2FA bei einer Synology NAS mit TOTP

Immer wieder hört man von Ransomware (bzw. Krypto-Trojanern), welche Daten auf Servern und Storagesystemen verschlüsseln und Lösegeld erpressen. Umso wichtiger ist es somit seine NAS-Systeme (Network Attached Storage) gegen so etwas abzusichern. Oft wird dazu die sogenannte 2FA (Zwei-Faktor-Authentifizierung) verwendet.

Die Zwei-Faktor-Authentifizierung (2FA) ist eine Technik, um die Benutzerkonten vor unberechtigtem Zugriff zu schützen. Sie funktioniert durch zwei verschiedene Identitätsbeweise. Der erste Beweis ist etwas, das nur Ihr wisst: Euer Passwort. Der andere Beweis ist meistens ein PIN, der über eines eurer Geräte angezeigt wird und sich alle 30 Sekunden ändert. Dazu wird üblicher Weise der TOTP (Time-based One-time Password Algorithmus) Standard verwendet.

Seit Synology in diesem Sommer für seine NAS-Systeme den DSM (DiskStation Manager) in der Version 7 rausgebracht hat, wird 2FA unterstützt. Und es ist jedem anzuraten, diese auch zu verwenden. Falls Ihr noch die alte Version 6 verwenden sollten, habe ich in dem Artikel „Synology Diskstation Manager 7.0“ beschrieben, wie man ein Upgrade durchführt.

Wenn man ein Smartphone hat, benötigt man für die Zwei-Faktor-Authentifizierung lediglich eine App die den TOTP (Time-based One-time Password Algorithmus) beherrscht. Ich selber nutze dazu aktuell 1Password. Es gibt aber auch diverse kostenlose Apps, welche diesen Standard beherrschen (z.B. Google Authenticator oder Microsoft Authenticator). Im folgenden Artikel werde ich erklären, wie man eine 2FA über TOTP für einen Benutzer im DSM einrichtet. Falls Ihr lieber ein Video mit einer Anleitung anschauen möchtet, verlinke ich hier auch ein Anleitungsvideo zu dem Thema, das ich auf YouTube hochgeladen habe.

Wie richtet man eine 2FA für einen Benutzer bei DSM ein?

Um die Zwei-Faktor-Authentifizierung bei einem Benutzer im DSM einzurichten, meldet man sich zunächst mit diesem an. Danach klickt man auf das Personen-Symbol oben rechte in der Ecke (siehe roter Kreis auf dem folgenden Screenshot).

In dem sich aufklappenden Menü wählt man dann den Menüpunkt „Persönlich“ aus und es öffnet sich eine Seite mit den persönlichen Einstellungen des Benutzers. Etwas weiter unten auf dieser Seite gibt es dann den Abschnitt „Anmeldemethode“. Dadrunter gibt es einen Bereich mit der Überschrift „2-Faktor-Authentifizierung“ (siehe blaues Viereck auf dem folgenden Screenshot). Wenn man auf diesen klickt, öffnet sich ein Einrichtungsdialog, der einen durch die Einrichtung der Zwei-Faktor-Authentifizierung führt.

In dem Dialog wird man zunächst nach der Methode gefragt. Synology bietet hier verschiedene an. Wie eingangs beschrieben wollen wir die Methode nach dem TOTP Standard verwenden. Deshalb wählen wir hier die Methode OTP aus (siehe blaues Viereck). Synology verzichtet in der Bezeichnung der Methode auf das „T“ von „TOTP“. Das kann an dieser Stelle leicht verwirren.

Nach der Auswahl der Methode, wird man nach seinem Passwort gefragt. Nach erfolgreicher Eingabe von diesem, erscheint ein allgemeines Hinweisfenster mit Informationen zu 2FA. Mit dem „Weiter“ Knopf gelang man im Anschluss zu einem Fenster mit Informationen zu der Installation der App „Synology Secure SignIn“. Wie bereits geschildert, kann man aber jede App verwenden, die den TOTP Standard unterstützt. Sofern man eine solche bereits installiert hat, benötigt man die App „Synology Secure SignIn“ also nicht. In diesem Fall klickt man einfach wieder auf „Weiter“ und ladet endlich in der eigentlichen Einrichtung von TOTP (siehe Screenshot).

