TrueCrypt Disaster Recovery

Ich stand vor Kurzem privat vor der Aufgabe die Daten einer mit TrueCrypt verschlüsselten Festplatte, die versehentlich mittels fdisk partitioniert und anschließend formatiert wurde, wiederherzustellen. Unmöglich? Dachte ich auch zuerst…
Bevor ich irgendwelche Wiederherstellungsvesuche unternommen habe, wurde das komplette Abbild der Festplatte aber erstmal mittels dd gesichert. Unter Linux geht das ganz einfach, z.B. so:

# dd if=/QUELL/PLATTE of=/SPEICHER/ZIEL

Mein erster Ansatz war ein mir altbekanntes Tool: TestDisk. Allerdings stösst das bei per TrueCrypt verschlüsselten Platten schnell an seine Grenzen. Nach einer kurzen Recherche fand ich dann schließlich TestCrypt. TestCrypt ist speziell für die Wiederherstellung von TrueCrypt-Verschlüsselungen entwickelt worden, funkioniert aber erst ab TrueCrypt Version 5.1a. Voraussetzung ist natürlich das man noch im Besitz des TrueCrypt Passwortes oder des Keyfiles ist.
testcryptDie größte Schwierigkeit bei TestCrypt war bei mir das es nur unter Windows funktioniert, also musste ich kurzerhand eine alte Windows XP Installation aktivieren um die Software installieren zu können. Sobald die Software gestartet und das entsprechende Volume ausgewählt wurde, sucht TestCrypt nach dem Backup Volume Header. Sobald dieser gefunden wurde lässt sich das Volume als zusätzlicher Datenträger einhängen und erhält so Zugriff auf die schon verloren geglaubten Daten.
Nach Sicherung der Daten auf eine andere Platte, habe ich die Gelegenheit genutzt und den Datenträger gleich neu mit VeraCrypt verschlüsselt. VeraCrypt ist sozusagen der Nachfolger von TrueCrypt, da dieses seit Mitte 2014 nicht mehr weiterentwickelt und somit als potenziell unsicher eingestuft wird.
Um solchen “Horror”-Szenarien vorbeugen bzw. besser begegnen zu können empfiehlt es sich beispielweise im Vorfeld den entsprechenden Volume Header zu sichern oder aber gleich eine bewährte Backup- bzw. Recoverylösung wie Bareos zu verwenden. Nicht zuletzt möchte ich mich bei den Entwicklern von TestCrypt bedanken, mir haben sie in diesem Fall sehr viel Ärger erspart!

Markus Waldmüller
Markus Waldmüller
Lead Senior Consultant

Markus war bereits mehrere Jahre als Sysadmin in Neumarkt i.d.OPf. und Regensburg tätig. Nach Technikerschule und Selbständigkeit ist er nun Anfang 2013 bei NETWAYS als Lead Senior Consultant gelandet. Wenn er nicht gerade die Welt bereist, ist der sportbegeisterte Neumarkter mit an Sicherheit grenzender Wahrscheinlichkeit auf dem Mountainbike oder am Baggersee zu finden.

Windows Key im Bios

Diese Ansicht hat fast ausgediehnt
Wir setzen bei unseren Lösungen für das Hosting zwar primär auf Open Source und Linux, aber ab und zu wird doch mal ein Windows Server für einen Kunden benötigt. Und da es seit einiger Zeit Änderungen an der Lizenz oder Install-Medium Mitgabe gab, wollen wir mit diesem Post auf die Besonderheiten in diesem Fall eingehen.
In den betreffenden Fällen (meist OEM Server) wird der Key im Bios hinterlegt und von Windows direkt ausgelesen. Gedanklich klingt dies alles gut und erspart sicher auch einigen Aufwand. Wer solch ein System aber besitzt, wird beim ersten Start und der Grundinstallation dann höflich auf die Generierung eines Recover-Mediums hingewiesen. Da man nicht ohne weiteres an den Key heran kommt oder im Fehlerfall keine CD/DVD mehr hat, raten wir jedem Nutzer/Admin dazu, diese Recover-Medien direkt nach der Grundinstallation anzulegen. Einige Vertreiber bestehen sogar darauf, bevor man das System nutzen kann.
Es sollte aber auch nicht vergessen werden, die Medien von Zeit zu Zeit einmal zu erneuern. Anhand der Größe wird oft ein USB Stick genutzt, und diese können ja auch mal Fehler haben. Soviel dazu für heute. Mögen Euch spätere Probleme damit erspart werden.

