Archiv für die Kategorie ‘Open Source’

RAID5-Rekonstruktion bei zwei kaputten Platten

Mittwoch, 09. April 2008

In vielen Systemen, in denen mehr als zwei Festplatten durch einen RAID-Verbund zusammengeschlossen sind, kommt RAID5 zum Einsatz: Dieser profitiert von einer deutlich gesteigerten Lesegeschwindigkeit bei einer nutzbaren Kapazität von (n-1)*s mit n = Anzahl der Festplatten, s = Größe der kleinsten Platte. Durch die verteilte Speicherung von Paritätsinformationen wird Datensicherheit bei Ausfall einer Festplatte gewährleistet. Dabei wird im Fehlerfall nach Aktivierung einer Spare-Disk oder Austausch der fehlerhaften Platte der RAID-Verbund rekonstruiert. Sind allerdings zur selben Zeit zwei Platten defekt, so ist in der Regel der Verbund nicht rekonstruierbar und alle Daten sind verloren.

Mit Linux und etwas Glück konnte ich gerade einen RAID5 rekonstruieren, in dem zwar zeitversetzt, aber quasi doch gleichzeitig, zwei Platten ausfielen:

Durch einen Softwarefehler wurde eine der sieben Platten im RAID5-Verbund vollständig überschrieben, welcher deshalb also neu erstellt werden mußte (restripe). Noch während der Restripe-Phase fiel dann eine zweite Platte aus, diesmal mit physikalischem Defekt. Der RAID-Verbund wurde daraufhin deaktiviert und ließ sich auch unter Zwang nicht mehr aktivieren. Da glücklicherweise „nur“ fehlerhafte Sektoren auf der Platte gefunden worden waren, also Lager, Motor und Steuerelektronik noch korrekt funktionierten, wurde sie fix zusammen mit einer etwas größeren, fehlerfreien in einen anderen PC gebaut und KNOPPIX gebootet.

Für das notwendige Backup der Rohdaten sah ich nach etwas Recherche aus geschwindigkeitstechnischen Gründen vom guten alten dd ab und kompilierte mir schnell das vom TestDisk-Autor empfohlene ddrescue, was unter KNOPPIX 5.2 auch ohne Probleme funktionierte.

Mit einem

ddrescue -v -r 1 /dev/hdb /dev/hda ddrescued.log

wurde dann der Backupvorgang gestartet, der drei (gefühlt: 47) Stunden später schließlich auch 5 MB an fehlerhaften Daten erwähnte, die nicht gesichert werden konnten. Nach abschließendem Wiedereinbau der neuen Platte in den RAID-Rechner bootete dieser einwandfrei, versuchte dann erneut ein Restriping und schloß selbiges erfolgreich ab. Alle Daten (bis auf 5 MB) sind nun wieder lesbar.

*puh*

KNOPPIX 5.3.1 zum Download freigegeben

Freitag, 28. März 2008

Nicht einmal eine Woche nach geplantem Release (laut Herrn Knopper) ist die neue KNOPPIX-Version nun auf den Mirrors verfügbar.

Nachdem der komplette 5.2er-Zweig 2007 übersprungen wurde (die DVD gab es ausschließlich auf der CeBIT und in der c’t), sind seit Veröffentlichung der letzten, als Download verfügbaren Version 5.1.1 nun fast 15 Monate vergangen.

Quelle: aptgetupdate.de

TrueCrypt, die Nächste: Version 5.1a

Dienstag, 18. März 2008

Kaum ist das letzte TrueCrypt-Release eine Woche alt, da folgt auch schon das Update auf Version 5.1a. Die Entwickler beseitigen damit kleinere Fehler, vor allem das Starten aus dem Ruhezustand heraus betreffend. Außerdem ist auf der Projektseite eine Anmerkung zur in den letzten Tagen aufgekommenen Kritik bezüglich einiger Schwachstellen der Verschlüsselungssoftware zu finden:

As Microsoft does not provide any API for handling hibernation, all non-Microsoft developers of disk encryption software are forced to modify undocumented components of Windows in order to allow users to encrypt hibernation files. Therefore, no disk encryption software (except for Microsoft’s BitLocker) can guarantee that hibernation files will always be encrypted. At anytime, Microsoft can arbitrarily modify components of Windows (using the Auto Update feature of Windows) that are not publicly documented or accessible via a public API. Any such change, or the use of an untypical or custom storage device driver, may cause any non-Microsoft disk encryption software to fail to encrypt the hibernation file. We plan to file a complaint with Microsoft (and if rejected, with the European Commission) about this issue, also due to the fact that Microsoft’s disk encryption software, BitLocker, is not disadvantaged by this.