Die konkrete Einrichtung von TOTP besteht jetzt aus zwei Schritten.

  • Scannen des angezeigten QR Codes mit der TOTP App.
  • Bestätigung des erfolgten Scanns durch Eingabe des richtigen PINs

Sobald man diese Schritte durchgeführt hat, ist die Zwei-Faktor-Authentifizierung aktiv. Sobald man sich mit einem neuen Gerät und seinem Benutzer an der Synology NAS anmeldet, wird man jetzt zusätzlich nach dem PIN gefragt. Erst nachdem man diesen mit Hilfe der TOTP App eingegeben hat, gelangt man auf den Desktop des DSM. Somit ist man zukünftig zusätzlich abgesichert, wenn einem das Passwort entwendet werden sollte.

Synology Diskstation Manager 7.0

Endlich ist die bereits sehnsüchtig erwartete Version 7.0 des DSM (DiskStation Manager) von der Firma Synology erschienen.

Für diejenigen von Euch die das DSM nicht kennen: Der DSM ist das Betriebsystem für die NAS Systeme der Firma Synology. Es beinhaltet eine Weboberfläche und diverse Anwendungen für die Verwaltung von Daten wie Dateien, Fotos, Videos, usw.

Bei der Version 7 verspricht der Hersteller das bislang größte Update für sein Betriebssystem. Dies war allerdings auch dringend nötig, da die Version 6.0 jetzt bereits vor mehr als 4 Jahren veröffentlicht wurde. Sie sollte eigentlich auch schon viel früher erscheinen. Synology hatte sich aber wiederholt entschieden, den Erscheinungstermin zu verschieben. Gerade bei einer Software für ein NAS (Network Attached Storage) ist dieses Vorgehen sicherlich auch sinnvoll, wenn die Software noch nicht wirklich stabil läuft. Schließlich kann eine Fehlfunktion hier auch immer gleich zu einem sehr unschönen Datenverlust führen.

Was sind die Neuerungen bei Version 7.0?

Das Motto des Launch-Events lautete „Smart. Simple. Reliable„. Damit unterstreicht Synology, dass neben diversen internen Erneuerungen und Verbesserungen auch die Oberfläche grundlegend überarbeitet und die Stabilität verbessert wurde. Die neue Benutzeroberfläche soll ein flüssigeres und intuitiveres Arbeiten ermöglichen. Zudem wurde auch der Speicher-Manager optisch aufgefrischt und hinsichtlich der Arbeitsgeschwindigkeit optimiert. Eine neue Live-Ansicht der Systemauslastung und das zentrales Analyse-Tool „Active Insight“ liefern deutlich detaillierte Informationen und werden die Administration deutlich vereinfachen. Die vielen Apps für Fotos, Musik und Videos wurden zu zwei Apps zusammengefasst und um viele neue Funktionen wie automatische Zusammenstellung von Alben und Sortierung nach erkannten Personen erweitert.

Wie wird das Update eingespielt?

Der DSM 7.0 läuft auf allen Modellen ab dem Jahr 2015. Falls Ihr das Update installieren möchtet, findet Ihr unter folgendem Link auf der Synology Seite: DSM7. Zudem erkläre ich in dem folgenden Video im Detail, wie man seine Synology aktualisiert. Getestet habe ich das Update auf meiner bereits 2017 erworbenen DS416play, über die ich in diesem Blog in dem Artikel „Test einer Synology DS416play mit DSM 6.1“ bereits berichtet hatte.

Test einer Synology DS416play mit DSM 6.1

Synology DS416play

Die taiwanische Firma Synology wurde im Jahr 2000 von den ehemaligen Microsoft Managern Cheen Liao und Philip Wong gegründet und hat sich zum Ziel gesetzt Network Attached Storage-Geräten (kurz NAS) mit umfangreicher Software auf Basis von Linux zu bauen. Dabei nennt Synology die Hardware DS (DiskStation) und die Software DSM (DiskStation Manager).

