Aktuelles

[Sammelthread] ZFS Stammtisch

gea

Active member
Mitglied seit
16.11.2010
Beiträge
3.856
Wenn mehrere Platten kommen und gehen würde ich den Rechner herunterfahren und die Steckkontakte (Sata, SAS, Power, Steckkarten) auf festen Sitz prüfen.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

frittes

Member
Mitglied seit
16.04.2017
Beiträge
47
Habe alle VMs runtergefahren und napp-it neugestartet, seitdem bleiben die Platten. Habe allerdings auch omniOS upgedatet.

Heute habe ich mich mit den ACLs beschäftigt. Ich habe eine ZFS-Filesystem, wo reset-acl absolut nicht funktioniert. Habe rumgetestet und möchte nun die ACLs zurücksetzen. Aber es wird nur user:root geschrieben, obwohl ich modify.recursiv wähle. Das Filesystem ist wirklich wichtig, wie kann ich es beheben? Habe schon jeden Ordner einzeln gemacht, aber es geht immer wieder in diesen Zustand zurück.

Bildschirmfoto 2020-02-04 um 22.57.31.png

Wie lautet der cmd-Befehl, dann könte man mal schauen was schief läuft...
 

gea

Active member
Mitglied seit
16.11.2010
Beiträge
3.856
Napp-it führt folgende Befehle bei recursivem everyone=modify (+ root=full) aus

Code:
/bin/chmod -r A=user:root:full_set:file_inherit/dir_inherit:allow Pfad
/bin/chmod -r A1+everyone@:modify_set:file_inherit/dir_inherit:allow Pfad

Alternativ:
Von Windows per SMB als root anmelden und von da Rechte setzen oder rücksetzen.
Lediglich deny Rechte darf man von Windows nicht setzen, da Windows zuerst deny dann allow beachtet, während Solaris wie bei einer Firewall die Rechte in ihrer Reihenfolge durchgeht und beachtet.
 

frittes

Member
Mitglied seit
16.04.2017
Beiträge
47
Ich habe nun auf das aktuelle OmniOS032 upgedatet und nun steht folgendes bei den Pools:

Bildschirmfoto 2020-02-06 um 20.38.17.png

Kann ich "zpool upgrade" bedenkenlos durchführen?
 

Trambahner

Active member
Mitglied seit
14.08.2014
Beiträge
1.370
Ort
Serverraum
Sofern Du den Pool nicht in älteren Versionen verwenden willst: ja. Willst du mit der älteren Version kompatibel bleiben: nicht machen.

Es werden bei OpenZFS permanent Features nachgerüstet/erweitert. Die Meldung sagt nur, dass das aktuelle OS halt nicht alle Features nutzt, weil der Pool eine ältere Version hat.
Der Pool braucht man eigentlich aus meiner Sicht nur upgraden, wenn man diese Features auch nutzen will.
 

gea

Active member
Mitglied seit
16.11.2010
Beiträge
3.856
Ea stehen vor allem folgende Features nach einem Pool Upgrade
unter dem neuen OmniOS zur Verfügung:

- ZFS Verschlüssellung
- special vdevs
 

frittes

Member
Mitglied seit
16.04.2017
Beiträge
47
Seit dem Upgrade auf OmniOS v11 r151032l funktioniert TLS Mail leider nicht mehr.

Bildschirmfoto 2020-02-08 um 11.42.43.png

Wenn ich per CPAN versuche, IO::Socket::SSL nach zu installieren, kommt folgender Fehler:

Bildschirmfoto 2020-02-08 um 11.44.06.png

Passiert bei napp-it 18.12 und 19.10.

Perl ist folgende Version installiert:

Bildschirmfoto 2020-02-08 um 11.45.19.png
 

Luckysh0t

Active member
Mitglied seit
08.11.2009
Beiträge
1.072
Ort
Im a tea pot
Hallo zusammen,

@gea

Eine Frage zu dem smb lock/unlock Feature aus deinem Napp-it.

Kann man es auch so einsetzten, dass ich ein share von meinem PC in Solaris/Napp-it mounte inkl. einer definierten Datei (ohne inhalt, oder zumindest ohne Kennwort) und sobald Solaris/Napp-it diese Datei nicht mehr findet (z.B herunterfahren des PC) verschlüsselte Filesysteme locked ?

