermerk, dass GPT angeblich schon funktioniert, schon entdeckt. Jedoch kann ziemlich viel in so einer Doku stehen. Nur weil Microsoft behauptet, dass XP nun sicher und stabil ist, wird es trotzdem nie so sein. Es geht mir viel mehr darum, inwieweit dieses Unterhaben schon von Leuten duchgeführt wurde und, ob es problemlos durchführbar ist.

Auch besitze ich ein fundiertes Computerwissen, sodass ich keine Volumes überschreibe oder gar den WMP überhaupt nutze. (Wird man nicht sogar vor dem Erstellen der verschl. Partition darauf hingewiesen, dass die Daten verloren gehen?) Mir scheint du hast meine Kenntnisse falsch eingeschätzt und mich fälschlicherweise als stümperhaften Amateur identifiziert, der seine illegalen Datenmengen mit TC todessicher machen will. Jedoch geht es mir viel mehr um die Sicherung von produktiven und privaten Material auf einem im Netzwerk stehenden Server, welches nicht unbeabsichtigt an Dritte gelangen soll.

Und, dass der Bundestrojaner jemals für Privatpersonen eingesetzt wird, halte ich für äußerst fragwürdig, zumal eine Offenlegung eines solchen Falles die ganze Debatte bezüglich gläserner Mensch und STASI 2.0 nochmal erheblich aufkochen lassen würde. (Mal ganz von der Thematik abgesehen, dass alle Beweismittel, die ohne einen gültigen Durchsuchungsbefehl vor Insichtnahme der PCs angesammelt wurden, vor Gericht nur schwer standhalten würde.)

Trotzdem danke ich dir für den Hinweis auf die Doku, welche von den meisten Leuten heutzutage auch wirklich unterschätzt wird, und würde mich natürlich noch über einen Erfahrungsbericht freuen.

@ghostrider - da die Daten auf einem gb-Netzwerk verteilt werden, wird Dieses das Maß der Geschwindigkeit sein und daher nicht im Geringsten durch die Verschlüsselung eingeschränkt sein. Es geht darum abgesichert zu sein. Es ist nicht zwingend ein Ziel für Diebstähle, doch, wenn Einer jemals durchgeführt werden sollte und Produktivdaten der Firma und Sourcecodes an eigenen geldeinbringenden Projekten, die erheblichen Wert haben, wären offenbar für den Dieb ersichtlich, wäre Dies ein fataler Rückstoß im Verhältnis zum Aufwand die Festplatten in weniger als 10 Minuten mit einer Verschlüsselung zu versehen und somit abgesichert zu haben. Es geht mir gar nicht um eine kaskadierte Verschlüsselung oder andere atemberaubende Unternehmungen- Ich habe doch lediglich die Frage gestellt, ob ein großes Raid per TC verschlüsselbar ist, und inwieweit Dieses schon problemlos durchgeführt wurde. Ich hatte nicht einmal gesagt, dass es für eine Privatperson ist.

Ich kann gar nicht verstehen, dass die Leute, die verschlüsseln, ständig mit Füßen getreten werden. Ich mein, selbst wenn nichts Bedeutendes auf dem Server liegen würde, würd ich es trotzdem aufgrund der Privatssphäre und des Datenschutzes machen.

Ein weiterer Punkt ist : Wie macht man das mit dem Backup.

Im Idealfall (nur große Dateien - obwohl Du ja schon geschrieben hast, dass es auch um Sourcecode geht) bekommst vielleicht so ca. 40MB/s über's Netzwerk gepumpt. Ich komm' gleich mal zu möglichen Gründen, aber sollte das Rückspielen eines Backups notwendig sein, so dauert dies über's Netzwerk

6TB : 40MB/s = 6 000 000 MB : 40 MB/s = 42 h = fast zwei volle Tage.

Man könnte die die geringere Flexibilität kleinerer Partitionen in Kauf nehmen, um vielleicht nicht einen riesen Pool mit 6TB im Fehlerfall bearbeiten zu müssen. In der Praxis sind jetzt gar nicht unbedingt die Festplatten immer Schuld an einem Ausfall. So sind mir Wurmebefälle über Nacht bekannt, die Logfiles anquellen lassen u. das gesamte Filesystem vollständig gefüllt haben. Quotas für User gab's - für wichtige Serverdienste wie Mail leider nicht. In diesem Fall musste ein Backup zurückgeschrieben werden - im Filesystem löschen war leider nicht ausreichend. Auch kann ich von Switchausfällen berichten, die Daten kompromitiert haben.

Würde also auch drüber nachdenken ob ich nicht doch mehrere Partitionen wählen würde.