Als ich vor 10 Jahren die ersten NAS (Network Attached Storage) Geräte von Synology eingerichtet habe, war ich bereits überrascht wir groß der Funktionsumfang der Software und die Anpassungsmöglichkeiten dieser Geräte waren. Man merkte den Geräten aber an, dass sie eher für kleinere Firmen und den privaten Gebrauch gebaut wurden. Für den Einsatz in großen Firmennetzen waren sie noch nicht reif.

Inzwischen hatte ich einige Jahre keine Synology mehr in der Hand und es wurde höchste Zeit, sich so ein Gerät mit der aktuellen Software mal wieder näher anzuschauen. Als zudem noch mein Speicherplatz für das Backup meiner privaten Daten knapp wurde, beschoss ich mir ein aktuelles NAS der Firma Synology zuzulegen und dieses genauestens unter die Lupe zu nehmen.

Welches NAS von Synology ist für mich das beste?
Zunächst stellte sich die Frage, welches der aktuellen NAS-Geräte von Synology am ehesten für meine Bedürfnissen passt. Synology bietet inzwischen über 20 unterschiedliche NAS Geräte an, die für verschiedenste Einsatzzwecke ausgelegt sind. Es gibt sowohl für den Privatanwender als auch für Firmen verschiedener Größenordnungen passende Geräte zu finden. Für mich persönlich war eine große Speicherkapazität und ein geringer Stromverbrauch wichtig. Außerdem wollte ich gerne eine etwas leistungsfähigere CPU, um 4k Videos von dem NAS auf den Fernseher übertragen zu können. Nach einer Recherche im Internet entschied ich mich für das Model DS416play welches es aktuell bei Amazon für 442,19- € gibt. Es kann mit vier Platten bestückt werden und bringt eine etwas leistungsstärkere CPU mit. Mit vier Festplatten mit einer Größe von 4 TB und der Verwendung eines RAID (Redundant Array of Independent Disks) mit einer Festplatte für Redundanz erhält man über 10 TB Speicherplatz. Für meine privaten Zwecke ist das zunächst ausreichend. Zudem reicht die CPU der DS416play, um 4k Videos zum Fernseher zu übertragen.

Zusammenbauen und einrichten
Das zusammenbauen und einrichten des NAS ist für jemanden mit Computerkenntnissen schnell erledigt. Die Festplatten können ohne Schrauben eingebaut werden. Sobald man das Gerät anschaltet, holt es sich eine IP-Adresse per DHCP und ist über die URL http://diskstation:5000 erreichbar. Wenn man diese URL im Browser aufruft, landet man auf dem Desktop des DSM (DiskStation Managers). Dort kann man in der Systemsteuerung die Konfiguration des Gerätes vornehmen. Die vier von mir verbauten Festplatten hatte das NAS bereits automatisch zu einem SHR1 (Synology Hybrid RAID) zusammengefasst. Bei Bedarf kann das NAS natürlich auch andere RAID-Arten. Das SHR1 dürfte für die meisten aber auch das geeignetste RAID sein, da es am flexibelsten ist. Danach ist das Gerät prinzipiell einsatzbereit. Es gibt natürlich noch haufenweise kostenlose und kostenpflichtige Zusatzsoftware, die man über das sogenannte „Paket-Zentrum“ installieren kann. Ähnlich wie bei einem iPhone, ist das NAS damit nach Bedarf erweiterbar und kann zu einem kleinen Server mit diversen Funktionalitäten ausgebaut werden.

Fazit
Die NAS Systeme von Synology sind extrem erweiterbar, haben ein sehr gutes Preis-Leistung-Verhältnis und sind fast schon kleine Applikationsserver mit diversen Funktionen. Für den privaten Gebrauch und für kleine Firmen sind sie völlig ausreichend und mehr Leistung und mehr Funktionen sind für das Geld nicht zu bekommen. Ich kann diese Geräte sehr empfehlen.

Wenn man möchte gibts die Synology DS416play bei Amazon auch bereits bestückt mit Festplatten. Die Variante mit 12 TB Speicherplatz kostet bei Amazon aktuell z.B. gerade 995,- €.