Also ohne auto unlock und mit einer Datei die das Kennwort nicht enthält.



Gruß Lucky
 

gea

Active member
Mitglied seit
16.11.2010
Beiträge
3.856
Seit dem Upgrade auf OmniOS v11 r151032l funktioniert TLS Mail leider nicht mehr.
TLS Unterstützung muss das OS bereitstellen, hat mit der napp-it Version nichts zu tun. TLS/SSL ist aber was kritisches da ständig neue Versionen von OpenSSL kommen und es nann gerne zu Inkompatibilitäten kommt bis die Perl Module nachziehen. Ich hatte nach Updates (besonders bei Versionen vor 028) auf aktuelles OmniOS auch schonmal Probleme. Ich habe dann 151032 neu intstalliert. Da hatte ich bisher noch kein Problem. Es gibt aber ein OpenSSL Update mit 151032h, https://github.com/omniosorg/omnios-build/blob/r151032/doc/ReleaseNotes.md - ich muss das aber selbst noch testen.

update:
Bei einem Update von einem älteren OmniOS mit Compiler gcc48 kann es passieren, dass kein Compiler mehr installiert ist, da gcc48 nicht mehr unterstützt wird. Dann einen neuen Compiler wie gcc7 installieren (pkg install gcc7) oder wget napp-it installer nochmal laufen lassen.

Beitrag automatisch zusammengeführt:

Hallo zusammen,

@gea

Eine Frage zu dem smb lock/unlock Feature aus deinem Napp-it.

Kann man es auch so einsetzten, dass ich ein share von meinem PC in Solaris/Napp-it mounte inkl. einer definierten Datei (ohne inhalt, oder zumindest ohne Kennwort) und sobald Solaris/Napp-it diese Datei nicht mehr findet (z.B herunterfahren des PC) verschlüsselte Filesysteme locked ?

Also ohne auto unlock und mit einer Datei die das Kennwort nicht enthält.
Gruß Lucky
Aktuell legt Windows eine Lock/Unlock Steuerdatei auf eine SMB Freigabe um ein Dateisystem zu ent/verschlüsseln. Damit das wie angesprochen funktionieren könnte, müsste Solaris eine SMB Freigabe von Windows mounten (oder per Ping prüfen) ob Windows noch an ist.

Dafür ist das unlock Feature nicht ausgelegt. Erreichen könnte man sowas mit einem "other Job" und einem Script das bei einem unlocked Dateisystem per Ping prüft ob ein Client noch an ist. Als general use Feature bei einem Multiuser Filer nicht so ein Thema.

ps
Das SMB Lock/Unlock/Autolock Feature wird gerade überarbeitet und kommt dann auch für OmniOS (nächste Pro Version 20.x) zusammen mit webbasierten Keys, optional gesplittet auf zwei Webserver und HA Keyserver für größere Installationen.
 
Zuletzt bearbeitet:

Luckysh0t

Active member
Mitglied seit
08.11.2009
Beiträge
1.072
Ort
Im a tea pot
Ok.Mit dem Ping habe ich schon probiert mir ein script zu "schreiben".Aber da bin ich nicht wirklich firm.

Bash:
#!/bin/sh
ping 192.168.1.140 ;  echo $?
 
if [ ergebnis aus $?  was 1 ist, bei nicht erreichbarkeit ]
then
    zfs key -u Ironwolf/Backup
else
 "goto" gibt es ja hier nicht, was wäre hier eine möglichkeit ? reapeat, continue ?
Ich stecke jetzt hier fest. Wie bekomme ich den Errorlevel als Variable genutzt für den "if" Punkt + beendigung des Scripts und wie wiederhole ich das Script solte die Bedingung nicht erfüllt werden.
 

gea

Active member
Mitglied seit
16.11.2010
Beiträge
3.856
Perl wäre einfacher und mächtiger als Shellscript.
Sowas in der Art.

