[Sammelthread] ZFS Stammtisch

Spannend!

Vieles zu Dingen, die ich bisher nicht nutze (Zones), aber auch ein paar coole Features zu ZFS/Homeuse:

  • Encrypt everything, everywhere, all the time
  • ZFS Raw Send Streams
  • Resumable ZFS Send Streams
  • Preserving ZFS ACL Inheritance
  • NFS Version 4.1 Server Support
  • SMB 3.0 Support

NFS4+SMB3 - WOOOHOOO! :d

Was ich mir auch einmal ansehen würde, ist das neue Webdashboard.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Vielleicht mal am Wochenende die Beta installieren. ;)

Es wäre echt eine Schande, wenn Oracle Solaris einstellt...
 
Baut Oracle die Updates die es für 11.3 gab, eigentlich bei einem Sprung auf 11.4 mit ein oder hat man dann ein 11.4 mit den neuen Features aber alles andere (wenn es nicht die Änderung benötigt) bleibt auf 11.x Stand ?

Da es den Zugang zu den Updateservern ja nicht für lau gibt.
 
Zuletzt bearbeitet:
Also „pkg Update“ liefert manchmal was - aber frag mich nicht, nach welchen Kriterien und ob es für Zahlende mehr gibt (vermute ich ja mal). :d
 
Nochmal vielen Dank an Layerbreak!
Ich hab mich jetzt getraut und hab ESXi installiert und dort eine VM mit OmniOS und Napp-IT (das Template von Gea) am laufen. Das lief auch wirklich Out-Of-The-Box. Danke Gea :d
Zusätzlich habe ich jetzt noch eine VM mit Ubuntu, in der ich Emby installiert habe. Ich habe die SMB Shares dann gemountet wie von Layerbreak/Gea beschrieben und das hat auch geklappt. Das musste ich machen, weil ich es nicht hinbekommen habe in Emby direkt die Shares zu nutzen. Er hat sie immer nicht gefunden. Das lag wohl daran, dass der Server unter einem Benutzer EMBY (Passwort hab ich keine Ahnung) läuft und der erstmal nicht auf die Shares zugreifen kann. Hab dann in Napp-It auch einen entsprechenden Benutzer angelegt und über die ACL Extensions auch hinzugefügt, aber es hat einfach nicht geklappt. Aber das Mounten ist für mich auch in Ordnung.

Ich habe jetzt allerdings trotzdem mal wieder ein Verständnisproblem:
Ich lege in Napp-It Benutzer an, zb. die Windows Logins und gehe dann in die Extension und füge diese als lokale Benutzer hinzu. Wieso verschwinden die immer wieder? Nach einem Neustart des Servers sind die User wieder aus der Liste verschwunden und es steht nur noch everyone@ in der Liste. Ist das normal?
Und wie genau regel ich den Zugriff über Windows? Ich verbinde mich über ein Netzlaufwerk zu dem Share als root. Und dann gehe ich in die Eigenschaften auf den Reiter Sicherheit. Da kann ich jetzt aber nur Benutzer hinzufügen, die lokal auf dem Rechner vorhanden sind oder? Wenn ich da jetzt einen User hinzufügen will, den es so nicht gibt, geht das nur, wenn ich den Benutzer vorher unter Windows anlege oder?

Mir würde es auch reichen, wenn ein Windowsnutzer Vollzugriff drauf bekommt und alle anderen nur lesenden Zugriff. Wie bekomme ich das hin? Ich gebe dem everyone@ ein anderes ACL-Set?
 
Ich habe jetzt allerdings trotzdem mal wieder ein Verständnisproblem:
Ich lege in Napp-It Benutzer an, zb. die Windows Logins und gehe dann in die Extension und füge diese als lokale Benutzer hinzu. Wieso verschwinden die immer wieder? Nach einem Neustart des Servers sind die User wieder aus der Liste verschwunden und es steht nur noch everyone@ in der Liste. Ist das normal?
Und wie genau regel ich den Zugriff über Windows? Ich verbinde mich über ein Netzlaufwerk zu dem Share als root. Und dann gehe ich in die Eigenschaften auf den Reiter Sicherheit. Da kann ich jetzt aber nur Benutzer hinzufügen, die lokal auf dem Rechner vorhanden sind oder? Wenn ich da jetzt einen User hinzufügen will, den es so nicht gibt, geht das nur, wenn ich den Benutzer vorher unter Windows anlege oder?