Überwachung eines LSI SAS2 Controllers (SAS2008) mit Nagios

Der LSI SAS Controller wird durch das Kernel-Modul mpt2sas betrieben. Für das anzeigen des Status wird ein CLI Tool mit dem Namen sas2ircu benötigt. Aktuelle Debian bzw. Ubuntu Pakete sind auf der Webseite http://hwraid.le-vert.net/wiki/DebianPackages#no1 zu finden.

Damit man die Ausgabe dieses CLI Tools mit Nagios überwachen kann, benötigt man das Nagios-Plugin check_sas2ircu.

Damit das Nagios-Plugin funktionierte, muss es natürlich mit sudo gestartet werden. Damit dies funktioniert, muss man in die Datei /etc/sudoers noch die folgende Zeile eintragen:

nagios ALL=(ALL) NOPASSWD: /usr/lib/nagios/plugins/check_sas2ircu

Überwachung des 3ware Controllers SAS9750-8i mit Nagios

Um den Status eines RAID bei einem 3ware Controller abzufragen, gibt es ein CLI Tool mit dem Namen tw_cli. Jonas Genannt war so nett und hat dazu ein paar Debian-Pakete gebaut, die auch unter Ubuntu laufen. Diese findet man auf der Webseite http://jonas.genannt.name/ (Update: Leider gibt es diese Webseite nicht mehr und ich habe den Link deshalb entfernt.).

Die Ausgabe dieses CLI Tools kann man dann wiederum mit Nagios überwachen. Dadurch bekommt man sofort mit, wenn eine Festplatte ausfällt. Ich habe dazu das Nagios-Plugin check_3ware_raid_1_1 verwendet. Es gibt aber auch noch diverse andere.

Damit das Nagios-Plugin funktionierte, musste ich allerdings einen Softlink für das tw_cli im Verzeichnis der Nagios-Plugins anlegen und das Nagios Plugin mit sudo starten. Damit dies funktioniert, muss man in die Datei /etc/sudoers natürlich noch die folgende Zeile eintragen:

nagios ALL=(ALL) NOPASSWD: /usr/lib/nagios/plugins/check_3ware_raid_1_1

AHCI nachträglich bei Windows 7 oder Vista aktivieren

Als ich Vorgestern ein Image eines Windows 7 Computers auf neue Hardware übertrug stellte ich überrascht fest, dass der Bootvorgang mit einem Bluescreen durch einen stop 0x0000007B error beendet wurde. Dieser Fehler kommt, wenn Windows auf seine Bootfestplatte nicht zugreifen kann. Wenn er nach einem Hardwarewechsel auftaucht, hat man meistens einen falschen oder nicht vorhandenen Treiber für den neuen Festplattencontroller. In meinem Fall hatte das Windows 7 aber den normalen IDE Treiber von Microsoft, der mit den meisten Controllern zurecht kommt.

Nach längeren Tests fand ich dann heraus, dass Windows ohne Probleme bootete, wenn man im BIOS den Controller von AHCI auf IDE umstellte. Windows kann also nicht mit AHCI umgehen, wenn man es mit IDE installiert hat.

Nach dem lesen von diversen KB-Artikeln von Microsoft habe ich aber eine Lösung gefunden. Man kann nämlich in der Registry einstellen, dass die AHCI-Treiber von Windows beim Booten geladen werden. Danach bootet Windows auch mit einem AHCI-Controller. Im folgenden nun eine kleine Anleitung dafür (sie funktioniert zumindest bei Intel-Controllern):

  1. Den Controller im BIOS auf IDE stellen, damit Windows startet
  2. regedit starten
  3. In den beiden Schlüsseln HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\iastorv und HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msahci den Wert Start auf 0 setzen (das heißt er soll den Treiber gleich beim booten laden)
  4. Neustart von Windows und umstellen des Controllers im BIOS auf AHCI

Überprüfen der Festplattenauslastung bei Linux

Bei Servern will ab und zu die Festplattenauslastung überprüfen. Gerade wenn auf einem Server mehrere virtuellen Gäste laufen, ist es sehr interessant zu erfahren wie ausgelastet ein Controller bzw. die Festplatten an diesem sind. Um die Auslastung zu überprüfen eignet sich unter Linux meiner Meinung nach sehr gut das Programm iostat. Dies ist unter Debian/Ubuntu in dem Paket sysstat enthalten und lässt sich mit dem folgenden Befehl installieren.

apt-get install sysstat

Ich verwende meistens die Parameter d und x, gebe also den folgenden Befehl ein.

iostat -dx

Der Befehl erzeugt dann eine Tabelle mit den Daten zu allen IO-Devices aus der man die wichtigsten Infos über die Auslastung ablesen kann. Die Ausgabe sieht ungefähr wie folgt aus.