Relax and Recover

ReaRNein – Das ist nicht nur das Motto für das kommende Wochenende, das ist auch der Name einer ziemlich beeindruckenden Lösung für Disaster Recovery unter Linux. Relax-and-Recover, kurz auch ReaR genannt, erstellt sowohl ein bootfähiges Rescue Image als auch ein Backup der zugehörigen Dateien. Beim Disaster Recovery eines Systems spielt dieses Rescue Image dann die Dateien aus dem Backup zurück und stellt so im Handumdrehen den letzten Stand wieder her.
Für das Rescue Image stehen verschiedene Konfigurationsmöglichkeiten zur Verfügung. So werden u.a. schlanke ISO-Dateien, USB-Sticks oder sogar Images für PXE-Server erzeugt. Für das Backup sind ebenso viele Lösungsmöglichkeiten denkbar. Angefangen von einer einfacher Archivdatei (z.B. *.tar.gz) können auch verschiedenste Backuptechnologien wie beispielsweise IBM Tivoli Storage Manager (TSM), EMC NetWorker (Legato), Bacula oder auch Bareos angesprochen werden.
Das in Bash geschriebene ReaR ermöglicht die geschickte Verteilung von Rescue Image und ggf. Archivdatei per NFS, CIFS (SMB) oder einer anderen Transportmethode im Netzwerk. Über diesen Transportweg findet dann auch der eigentliche Recoveryvorgang statt.
Aber genug mit der Theorie, hier ein praktisches Beispiel für eine von vielen möglichen Konfigurationen:

OUTPUT=ISO
OUTPUT_URL=nfs://192.168.42.1/atemlos/durch/die/nacht
BACKUP=BAREOS

Dieser Dreizeiler veranlasst den Befehl “rear mkbackup” zur Erstellung eines bootfähigen ISO-Images mit einer komfortablen Recoveryumgebung und transferiert dieses im Anschluss automatisch auf den angegebenen NFS-Share. Eine Archivdatei soll in diesem Fall jedoch bewusst nicht erstellt werden, da der angegebene Backuptyp BAREOS schon dazu führt das die Verbindungsdaten des lokalen Backup Clients (= File Daemon) in dieses Rescue Image eingearbeitet werden.
Nach dem Ableben des Systems, beispielsweise durch einen der “schönen” Befehle von Tobi, wird dann einfach von diesem Rescue Image gebootet und der Wiederherstellungsvorgang mittels “rear recover” durchgeführt. Mit dem Backuptyp BAREOS (oder alternativ BACULA) holt sich ReaR dann die letzten Sicherungsdaten vom Backupserver und stellt diese wie von Zauberhand wieder vollständig her.
ReaR-Bootprompt
Wer also auf der Suche nach einer simplen und vollautomatischen Disaster Recovery Lösung für Linux-Systeme ist, die einfach nur funktioniert, dem stehen wir gerne zur Seite. Und auch bei Bareos bzw. Bacula können wir natürlich weiter helfen, damit Relax and Recover beim Thema Backup endlich wörtlich zu nehmen ist!

Markus Waldmüller
Markus Waldmüller
Lead Senior Consultant

Markus war bereits mehrere Jahre als Sysadmin in Neumarkt i.d.OPf. und Regensburg tätig. Nach Technikerschule und Selbständigkeit ist er nun Anfang 2013 bei NETWAYS als Lead Senior Consultant gelandet. Wenn er nicht gerade die Welt bereist, ist der sportbegeisterte Neumarkter mit an Sicherheit grenzender Wahrscheinlichkeit auf dem Mountainbike oder am Baggersee zu finden.