Code:
!#/usr/bin/perl
my ($r,$p);

$r=`zfs get -H -o value keystatus Ironwolf/Backup`;  # unlocked?
chomp($r);

if ($r eq "available") {                             # filesystem unlocked
  $p=`ping 192.168.1.140 1`;       
  chomp($p);

  if (!($p=~/alive/))  {
    `zfs key -u Ironwolf/Backup`;
  }
}
exit;
 
Zuletzt bearbeitet:

gea

Active member
Mitglied seit
16.11.2010
Beiträge
3.856
napp-it v20.x

Ich habe eine Vorab Version von napp-it 19.12 noncommercial und v20.01 Pro hochgeladen
um die neuen Features von Solaris und OmniOS/ OpenIndiana zu unterstützen.

- ZFS encryption mit web/filebased keys, einen http/https Keyserver mit HA Option,
Keysplit für zwei Speicherorte, automount nach Reboot und User lock/unlock via SMB
http://napp-it.org/doc/downloads/zfs_encryption.pdf

- special vdevs

- trim

- force ashift when adding a vdev

- protection against accidentially adding a basic vdev to a pool

mehr (alle Features from 19.dev)
 

you

Member
Mitglied seit
28.12.2016
Beiträge
178
Ort
Dresden
napp-it v20.x

Ich habe eine Vorab Version von napp-it 19.12 noncommercial und v20.01 Pro hochgeladen
um die neuen Features von Solaris und OmniOS/ OpenIndiana zu unterstützen.
This is cool. Danke gea.

An sich ist ZFS mit napp-it ja recht langweilig. Set and forget. Aber auf Encryption wartete ich schon ein bissl. Für die Backup-Festplatten ist das Ganze im "manuellen" Modus auch gut mit "Key auf und zu" handlebar. Bei festen Shares fürs Heim war das bislang etwas umständlich. Insbesondere nach einem Reboot. Deine Lösung habe ich in der PDF kurz überflogen. Ich denke ich verstehe das Prinzip ... macht Sinn ... ich werde es nach den Winterferien ausprobieren (y)

Und für alle Anderen 8-)

So, wie napp-it gepflegt wird und mit dem OS mit wächst - und in diesem Fall einen großen Schritt nach vorne macht - und so, wie gea hier ständig völlig unaufgeregt und mit profundem Wissen hilft (auch zum wiederholten Male zum selben Thema), kann ich nur noch einmal auf die Home-Lizenz von ihm verweisen. Das Geld ist mehr als gut angelegt und aus meiner Sicht ein probates Dankeschön.

Cheers
 

gea

Active member
Mitglied seit
16.11.2010
Beiträge
3.856
Das geht ja schnell. Ich habe bereits Rückmeldungen zur neuen Version 20. In dieser Version werte ich nicht nur den Plattenzustand per Smart Tests aus (ok/failed) sondern analysiere einzelne Smart Parameter die man als Anhaltspunkte für künftige Probleme sehen kann. Bei Überschreiten einer Schwelle wird eine "Problem" Meldung in der Plattenübersicht angezeigt. Es kam jetzt sofort die Frage auf, ob die Platten defekt seien.

Nein: Defekt sind sie (noch) nicht.

Ich würde aber sagen, in einem kritischen Produktivsystem würde ich die Platten tauschen, sie können aber auch noch jahrelang halten. At home/Lab könnte man die Meldung eher ignorieren.

Abschalten kann man die Hintergrund Smart Checks im Menü Services > ACC

vgl
 
Zuletzt bearbeitet:

Luckysh0t

Active member
Mitglied seit
08.11.2009
Beiträge
1.072
Ort
Im a tea pot
Solltest du das in dein Napp it integrieren können, könnte man damit ja "einfach" ein offsite Backup gezielter Datasets (oder wie auch sonst realiserte Quellen) zu amazon S3 Glacier machen und dank verschlüsselung auch "sicherer".

Sollte es soooo "einfach" sein - ich hab leicht reden, ich muss es ja nicht entwickeln ;)


Aber spannend allemal.
 

VirtuGuy

Member
Mitglied seit
21.12.2015
Beiträge
554
Wir haben eine größere minio Installation als Archiv für Veeam. Nicht ganz so Rund wie Ceph, tut aber soweit recht unauffällig seinen Dienst.
 
Oben Unten