Mir würde es auch reichen, wenn ein Windowsnutzer Vollzugriff drauf bekommt und alle anderen nur lesenden Zugriff. Wie bekomme ich das hin? Ich gebe dem everyone@ ein anderes ACL-Set?

Prinzipiell regelt man SMB Zugriffe folgendermaßen

1. Auf dem NAS/ Solarish einen oder mehrere Nutzer anlegen, z.B. Benutzer a und b
Dabei kann man auch den gleichen User/PW wie unter Windows nutzen. Damit geht der Zugriff ohne Anmeldung

2. Das ZFS Dateisystem ohne die guestok per SMB freigeben damit sich ein User authentifizieren muss

3. Das SMB Share von Windows als User root verbinden und Rechte für die Solarish User z.B. a und b setzen
anschliessend root wieder trennen

3. Wenn sich dann einer der User a oder b verbindet, hat er die entsprechenden Rechte z.B.

everyone@=read, execute nur auf den Ordner der per SMB freigegebem wird. (keine Vererbung der Rechte)
Jeder darf dann auf diesen Ordner lesend zugreufen

Für Dateiordner die darunter liegen z.B. Privates oder Filme kann man dann Rechte anders setzen, z.B.
User a hat Vollzugroff auf Privates, User B nur Leserechte (Vererbung der ACL auf Dateien und Ordner)
bzw jeder hat Ändern-Rechte im Ordner Filme (auch mit Rechtevererbung auf Dateien und Ordner)


Rechte kann man nur für die Benutzer setzen die auf dem NAS angelegt sind.
Ausnahme: Windows Active Directory für zentrale Benutzerverwaltung
 
Nur für SmartOS;
Triton Compute | Joyent

OmniOS hat nur die LX Zonen von SmartOS übernommen.

Wo gibts eigentlich noch weitere LX-Images, außer bei Joyent.
Und wo gibt Images für die LX-zones für Oracle Solaris?
Klappt das eigentlich nicht, sich eine LX-zones blank zu erstellen und dann darin eine Linux-Distri direkt rein installieren?

apt-get update
apt-get dist-upgrade

Habe Debian benutzt und damit bislang Jdownloader2, pyload und unifi ans Laufen bekommen ohne Probleme.
Wie damit hast du das Debian 8.x Joyent-Image auf Debian 9.3 gebracht?

Nochmal vielen Dank an Layerbreak!

Zusätzlich habe ich jetzt noch eine VM mit Ubuntu, in der ich Emby installiert habe. Ich habe die SMB Shares dann gemountet wie von Layerbreak/Gea beschrieben und das hat auch geklappt. Das musste ich machen, weil ich es nicht hinbekommen habe in Emby direkt die Shares zu nutzen. Er hat sie immer nicht gefunden. Das lag wohl daran, dass der Server unter einem Benutzer EMBY (Passwort hab ich keine Ahnung) läuft und der erstmal nicht auf die Shares zugreifen kann. Hab dann in Napp-It auch einen entsprechenden Benutzer angelegt und über die ACL Extensions auch hinzugefügt, aber es hat einfach nicht geklappt. Aber das Mounten ist für mich auch in Ordnung.

Ich hab gar keinen neuen User in OmniOS für Emby angelegt,
sondern ich hab in OmniOS folgende SMB-User:
layerbreak mit vollen RW-Rechten, kodi mit nur lese-Rechte und kid1 bis kidx auch nur mit lese-Rechte
Emby darf bei mir auch nur lesend zugreifen, also hab ich in der fstab folgendes eingetragen:
Code:
//storage-IP/movies	/home/storage-movies	cifs	username=kodi,password=kodiPW,vers=2.0,file_mode=0444,dir_mode=0555	0	0
//storage-IP/serien	/home/storage-serien	cifs	username=kodi,password=kodiPW,vers=2.0,file_mode=0444,dir_mode=0555	0	0

Das liest sich ja mal echt interessant.
Oracle Solaris ist aber doch immer noch nicht frei in der Nutzung, auch nicht für die private Nutzung? Oder hat sich das geändert??
 
Nein du bist dann weiterhin auf 8. Gibt aber how2s im Netz wie man 8 auf 9 bringt. Ich persönlich sehe aber bei mir noch nicht die Notwendigkeit


Hat eigentlich jemand den Microserver Gen10 laufen? Der hat ja einen Marvel Controller für die 4 HDD Slots, welchen man zumindest in der Theorie dann an eine OmniOS VM durchreichen könnte und den 5. Sata Slot der über die CPU/Chipsatz läuft dann für Exsi/OS benutzen könnte.
 