Demnach plant die TrueCrypt Foundation, eine Beschwerde bei Microsoft einzureichen, um die Veröffentlichung einer Dokumentation oder API für den Ruhezustand von Windows zu erzwingen. Im Falle einer Abweisung soll dann die Europäische Kommission eingeschaltet werden.

Microsoft hat bislang keinerlei technische Informationen über die Funktionsweise des Ruhezustands herausgegeben, sodaß sich Entwickler von Verschlüsselungssoftware ganz auf die Redmonder verlassen müssen, wenn es um das Ausmerzen von Sicherheitsrisikien wie zum Beispiel unverschlüsselte Speicherabbilder geht.

TrueCrypt 5.1 mit Schwachstellen?

Donnerstag, 13. März 2008

Heise Security berichtet, daß nach Hinweisen auf einem russischen Blog scheinbar eine Schwachstelle in der neuesten TrueCrypt-Version existiert, über die das Ausspähen von Schlüsseln beim Nutzen des Ruheszustands unter Windows möglich sein soll. Grund dafür ist nach Angaben der Russen ein Fehler, wonach der Schlüssel im Speicher verbleibt, während das Hibernate-Speicherabbild auf die Festplatte geschrieben wird. Von dort ist dieser für Angreifer leicht auszulesen.

Grundsätzlich scheinen aber nicht alle Systeme betroffen zu sein: Das Problem soll nur dann auftreten, wenn bestimmte Treiber (besonders unter Windows 2000) für RAID- und Storage-Controller verwendet werden, zu denen übrigens auch Konfigurationen gehören, die Intels Matrix Storage nutzen.

Eine Stellungnahme von Seiten der Entwickler steht noch aus.
Weiterhin kommentiert ein Heise-Leser mit entsprechenden Details diese und weitere, scheinbar selbst aufgedeckte Schwachstellen der Verschlüsselungssoftware.

TrueCrypt 5.1 bis zu 90 Prozent schneller

Dienstag, 11. März 2008

Gestern ist wieder eine neue Version von TrueCrypt erschienen, bei der vor allem eine teilweise enorm gesteigerte Performance bei Ver- und Entschlüsselung im Vordergrund steht. Außerdem wurde der Bootvorgang von verschlüsselten Systempartitionen beschleunigt, die Unterstützung für den Ruhezustand hinzugefügt und ein Backup des Bootloaders im ersten Zylinder der Platte vorgesehen.

Die vollständige Liste aller Features und Bugfixes von Version 5.1 kann man hier einsehen.

Quelle: Golem.de

Sicherheitsupdates für den VLC Media Player

Freitag, 29. Februar 2008

VLC QuickTimeGibt es eigentlich noch immer Leute, die ihrem Windows solche Krankheiten wie das K-Lite oder Nimo Codec Pack antun, weil sie bisher nicht über die Existenz des VLC Media Players informiert wurden?

Dann aber jetzt mal schleunigst die Ohren gespitzt: Diese Open Source Software – für Windows, Mac OS X und Linux verfügbar – spielt nahezu alle Video- und Audioformate ab und benötigt VLC DVDdabei keine (!) Installation irgendwelcher Codecs. Selbst mit QuickTime oder Windows Media Video kommt der Player zurecht, auch sind zB. DVD-Images direkt lesbar, wobei sogar volle Menünavigation möglich ist. Unterstützung für Netzwerk-Streaming oder externe Untertiteldaten ist ebenfalls vorhanden.

Version 0.8.6e behebt laut Golem vor allem Sicherheitsprobleme, sodaß die Autoren ein Update dringend nahelegen.

grml 1.1 – Das Linux für Admins

Dienstag, 26. Februar 2008

Heute ist die neue Version – Codename Skunk – von grml erschienen, einer Linux-Distribution, die speziell auf die Bedürfnisse von System-Administratoren und deren täglich Leid abgestimmt ist. Zur Aufmunterung in trüben Zeiten voller Bluescreens, Festplatten-Crashs und CPU-Explosionen stehen Tools wie gparted, testdisk, chntpw, ophcrack, natürlich nmap, wireshark, und für den Shell-Drückeberger sogar ein X-Server mit verschiedenen leichtgewichtigen Window-Managern zur Verfügung.

grml Bootsplashgrml Bootgrml Bootgrml Toolsgrml Openboxgrml Openbox

Die abgespeckte Variante wurde übrigens Pfuh getauft und für x64-Systeme wurde Schwammerlklauber als Codename geschaffen… :shock:

Quelle: Golem / Heise

Bugfix-Release für TrueCrypt

Mittwoch, 13. Februar 2008

Kaum ist der letzte Milestone eine Woche alt, da darf man sich schon über Version 5.0a von TrueCrypt freuen. Die Änderungen beinhalten hauptsächlich Bugfixes und eine Optimierung des Bootloaders.