Linux 3.2.0-32-generic (ubuntu05)       26.10.2012      _x86_64_        (16 CPU)
 
Device:         rrqm/s   wrqm/s     r/s     w/s    rkB/s    wkB/s avgrq-sz avgqu-sz   await r_await w_await  svctm  %util
scd0              0,00     0,00    0,00    0,00     0,00     0,00     8,00     0,00   58,46   58,46    0,00  58,46   0,00
sda               0,00     5,97    0,00   11,19     0,02   520,12    92,98     1,77  158,44   36,01  158,48  11,82  13,22
sdb               0,02     0,64    1,24    3,31   109,92   322,72   190,03     0,09   20,04    2,74   26,54   1,59   0,72
dm-0              0,00     0,00    1,26    3,94   109,90   322,66   166,38     0,10   18,51    2,90   23,52   1,39   0,72
dm-1              0,00     0,00    0,00    0,02     0,01     0,07     8,00     0,00   47,59    3,78   56,58   1,80   0,00

Erweitern eines Datenträgers unter Windows Server 2003, Windows XP und Windows 2000

Im Gegensatz zu Windows 2008 und Windows 2008R2 ist es bei älteren Windows Versionen nicht möglich Partitionen über die Datenträgerverwaltung zu erweitern. Dies geschieht hier über das Kommandozeilentool diskpart.exe. Wenn man in einer Eingabeaufforderung diskpart.exe eingibt, erscheint eine Shell. In dieser kann man sich mit dem Befehl list volume eine Liste der Datenträger anzeigen lassen. Wenn man den richtigen identifiziert hat, kann man diesen mit select volume <datenträgernummer></datenträgernummer> auswählen und mit extend [size=n] [disk=n] [noerr] vergrößern. Dabei ist zu beachten, dass das Vergrößern nur funktioniert, wenn die Auslagerungsdatei nicht auf dem Datenträger liegt und das Betriebssystem nicht von dort gestartet wurde.

Nähere Informationen findet man bei Microsoft auf der Webseite unter dem folgenden Link: http://support.microsoft.com/kb/325590/de.

Oft möchte man aber bei einem älteren Windows 2003 Server eben genau die C-Partition mit dem Betriebssystem vergrößern, weil diese durch die ganzen Sicherheitsupdates inzwischen überläuft. Dank dem Blog root1024 habe ich dafür das Kommandozeilentool expart.exe von Dell entdeckt. Dieses Tool kann Systempartition (und natürlich auch andere Partitionen) einfach online (ohne Neustart) erweitern.

Linux: Austausch einer defekten Festplatte im Software-RAID

Der Status des Software RAID (Redundant Array of Independent Disks) wird bei Linux in der Datei /proc/mdstat festgehalten. Man kann sich den Status eines RAID also mit folgenden Befehl anzeigen lassen:

cat /proc/mdstat

Wenn z.B. die Festplatte /dev/sdb defekt ist, könnte die Ausgabe von wie folgt aussehen:

Personalities : [raid0] [raid1] [raid6] [raid5] [raid4] [raid10] [linear] [multipath]
md2 : active raid1 sdb3[2](F) sda3[0]
730202368 blocks [2/1] [U_]
 
md1 : active raid1 sda2[0] sdb2[2](F)
264960 blocks [2/1] [U_]
 
md0 : active raid1 sdb1[1](F) sda1[0]
2102464 blocks [2/2] [U_]

Details über die einzelnen RAID Devices kann man sich mit dem Befehl mdadm anzeigen lassen. Wenn man die Details von md1 sehen möchte gibt man also den folgenden Befehl ein:

mdadm --detail /dev/md0

Bevor eine neue Festplatte verbaut wird, sollte jetzt zunächst die defekte Festplatte aus dem RAID entfernt werden.