Zuletzt bearbeitet:
Nein du bist dann weiterhin auf 8. Gibt aber how2s im Netz wie man 8 auf 9 bringt.

Bitte um Link für die howtos?
Sind das howtos speziell für lxzones oder generell wie man Debian von Version 8 auf 9 hieft? Denn die, denke ich, werden nicht funktionieren, da sich ja der Kernel ändert und den wiederum muss man ja bei den lxzones mit angeben.
 
Ich habe eine (leider unspezifische) Frage in Richtung Performance und Verbesserung dieser.

Mein privater on-demand-Fileserver (HP Microserver G8, Pentium G1610 oder so, 16GB ECC Ram, 4x3 TB WD Green im RAIDZ) läuft mit Nas4Free, und erzielt im Pool lesend und schreibend etwa 300MB/s, per SMB im netzwerk bei großen Dateien wird das GBit LAN ausgelastet.

In letzter Zeit habe ich aber Probleme mit der Performance. Ordner brauchen ewig, bis sie geöffnet werden, ich höre auch die Plattenköpfe rödeln. Wenn es nur um 1-3s gehen würde, könnte ich das bei den (an sich) lahmen platten ja verstehen, aber teilweise dauert das mehrere Minuten.

Was kann ich tun, um das zu verbessern? Ich dachte (damals), mit den 16GB Ram bereits alles erschlagen zu haben, was in Richtung Caching usw geht. Sollte es doch eine SSD zum Cachen sein? Liegt es überhaupt daran, oder an was anderem - und wie kann ich das Problem eingrenzen? Fragen über Fragen, die auch nicht dadurch einfacher werden, dass ich die Kiste damals eingerichtet habe, und seitdem stumpf benutze, ohne jemals wieder in die Konfig etc zu gucken :d



Ich schreibe das hier im ZFS-Fred, weil ich das Problem hier vermute (bzw. eine Lösung vllt hier liegt) - und nicht etwa, weil im Nas4Free-Thread seit drei Jahren Tote Hose ist, und mit HP Microserver G8 Thread nur Diskussionen rund um ESXI, Virtualisierung und die dicksten Xeons stattfinden :d
 
Ich würde eine halblebige Platte als Ursache vermuten.
ZFS wartet per default bis zu 60s auf Daten einer Platte. Wenn eine Platte Probleme hat kann das dazu führen dass die Platte noch nicht aus dem Pool geworfen wird obwohl sie massive Performanceprobleme bereitet.

Ich würde mal die Auslastung der Platten (iostat, wait etc) vergleichen. Fällt eine negativ auf, die dann tauschen.
 
Fragen über Fragen, die auch nicht dadurch einfacher werden, dass ich die Kiste damals eingerichtet habe, und seitdem stumpf benutze, ohne jemals wieder in die Konfig etc zu gucken :d

@Fimbultyr Hast du mal ein „zpool status“ auf der Command Line ausgeführt? Wann hast du das letzte Mal ein Scrub durchgeführt? Ich würde außerdem mal darüber nachdenken mindestens für Fehler eine Email-Benachrichtigung einzurichten.

Mein Openmediavault führt bspw. einmal im Monat selbständig einen ZFS Scrub durch. Neulich hatte eine der Festplatten meines RAID-Z2 defekte Sektoren. Mein Server hat mich darüber informiert und ich konnte mich zeitnah ohne Datenverluste um einen Austausch kümmern.

Je nachdem wie wichtig dir deine Daten sind, würde ich da mal drüber nachdenken. ;)

Gruß Hoppel
 
Update
napp-it läuft ab der heutigen Version unter Solaris 11.4b (noch nicht alles getestet)

Man braucht übrigens das Beta Repository um die Storage Services zu installieren
pkg install --accept --deny-new-be storage/storage-server
 
Zuletzt bearbeitet:
zpool status sagt alles gut:


Code:
nas4free: ~ # zpool status -v Datenpool  pool: Datenpool
 state: ONLINE
  scan: scrub repaired 0 in 4h16m with 0 errors on Sat Oct 24 02:08:12 2015
config:


        NAME          STATE     READ WRITE CKSUM
        Datenpool     ONLINE       0     0     0
          raidz1-0    ONLINE       0     0     0
            ada0.nop  ONLINE       0     0     0
            ada1.nop  ONLINE       0     0     0
            ada2.nop  ONLINE       0     0     0
            ada3.nop  ONLINE       0     0     0


errors: No known data errors


Demzufolge ist der letzte Scrub schon etwas her, mach ich dann gleich mal.