Nun können auch die hartgesottensten Golem-Kommentatoren zugreifen. :wink:

Quelle: aptgetupdate.de

HPN-SSH: Multi-Threaded SSH

Mittwoch, 13. Februar 2008

Auf Slashdot ist heute über ein Paper zu lesen, das von Chris Rapier vom Pittsburgh Supercomputing Center veröffentlicht wurde und sich mit Performance-Gewinn beim SSH-Protokoll beschäftigt.

Der Autor setzt dabei eine vom Kernel gesteuerte dynamische Regelung der TCP Window Size sowie Multi-Threading bei der Ver- und Entschlüsselung des Datenstroms ein, um zB. Systeme mit Multi-Core-CPU voll auszulasten. Außerdem läßt sich für Benutzer, die nur eine sichere Authentifizierung benötigen, im Anschluß an selbige der Cipher-Mode NONE einstellen (also Verschlüsselung gänzlich abschalten), was der Übertragungsgeschwindigkeit noch einmal einen gehörigen Schub gibt.

hpn-ssh
This figure shows throughput along a 1Gb/s transatlantic path with a 114ms RTT using HPN-SSH and SSH using the default AES cipher. Additionally, throughput of HPN-SSH using the NONE cipher along the same path is shown.

Eine ausführliche Beschreibung von HPN-SSH und Patches für die aktuelle OpenSSH-Version sind hier zu finden.

TrueCrypt 5.0 erschienen (update)

Mittwoch, 06. Februar 2008

Lang erwartet, besonders von der Mac-Community (Oliver hat bereits berichtet), ist jetzt TrueCrypt 5.0 einen Tag später als angekündigt verfügbar. Die neue Version der Open Source Software für Datenverschlüsselung läuft nun also auch unter Mac OS X, bietet Linux-Benutzern eine GUI und erlaubt das Verschlüsseln von Windows-Partitionen bis hin zur gesamten Festplatte mit einer dadurch erforderlichen Authentifizierung während des Boot-Vorgangs. Eine komplette Liste der Neuerungen kann man hier finden.

Whole Disk Encryption Wizard:

TrueCrypt 5.0 - Encryption WizardTrueCrypt 5.0 - WDETrueCrypt 5.0 - Boot ModeTrueCrypt 5.0 - CiphersTrueCrypt 5.0 - Rescue DiskTrueCrypt 5.0 - Wipe Mode

Zu den altbekannten Features zählen unter anderem der Traveler Mode, der ein bequemes Nutzen der Software direkt vom USB-Stick ermöglicht (Administratorrechte vorausgesetzt), Plausible Deniability und die Unterstützung von Keyfiles.

IMHO gehört TrueCrypt zu jeder Software-Standardkonfiguration eines Computers. Wem das Programm bislang noch unbekannt ist, wer auf vermeintlich bessere Alternativen (welche?) schwört oder meint, keine Daten verschlüsseln zu müssen *hust*: Unbedingt ausprobieren!


Update:

Mittlerweile haben auch Heise und Golem entsprechende News gepostet. Dem truecrypt.org-Server, der offensichtlich zur Zeit mit einer sehr großen Zahl von Zugriffen zu kämpfen hat, dürfte das jedenfalls nicht sonderlich zuträglich sein. Trotzdem sollte man sich in Geduld üben und nicht auf irgendwelche dubiosen Mirror-Seiten ausweichen, denn gerade bei sicherheitsrelevanter Software ist Vorsicht geboten (die TrueCrypt Foundation nutzt wohl deshalb noch nicht einmal Sourceforge als Mirror).

MD5SUMS der Dateien:

010e18f55e5c885dc5a17177cd32f817 *TrueCrypt 5.0 Leopard Intel.dmg
b00680e2099def13ced30177c5620d65 *TrueCrypt 5.0 Leopard PowerPC.dmg
5f3cf15d477e17374b0a959c4fa012c7 *TrueCrypt 5.0 Source.tar.gz
bfbd2616da3c3a35ff5c90e3e65df159 *TrueCrypt 5.0 Source.zip
b2fa7df7d88e517650be9e67652e2e41 *TrueCrypt 5.0 Tiger Intel.dmg
0840d54883d4b0359153f17de175d9f0 *TrueCrypt 5.0 Tiger PowerPC.dmg
a3d94337991b4b84ead758d868408823 *TrueCrypt Setup 5.0.exe
dd68814a2c0484a87103195e202c9cd4 *truecrypt-5.0-opensuse-x86.tar.gz
448e03fdf45ab2a8a8915ad0a29b9c71 *truecrypt-5.0-ubuntu-x86.tar.gz

Und hier wieder einmal noch der Extra-Link für Fans besonderer Paranoia. 8)