Und wenn ich schon vom Thema abkomme: Würde 2x Backup anfertigen. 1x extern über's Netzwerk in rsync Manier inkrementell. So kann der ganze Server auch geklaut werden. Ein 2. Backup würd' ich lokal auf einen lokalen Datenträger anfertigen. Irgendetwas wo ich mit 100MB/s restaurieren kann, wenn's schnell gehen soll. Möglicherweise auch nicht Filebasiert, sondern Image-basiert, damit's möglichst schnell angefertigt u. restauriert werden kann.

Ich bin alles andere als paranoid - verschlüssele relativ wenig. Backup, Versionsverwaltung etc. ist für mich Komfort - nicht Ballast.

Je nach OS gibt es Anleitungen, wie man innerhalb von MINUTEN das Admin-Kennwort komplett umgeht. Spätestens sobald man physischen Zugriff auf den Server hat (Also der einzige Grund für Verschlüsselung: Diebstahl des ganzen Servers) ist das schnell gemacht.


Du willst also etwas in einem Unternehmen einrichten, was nach einem Systemstart nicht automatisch verfügbar ist und zwangsweise eine Interaktion vom Admin erfordert?
Interessant... Dann habt ihr wohl nicht viele Server, denn sonst würdest Du von solch einem Aufwand absehen.
Wenn bei unseren rund 150 Servern jeder x-te erst manuelle Passworteingaben erfordern würde, damit er benutzbar ist, wäre der Aufwand enorm. Es ist so schon schwierig genug sicherzustellen, daß die Server bei einem erzwungenem Neustart alle fehlerfrei wieder verfügbar sind.
... allerdings käme man bei uns auch nicht weit. Wer die Alarmanlage auslöst, wird es m.E. nicht schaffen vor Eintreffen des Sicherheitsdienstes Server aus den verschlossenen Schränken zu bauen und damit das Gebäude zu verlassen. Die sind echt flott und gar nicht erfreut, wenn jemand nach dem scharfschalten der Alarmanlage die falsche Tür öffnet.

Solange ihr keine Rüstungstechnik entwickelt, halte ich es auch für höchst bedenklich, daß jemand für Source-Code das Risiko eingeht Server zu stehlen. Dann doch ehr ein Angriff über das Netzwerk. Das ist wesentlich unauffälliger und gefahrloser.

Aber wie bereits gesagt: Du darfst natürlich gerne alles verschlüsseln, was Du auch immer willst. Ich persönlich sehe darin nur kein Sicherheitsfeature, wenn der Server in einem verschlossenen und durch Alarmanlage gesicherten Serverraum steht. (Alarmanlage: Es reicht auch schon, wenn der Zugang zum Gebäude alarmgesichert ist und der Serverraum in diesem Gebäude liegt und verschlossen ist.)
So ist halt meine Sicht der Dinge.

Das meinte ich mit "Admin-Kennwort komplett umgehen".

Daß das überhaupt so einfach geht, finde ich irgendwie recht erschreckend.

@Jo-82:
Das macht man bei Notebooks dann aber eigentlich nicht mit TrueCrypt.
Außerdem war eigentlich nicht von einer OS-Partition die Rede.

@jo-82

Die Disks werden weder automatisch gemountet - noch per Batchdatei oder mit Passwort als Klartext; aber du hast schon Recht, dass solchen Leuten nicht mehr zu helfen ist.

2. Der Trojaner verlangt, dass man vor Ort eine CD einlegt und den Bootloader manipuliert, sodass man das PW mitloggen kann. Mal ganz davon abgesehen, dass das nicht ohne weiteres möglich ist, wird ihm das recht herzlich wenig bringen, wenn er nur das OS ohne jegliche sensiblen Daten geöffnet hat, denn an die kommt er auch nicht dran, Deswegen kapselt man ja auch OS ^_°
Bzw. man versucht erst gar nicht von nem GPT Laufwerk zu booten, was eh schon äußerst umständlich ist.

Es geht ja auch nicht um Einsetzbarkeit in Unternehmen, sondern das Ding wird ja im privaten Umfeld aufgebaut. Zwar sind da wichtige Daten drauf, aber auf die kann man sich nicht ohne einzubrechen Zugang verschaffen - und selbst dann sollte es meines Erachtens quasi unmöglich sein an die Daten zu kommen.