Email-Benachrichtigungen würde ich mir natürlich gerne einrichten, hab das aber nie erfolgreich hinbekommen - auch regelmäßige SMART-Tests nicht. Gehört zwar in den NAS4FREE-Thread, aber falls hier jemand helfen kann, schreibt mir gerne :d
 
Guten Tag,

hab ne Frage zur Anzahl der Festplatten in meinem geplanten RaidZ2. Geplant wäre für den Anfang 5x6 TB zu kaufen, da mehr Speicherplatz aktuell nicht benötigt wird und ich noch Aufrüstoptionen hätte ohne einen neuen HBA.
Laut diesem Beitrag How I Learned to Stop Worrying and Love RAIDZ | Delphix dürfte es mit eingeschaltener Kompression auf die Perfomance keine großen Auswirkungen haben, trotz dem nicht durch einen geraden Nenner teilbaren "Block Sizes".
Bin ich soweit mit meiner Überlegung richtig,oder habe ich was überlesen/falsch verstanden?

Vielen Dank schonmal.

Gesendet von meinem SM-G935F mit Tapatalk
 
Guten Tag,

hab ne Frage zur Anzahl der Festplatten in meinem geplanten RaidZ2. Geplant wäre für den Anfang 5x6 TB zu kaufen, da mehr Speicherplatz aktuell nicht benötigt wird und ich noch Aufrüstoptionen hätte ohne einen neuen HBA.
Laut diesem Beitrag How I Learned to Stop Worrying and Love RAIDZ | Delphix dürfte es mit eingeschaltener Kompression auf die Perfomance keine großen Auswirkungen haben, trotz dem nicht durch einen geraden Nenner teilbaren "Block Sizes".
Bin ich soweit mit meiner Überlegung richtig,oder habe ich was überlesen/falsch verstanden?

Vielen Dank schonmal.

Gesendet von meinem SM-G935F mit Tapatalk

Die "nichtoptimale" Anzahl von Platten hat vor allem Auswirkung auf die Kapazität ohne Kompress. Mit Kompress auf Blockeben ist das nicht mehr relevant. Auf die Performance hat das eh keinen direkten Einfluss. Eine höhere Blocksize als 128k verringert den Effekt eh grundsätzlich.

Wenn die Daten komprimierbar sind, gibt es bei geringer Extralast höhere Performance da weniger Daten geschrieben/gelesen werden. Auch wenn die Daten nicht kompromierbar sind, sind kaum negative Effekte feststellbar - bis auf high-performance Anwendungen wenn man ganz genau weiß dass Daten sehr schlecht komprimierbar sind.
 
Hi,

ich bin gerade nach einigen Wochen nach hause gekommen und habe festgestellt, dass ich täglich solche nachrichten bekomme:

ZFS has detected an io error:

eid: 98
class: io
host: thor
time: 2018-02-04 17:13:38+0100
vtype: disk
vpath: /dev/disk/by-partlabel/6on6_1
vguid: 0xA260BBAFB4D7A299
cksum: 0
read: 0
write: 0
pool: tank

Betroffen sind alle platten die ich habe...

zpool status sagt aber (die nachrichten sind schon vor diesem scrub aufgetreten):

pool: tank
state: ONLINE
scan: scrub repaired 4K in 11h16m with 0 errors on Sun Jan 14 11:41:28 2018
config:

NAME STATE READ WRITE CKSUM
tank ONLINE 0 0 0
mirror-0 ONLINE 0 0 0
6on6_1 ONLINE 0 0 0
6on8_1 ONLINE 0 0 0
mirror-1 ONLINE 0 0 0
6on6_2 ONLINE 0 0 0
6on8_2 ONLINE 0 0 0
logs
mirror-2 ONLINE 0 0 0
42b0f675-7f3f-4bde-8492-f7a6cb7b6d9f ONLINE 0 0 0
fe22a36c-96ca-4a8f-9eca-fd65a6e06389 ONLINE 0 0 0
cache
557361bf-7b5d-4a63-b1fb-f1c33e317fd5 ONLINE 0 0 0
e51eaaf3-9fa0-4aa0-b93d-d6e4682e3ecc ONLINE 0 0 0
spares
6on6_hotspare AVAIL

errors: No known data errors

Hat jemand ne idee, was das zu bedeuten hat und wie ich das debuggen kann?
 
