DSM 6.x und darunter auto-mount verschlüsselter Ordner nach Reset deaktiviert?

[fragnet]

Hallo,
ich habe im Synology Supportportal leider keine eindeutige Antwort auf meine Frage gefunden. https://www.synology.com/de-de/knowledgebase/tutorials/493
Ich möchte wissen, ob nach einem Reset und dem damit verbundenen Zurücksetzen des admin Passwortes auch das automatische mounten der verschlüsselten Ordner deaktiviert wird. Denn ich möchte ja nicht, dass ein Dieb auf die verschlüsselten Ordner der geklauten Syno nach einem Reset zugreifen kann. Im Synology Supportportal seht hierzu:

 Nach dem Zurücksetzen Ihres Synology NAS sieht die Systemkonfiguration wie folgt aus:
Verschlüsselte Ordner entfernen und Beim Start automatisch bereitstellen deaktivieren.

Was meinen die mit verschlüsselte Ordner entfernen???

Vielen Dank!

 

[g202e]

Ich würde davon ausgehen, dass verschlüsselte Ordner entfernt(gelöscht) werden. Und wenn es keine mehr gibt, macht natürlich auch ein automatisches Bereitstellen keinen Sinn mehr und diese Option wird eben deaktiviert...

 

[Tommes]

Beim Zurücksetzen (einfacher oder doppelter Reset am Gehäuse) werden mögliche Passwörter bzw. Hashwerte eines, beim Start automatisch eingehangene verschlüsselter gemeinsamer Ordner entfernt sowie die Option des automatischen Einhängens beim Start deaktiviert. Der verschlüsselte Ordner selber wird aber nicht angetastet, da...

Auszug aus o.a. Link zum Zurücksetzen des Synolog NAS

Hinweis:
Beim Zurücksetzen gehen keine Daten verloren. Für den Fall eines versehentlichen Datenverlustes wird allerdings dringend empfohlen, die Daten zu sichern, bevor Sie das Reset für die erneute Installation des Betriebssystems durchführen.

Hab das selber bereits mehrmals so durchgeführt und die verschlüsselten Ordner haben das immer überlebt. Und solange du nicht das Key-File zum öffnen des verschlüsselten Ordner auf der DS abgelegt hast, sollte auch niemand (außer dir) mehr an die Daten ran kommen, aber...

Setzt der Dieb die DS nicht zurück, sondern baut die Festplatte aus und bindet sie in ein Linuxsystem ein und du hast die Option "automatisch beim Start einhängen" gewählt, kann man das Passwort bzw. den Hashwert rekonstruieren und so die Ordner bzw. Dateien öffen. Ich wollt es auch erst nicht glauben, mich aber doch vom Gegenteil überzeugen lassen.

Tommes

 

[fragnet]

Beim Zurücksetzen (einfacher oder doppelter Reset am Gehäuse) werden mögliche Passwörter bzw. Hashwerte eines, beim Start automatisch eingehangene verschlüsselter gemeinsamer Ordner entfernt sowie die Option des automatischen Einhängens beim Start deaktiviert. Der verschlüsselte Ordner selber wird aber nicht angetastet, da...



Hab das selber bereits mehrmals so durchgeführt und die verschlüsselten Ordner haben das immer überlebt. Und solange du nicht das Key-File zum öffnen des verschlüsselten Ordner auf der DS abgelegt hast, sollte auch niemand (außer dir) mehr an die Daten ran kommen, aber...

Setzt der Dieb die DS nicht zurück, sondern baut die Festplatte aus und bindet sie in ein Linuxsystem ein und du hast die Option "automatisch beim Start einhängen" gewählt, kann man das Passwort bzw. den Hashwert rekonstruieren und so die Ordner bzw. Dateien öffen. Ich wollt es auch erst nicht glauben, mich aber doch vom Gegenteil überzeugen lassen.

Tommes

Ok, vielen Dank Tommes. Ich werde das auch mal testen. Vielen Dank!

 

[Tommes]

Ich muß aber nicht erwähnen, das man solche Test's nur mit einem Backup im Rücken ausführen sollte. Denn nur, weil das bei mir funktioniert hat, heißt das noch lange nicht, das das immer so sein muß. Auch empfiehlt Synology eine Datensicherung ja selber in ihrem Tutorial.

Auch findest du weiteren Lesestoff hier im Forum, wenn du im Suchfeld z.B. mal "ecryptfs" eingibst. Auf ecryptfs baut die Verschlüsselung der DS nämlich auf.

