Nach vielen Jahren der Serverabstinenz habe ich nun wieder ein NAS zu Hause.
Das soll aber nicht 24h online sein, sondern nur bei Bedarf.
Das starten bewerkstellige ich mit Wake on LAN
Code: Alles auswählen
alias WO='wakeonlan 00:fd:45:fc:60:24'
Drei erste Anwendungen habe ich dabei im Auge;
- Ein Backup der heimischen Rechner
Also die /home Verzeichnisse ohne Video, Audio und Foto
- PhotoPrism
Eine KI-gesteuerte App zum Durchsuchen, Organisieren und Teilen meiner Fotosammlung.
Ich möchte meine Fotosammlung nicht mehr in meiner Nextcloud und auch nicht mehr bei Google hosten.
- paperless-ngx
zur zentralen Dokumenten-Verwaltung (Dokumente digitalisieren)
Der Titel lautet ja "NAS braucht man das?"
Ich meine, das sollte jeder für sich entscheiden.
Das NAS.
Mein NAS habe ich mit einem gebrauchten HP Proliant Microserver Gen8 gebaut. Darauf läuft ein openmediavault
Der Server ist also gebraucht und die Festplatten darin schon etwas älter. Ich habe ein RAID 6 konfiguriert. Gegen Hardwareausfälle ist das nun schon mal keine schlechte Idee.
Wie wir alle wissen, ersetzt ein Raid aber kein Backup.
Das sichern des NAS
Das ist das Thema dieses Adventstürchen.
Der Grund für ein Backup des NAS ist, dass USB-Backups vor allem gegen Hardware-Defekte und versehentliches Löschen helfen.
Mein Backup Script besteht aus 2 Teilen
- diskmount.sh
Das Script identifiziert das angeschlossene Laufwerk und versucht das Laufwerk mit LUKS zu mounten
- backup2usb
Das eigentliche Backup Script
Ich zeige hier, wie ich den Gesamtinhalt des NAS auf eine USB-Disk sichere.
Nun denke ich, dass es eine gute Idee ist, das Backup zu verschlüsseln, damit man das Backup auch mal bei Nachbarn oder Freunden lagern kann.
Dazu muss man zuerst die Harddisk verschlüsseln. (Voraussetzung cryptsetup ist installiert)
Schritt 1:
Code: Alles auswählen
cryptsetup --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 3000 -v luksFormat /dev/DEVICENAME
Hiermit werden die Daten auf »DEVICENAME« unwiderruflich überschrieben.
Sind Sie sicher? (Tippen Sie 'yes' in Großbuchstaben): YES
Geben Sie die Passphrase für »DEVICENAME« ein: # Das kann ein beliebig komplexes Passwort sein
Passphrase bestätigen: # Wir werden es nur ganz selten benötigen, wenn man
Schlüsselfach 0 erstellt. # die Setup Prozedur außen vor lässt.
Befehl erfolgreich.
siehe auch https://linux-blog.anracom.com/2018/11/ ... ahrens-ii/
Eine Passphrase haben wir nun, doch wer möchte das andauernd eingeben müssen...
Deshalb legen wir nun legen nun ein Keyfile an,
was damit die Eingabe der Passphrase erübrigt und ein halb automatisches mounten und unmounten mit Hilfe von diskmount.sh ermöglicht.
Der Begriff LABEL muss angepasst werden und kann weitgehend frei gewählt werden.
Ich verwende z.B für eine WD 1TB Platte "WD-1TBA". Bitte Sonderzeichen vermeiden!
Man muss nur darauf achten, dass man eindeutige Ausdrücke verwendet, weil das Script diskmount.sh damit umgehen muss.
Keyfile erzeugen: (DEVICENAME anpassen)
Code: Alles auswählen
dd if=/dev/urandom of=/root/.LABEL bs=512 count=8
fdisk -l /dev/DEVICENAME
cryptsetup luksAddKey /dev/DEVICENAME /root/.LABEL
cryptsetup luksOpen /dev/DEVICENAME LABEL --key-file=/root/.LABEL
(Insgesamt kann man bis zu 6 Slots anlegen, egal, ob weitere Passphrasen, oder wietere Key-files)
Das Filesystem auf dem Device anlegen.
(-m 0 # Keinen Platz für root reservieren)
Code: Alles auswählen
mkfs.ext4 -L [b]LABEL[/b] -m 0 /dev/mapper/[b]LABEL[/b]
Da das Device nun bereits offen ist, kann nun mit
mount /dev/mapper/[b]LABEL[/b] /mnt
das neue LuksDevice eingebunden werden.
Fast fertig, Einstellungen
Zur Verwendung mit diskmount.sh ist LABEL nun fast bereit.
Nun sollte man sich mit diskmount.sh ohne Parameter die Seriennummer des gerade verschlüsselten ausgeben lassen
und zusammen mit dem Label im Script diskmount.sh mit einem Editor
als Case Option eintragen.
Ein Beispiel ist bereits eingegeben.
Links:
Die beiden Scripte können hier geholt werden:
https://codeberg.org/whisper/backup2usb
und die aktuelle Beschreibung befindet sich auch im Wiki https://codeberg.org/whisper/backup2usb/wiki/backup2usb
----
ps: Die Fotos usw. sind auf meinem Server, entgegen der Prämisse die hier in der Galerie zu speichern. Dort sind sie leider die Fotos bzw. Screenshots sofort für alle sichtbar. Ich wollte sie erst gemeinsam mit diesen Artikel freischalten.
pps: Warum die Spielerei mit den grafischen Rahmen um fast alle Meldungen?
Das hat doch sicherlich viel Zeit gekostet und bläht die Scripte doch unnötig auf!
Stimmt, aber es ist Weihnachten und ich hatte Spaß dran!