mdadm /dev/md0 -r /dev/sdb1
mdadm /dev/md1 -r /dev/sdb2
mdadm /dev/md2 -r /dev/sdb3

Unter Umständen kann es sein, dass eine verwendete Festplatte teilweise defekt ist und sich nicht alle Devices im Status [U_] befinden, sondern einige Devices im Status [UU] sind. In diesem Fall schlägt der Befehl fehl, da das device in Ordnung ist. In diesem Fall müssen vorher die intakten Devices mit dem Befehl mdadm als defekt markiert werden. Wenn in unserem Beispiel das Device md1 noch intakt wäre, könnte man dies mit dem folgenden Befehl erreichen:

mdadm --manage /dev/md1 --fail /dev/sdb2

Danach kann die neue Festplatte verbaut werden. Wenn dies geschehen ist können Partitionierung und Bootsektor von der intakten Festplatte mit dem Befehl dd kopiert werden. Das kopieren der Partitionstabelle mit dd funktioniert nicht für extended-Partitionen, diese müssen von Hand angelegt werden. Da in unserem Beispiel keine extended-Partitionen vorkommen, könnte man mit dem folgenden Befehl Partitionierung und Bootsektor auf die neue Festplatte kopieren:

dd if=/dev/sda of=/dev/sdb count=1 bs=512

Die Partitionstabelle muss nun vom Kernel neu eingelesen werden.

sfdisk -R /dev/sdb

Zum Schluss müssen die Partitionen der neuen Festplatte noch in das RAID eingebunden werden:

mdadm /dev/md0 -a /dev/sdb1
mdadm /dev/md1 -a /dev/sdb2
mdadm /dev/md2 -a /dev/sdb3

Die neuen Partitionen sind somit Teil des Arrays und werden nun synchronisiert. Dieser Vorgang kann je nach Größe eine ganze Weile dauern. Mittels cat /proc/mdstat kann der Status der Synchronisation aufgerufen werden.

Personalities : [raid0] [raid1] [raid6] [raid5] [raid4] [raid10] [linear] [multipath] 
md2 : active raid1 sdb3[2] sda3[0]
      730202368 blocks [2/1] [U_]
      [==>..................]  recovery = 11.7% (85713024/730202368) finish=143.8min speed=74694K/sec
 
md0 : active raid1 sdb1[2] sda1[0]
      2102464 blocks [2/1] [U_]
        resync=DELAYED
 
md1 : active raid1 sdb2[1] sda2[0]
      264960 blocks [2/2] [UU]
 
unused devices: <none>

OMSA unter Ubuntu für den Dell PERC H700 einrichten

In den Dell PowerEdge Servern wird aktuell häufig der PERC H700 RAID-Controler verbaut. Als ich Heute bei einem solchen Server – der mit der aktuellen „Long Term Support“ Ubuntu-Version „10.04 LTS“ läuft – den OMSA (OpenManage Server Administrator) installierte, überraschte mich dieser gleich mit der Warnung: Controller 0 [PERC H700 Integrated]: Driver '00.00.04.01' is out of date.

Nach ein wenig Recherche im Internet zeigte sich, dass der Treiber 00.00.04.01 eigentlich o.k. ist. Da bei RedHat und SuSe aber inzwischen neuere Treiber verwendet werden, verlangt der OMSA hier den neuen.

Da mich die Warnung in der Überwachung stört, habe ich diese einfach abgeschaltet. Dazu ändert man einfach die Datei lsiver.cfg entsprechend ab. Wenn man das OMSA 6.4 Paket von Dell installiert hat (dieses finde man unter der URL: http://linux.dell.com/repo/community/deb/), liegt diese Datei in dem Verzeichnis /opt/dell/srvadmin/etc/srvadmin-storage/.

In der Datei lsiver.cfg gibt es einen Abschnitt der wie folgt beginnt:

ID=0x1F17
VENDORID=4
NAME=PERC H700 Integrated

In diesem Abschnitt steht etwas weiter unten die Zeile:

DEF-LX26-64=00.00.04.27

Wenn man hier die 27 in 01 ändert und alle OMSA Services (am besten den ganzen Server) neu startet ist der Alarm weg.