Mal ne Frage: Von dedup wird ja eher abgeraten, weils zuviel Speicher braucht. Ich habe hier aber einen relativ kleinen SSD Pool (250GB), hier würde sich das ganze doch stark in Grenzen halten vom Speicherbedarf. Wäre es dennoch unklug das auf diesen Pool zu aktivieren? Gespeichert sind dort VMs und auch ein paar Dateien welche doppelt abgelegt sind.

edit: Unter "sol" taucht Mediatomb im Menü unter "LX zones" auf bei frischer Installation mit der omniosce. Glaube das ist so nicht gewollt;)

Nachdem ich unter "Select Language" auf de_DE UTF8 umgestellt habe scheint irgendwie meine systemuhr um ne Stunde zurückgestellt worden zu sein, also im Zusammenhang mit dieser Einstellung. Sonstige Einstellungen Europa/Berlin usw. sind korrekt. Die BIOS Uhr läuft auf UTC. Habs eigentlich schon bei der Installation korrekt gesetzt, allerdings zeigte Nappit af_za an, also Südafrika. Nachdem ich das auf de_DE UTF8 korrigiert habe, hat er aber meine Uhr jetzt zurückgestellt auf UTC.

Also alles war korrekt bis ich das Menü über Napp-it benutzt habe, seitdem passt es nicht mehr. "Select Language" stnad wie gesagt auf af_za aber das hat mit der Zeit ja nichts zu tun.
 
Zuletzt bearbeitet:
Ich hab dedup bisher nicht getestet, i.w. nur abratendes. Beachte bitte, dass Dedup ZFS-blockweise und nicht dateiweise arbeitet. Da gleiche Dateien in VM-Images aber gerne auf anderen logischen Sektoren sitzen, bringt das nichts.
Ich persönlich nutze nur LZ4.
 
Prüfsummenfehler + Inconsistentes Filesystem, das Ding ist kaputt (zumindest Boot-Dateisystem, eventuell die ganze Bootplatte.)

Wenn das System noch bis zur Auswahl einer Bootumgebung bootet, kann man eine ältere Bootumgebung z.B. vor letztem Update versuchen, ansonsten Bootplatte ausbauen, eventuell noch mit einem Plattentesttool prüfen. Ansonst neue Bootplatte besorgen, System neu aufspielen, napp-it installieren und Datenpool importieren.

http://www.napp-it.org/doc/downloads/setup_napp-it_os.pdf

Danke für den/die Tips,
nach Tagen habe ich es endlich hinbekommen OmniOS auf einem USB Stick zu installieren.
Konnte dann den Pool, leider nur, lesend einladen.
Aber immerhin komme ich an die Daten.

Habe mir ein Synology nun bestellt. Ist zwar auch kein allerheil Mittel, aber ich habe keine Zeit mehr mit in die Themen Einzuarbeiten.
Nachmals Danke!

War mir nur wichtig, kurz feedback zu geben.
 
Nur zum Lesen der Daten könnte man auch einfach z.B. OpenIndiana Live von CD/USB booten und den Pool importieren. Dazu muss man garnichts installieren, das läuft direkt von CD oder USB mit grafischer Oberfläche (wobei eine OmniOS 151024 Installation auch in wenigen Minuten erledigt ist, inkl Netzwerkkonfiguration) - wobei ich USB boot ever vermeiden würde.

Woran lag es denn, dass die Installation Tage dauerte (Würde mich interessieren um eventuell die Doku da zu verbessern)
 
Nur zum Lesen der Daten könnte man auch einfach z.B. OpenIndiana Live von CD/USB booten und den Pool importieren. Dazu muss man garnichts installieren, das läuft direkt von CD oder USB mit grafischer Oberfläche (wobei eine OmniOS 151024 Installation auch in wenigen Minuten erledigt ist, inkl Netzwerkkonfiguration) - wobei ich USB boot ever vermeiden würde.

Woran lag es denn, dass die Installation Tage dauerte (Würde mich interessieren um eventuell die Doku da zu verbessern)

Es lang vermutlich an den Dateien, die ich runtergeladen hatte evtl in Verbindung mit dem HP N36L?!
Habe nämlich OmniOS sowie OpenIndiana ausprobiert und hatte schon fast aufgegeben.
Geklappt hat es erst mit einem älteren Image. Von deinem Link
Index of /omnios/
und der ältesten Datei.
Ob es da tatsächlich Änderungen gab die mit dem N36L nicht zusammenpassen weiß ich nicht.
Bei mir lief der Installationsprozess nicht so wirklich durch.