Tommes

 

[fragnet]

Ich muß aber nicht erwähnen, das man solche Test's nur mit einem Backup im Rücken ausführen sollte. Denn nur, weil das bei mir funktioniert hat, heißt das noch lange nicht, das das immer so sein muß. Auch empfiehlt Synology eine Datensicherung ja selber in ihrem Tutorial.

Auch findest du weiteren Lesestoff hier im Forum, wenn du im Suchfeld z.B. mal "ecryptfs" eingibst. Auf ecryptfs baut die Verschlüsselung der DS nämlich auf.

Tommes

Noch ein guter Typ! Ich nutze ecryptfs auch zum Verschlüsseln einzelner Ordner in meinem Homeverzeichnis auf meinem LinuxMintDesktopPC. Da werde ich mich nochmal näher mit befassen, sehr interessant! Nochmal ein herzliches DANKESCHÖN!

 

[3x3cut0r]

Hallo,
wie kann man nach einem gewollten Reset der DS das auto-mount von verschlüsselten ordnern wieder aktivieren?

Danke

 

[Tommes]

Bin mir nicht ganz sicher, da ich es selber noch nicht probiert habe. So wie es aussieht, sollte das unter DSM 6.1 nur noch mit dem Schlüsselmanager gehen. https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/AdminCenter/file_share_key_manager

Tommes

 

[3x3cut0r]

Ok danke,
habe mal so einen Schlüsselspeicher erstellt und meine Schlüssel importiert, aber auch mit aktiviertem Häckchen bei "beim Hochfahren anhängen" sind keine Ordner gemountet nach dem Hochfahren ?!

 

[Tommes]

Wie gesagt, habe ich das selber noch nicht ausprobiert und eigentlich brauche ich diese Funktion auch nicht wirklich, da ich meine verschlüsselten Ordner immer zu Fuß einhänge. Ich verstehe da grad auch nicht Synologys Vorgehensweise die Key's auf einem externen Datenträger auszulagern um einen verschlüsselten Ordner automatisch zu mounten. Das macht die Sache ja noch einfacher für potentielle Diebe. Diese brauchen dann nämlich garnicht erst auf der DS nach einem HASH-Wert zu suchen, sondern bekommen die Key wie auf einem Tablett serviert. Aber dies sage ich erstmal nur unter Vorbehalt, da ich mir die genaue Vorgehensweise noch nicht näher angeschaut habe. Sollte sich meine Vermutung aber bestätigen würde ich ich sowas nicht nutzen wollen.

Tommes

 

[3x3cut0r]

Naja, der, ich nenne ihn jetzt mal "Tresor", auf dem USB Stick ist mit ner separaten Passphrase verschlüsselt. Auf dem Silbertablett serviert, wird da quasi nichts.
Außerdem war es vorher auch kein Geheimnis. Die Keyfiles lagen soweit ich weis unter /home/.ecryptfs/ bzw /root/.ecryptfs/.

Man macht quasi genau das selbe wie vorher, nur das man jetzt nur ein "Master"-Passwort als Hash irgendwo hin legt, anstatt für jeden Ordner separat.

//EDIT:
ok beim 2. neustart hats nun geklappt mit dem automount ...

 

[Tommes]

ok beim 2. neustart hats nun geklappt mit dem automount ...

Ah, Prima. Dann hat sich ja alles klären könnnen.

Und zu meiner Fehleinschätzung kann ich zu meiner Verteidigung nur sagen, das ich mir das mal besser hätte vorher angeschaut, bevor ich solche Unwahrheiten in den Orbit puste. Nicht das ich dafür jetzt auch eine Verwarnung kassiere.

Tommes

 

[Nightlover]

Jetzt zittern alle wegen eventueller Verwahrnug aber da warst ja nicht Persönlich genug. Zum weiteren Schutz kann man den Stick nach dem Hochfahren automatisch auswärfen lassen. Aber was passiert wenn der Stick mal defekt ist und du die Schlüssel niergend anders hast bist wohl geliefert. Bin kein Freund dieser neuen Möglichkeit. Da gibt es interessante Skripts die das auch machen entweder mit entfernten Volumen also nicht mit der DS verbunden.

Night

 

[DigiMuc2016]

Sollte ja jeder selber Wissen, wie er das Nutzen will, und nicht jeder möchte sich mit Skripts o.ä. befassen.

 

[rednag]

Jetzt zittern alle wegen eventueller Verwahrnug

Man wird hier in letzter Zeit sehr schnell verwarnt oder geperrt.

 

[Thonav]

Aus..



..dann sollte es gehen.

Schreibe jetzt lieber meine Tipps in weißer Schrift.