Bezüglich dem Neusetzen des Admin-Passworts- Im Laufenden Betrieb springt ja keine CD an und beim Neustart sollte das OS dann ja wieder verschlüsseln, also die Methode wäre schon relativ sicher.- Aber war trotzdem ne sehr interessante Info, also, dass das SO leicht geht, hätte ich auch nicht gedacht

Ich warte jetzt noch Darauf, dass die Festplattenpreise im 2TB-Segment ein bisschen sinken, immerhin hat sich da auch schon Einiges getan. Dann muss ich nochmal abwägen, ob ich nur einen Teil verschlüssele oder wirklich alles. Ich denke ich werd es mal ausprobieren und die Daten alle auf Backup halten. Sprich, wenn was schief geht kann ichs noch anders ansetzen.

P.S: Hat denn jemand schon die Technik vom Win 7 ausprobiert damit zu verschlüsseln? Ich überlege grad wie das hieß - bitlocker?

Bin auch schon ausgestiegen, da mir das "es ist nicht privat" <-> "es ist privat" quer ging. Wollte nur noch lesen, was andere (vor allem 7Oby) zu sagen haben.

Also: Ohne mich. Viel Spaß mit Deinem Vorhaben.

@echoez:
Das Problem ist nicht, wofür er es benötigt, sondern daß er sich selbst widersprochen hat und uns hier wild an der Nase herumführt(e).
Hätte er gleich am Anfang gesagt: "Ist zwar privat, ich möchte halt gerne die Daten verschlüsseln - man weiß ja nie, wer einbricht!"
Dann wäre es etwas ganz anderes gewesen.
Anstelle dessen hat er bestritten, daß es für eine private Verwendung wäre, nur um dann weiter unten zu sagen, daß es doch privat wäre.

Das Ziel der Argumentation war nicht ihm zu sagen, was er machen soll, sondern zu erfahren, warum er es machen möchte; also auch, ob er sich das genau überlegt hat, was und warum er es macht.
Wer sich dann so krampfhaft verteidigt und um den heißen Brei herumredet, scheint keinen durchdachten Plan zu haben, was und warum er es macht. Unterstelle uns hier nicht, daß wie die arroganten Admins wären, nur weil wir dieses Vorhaben hinterfragen und durchaus auch in Frage stellen.

Es gibt nunmal sehr viele, die sich ein Leid dadurch zufügen, daß sie etwas mit aller Gewalt umsetzen wollen, was für sie nur Nachteile bringt. "Hab ich gehört, will ich auch." Siehe z.B. RAID mit onboard-Controllern (das Forum ist voll von Usern, die ihre Daten verlieren!)
Teilweise wollen die Leute auch etwas ganz anderes, als das, was sie fordern. Hier gab es auch schon Leute, die ihre Daten "sicherer" haben wollten und dann RAID-0 verwendet haben. "RAID ist doch sicher!" - eben nicht. Oder auch ein RAID anstelle eines Backups: Fataler Fehler!
Daher mußt Du nicht denken, daß die Beiträge hier alle nur arrogant von oben herab gemeint wären. Ehr im Gegenteil: Aus Neugierde, wollte ich wissen wofür, da man soetwas immer mal wieder liest. Ist es so schwer zu sagen, daß man es privat machen möchte? Warum muß man erst so tun, als wenn es ein produktiv genutzer Server wäre, dann aber, wenn dargelegt wird, wie wenig Sinn es in einem professionellen (Server-)Umfeld ergibt, wieder umschwenkt zum privaten Einsatz?

Da darf man sich doch wohl berechtigt fragen, ob derjenige überhaupt Interesse daran hat das zu erfahren, was er gefragt hat.

7Oby meinte mit seinem Beitrag vermutlich nicht, daß der Ursprungsposter etwas illegales machen würde, sondern daß vom ihm gegebene detailierte Erläuterungen zur Umgehung von Verschlüsselungsmöglichkeiten rechtlich problematisch sein könnten. Es ist nunmal verboten Anleitungen/Werkzeuge bereitzustellen, um "Sicherheitsmechanismen" auszuhebeln.

Mein Beitrag war eindeutig: Ich lasse mich hier nicht zum Spaß anderer an der Nase herumführen. Entweder weiß er, wofür und wie er es einsetzen möchte, oder eben nicht. In beiden Fällen kann man dazu stehen und niemand hätte ihm den Kopf abgerissen, wenn er gesagt hätte, daß er es aus Neugierde (oder welchem Grund auch immer) ausprobieren möchte.
Belügen lassen muß man sich aber wirklich nicht.

Und daher finde ich prinzipiell auch nicht so stark, daß Du für ihn hier einspringst und uns etwas vorwirfst.
Ich wollte nur die Begründung erfahren, die die Verwendung rechtfertigt - davon gibt es mehr als genügend. Genannt wurde von den vielen Möglichkeiten keine.

Und selbst ein: "Ist mir alles bekannt, es soll trotzdem so gemacht werden." Hätte auch weiterführend sein können für eine gesunde Diskussion.