Beim openindiana war es so, dass ein gnome-Mount Fehler kam und ich daher das nicht installieren konnte.

Da ich aber noch nicht sooo viel mit den OS´s zu tun hatte und jetzt auch Zeitlichen gründen das letzte mal schon eine Weile her ist, kommt dem ganzen nicht förderlich hinzu.
Dh. ein Teil lag sicher an meiner Unwissenheit
 
@gea:

Was läuft denn falsch wenn ich die Bios Uhr auf UTC stehen habe, die Region über Nappit korrekt einstelle die Systemuhr dann aber eine Stunde zu früh läuft.
Direkt beim OmniOS Setup eingestellt läuft sie korrekt, sobald man aber über das entsprechende Menü in Nappit was umstellt zB die Sprache, ist sie falsch
 
ZFS Verschlüssellung als Dateisystem-Eigenschaft
ist ja seit jahren In Oracle Solaris enthalten (und hoffentlich bald in Open-ZFS)

Nicht zuletzt wegen der DSGVO die auf technischer Ebene Datenschutz nach Stand der Technik vorschreibt, sehe ich Verschlüssellung als gefordert an damit ein Hardwarediebstahl oder ein Hack nachts nicht zum Daten-Gau wird. Leider unterscheiden die bisherigen Verschlüssellungsoptionen nicht zwischen Anwendungsbereichen (haben nur einen Generalschlüssel) oder erfordern wie im Fall von Solaris dass der Storageadmin alles oder einzelne Dateisysteme manuell ver- oder entschlüsselt.

Ich habe mir nun überlegt, dass es sinnvoll wäre wenn einzelne Dateisysteme (=SMB Shares) wie Mitarbeiter, Forschung, Prüfungsverwaltung oder Buchhaltung etc nicht nur mit einem eigenen Schlüssel ent/verschlüsselt sind, sondern daß das Verschlüsseln/ Entschlüsseln auch von den Benutzern z.B. Abteilungsleitern selber ohne Admin oder Zugriff auf die Storage-Management Software oder deren Konsole möglich sein soll. Erreicht wird dies durch überwachte Ordner in einem SMB Share. Zusätzlich plane ich ein automatisches Entschlüsseln z.B. Morgens bei Arbeitsbeginn und ein automatisches Verschlüsseln abends, jeweils nur an den Tagen an denen gearbeitet wird.

Für das Backup kann damit Wahlweise auf unverschlüsselte Daten zu bestimmten Zeiten zugegriffen werden oder
eben per ZFS Replikation die verschlüsslten Daten per Replikation gesichert werden.

So funktionierts:
- Anlegen eines verschlüsselten Dateisystems mit dem Key auf einem Dateisystem (z.B. via Pool auf iSCSI) oder https url
- Aktivieren von userlock für einzelne Dateisysteme im Menü ZFS Dateisysteme > Encryption
- Start des autolock Dienstes im Menu Services

Der Service erzeugt ein Dateisystem UserEncryption mit überwachten Ordner je verschlüsseltes Dateisystem darin.
Der Zugriff darauf wird per ACL geregelt

In den Unterordnern für die verschlüsselten Dateisysteme gibt es überwachte Ordner =lock und =unlock
sowie eine Steuerdatei =switcher.move. Wenn man die in einen der überwachten Ordner =lock/=unlock
verschiebt erfolgt die Ver/Entschlüssellung.

Der aktuelle Status wird durch eine Datei service.xx_yy angezeigt (xx=service status, yy=Lockstatus)


Die Funktion User-Lock/Unlock ist in napp-it Dev 18.03 (feb 06) enthalten
Wer die unter Solaris 11.3 oder 11.4 nutzt kann das ja mal testen und Rückmeldungen geben
 
Zuletzt bearbeitet:
Klingt super, jetzt braucht man dann nur noch ein sicheres Storage für den key. Würden sich da nicht zB diese KMS Server anbieten ?
 
Zuletzt bearbeitet:
Solaris unterstützt pkcs11 als Keysource
https://docs.oracle.com/cd/E53394_01/html/E54801/gkkih.html

Ich habe das aber nicht.
Wobei ein Ordner auf einem abgesicherten iSCSI Target oder SMB mount auch schon ok ist.
Ein nur für diesen Host erreichbare https url eventuell als PHP/Perl Script mit name+pw authentifizierung sollte aber ähnlich sicher sein und kann einfacher eingerichtet werden.

Wichtig ist nur dass andere nicht darauf nicht zugreifen können und der Server nach Diebstahl die Keys nicht erhält.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh