[Anleitung] Automatische Entschlüsselung über das eigene Netzwerk

[spatzimatzi]

Hallo,
tolle Idee @NSFM. Schön zu hören, dass meine Gedanken nicht abwegig waren.
Leider bin ich nicht sehr versiert in der Prommierung.
Habe bei einem Anbieter Plattenplatz geordert mit 5 freien Usern und den unterschiedlichsten Protokollen.
Einen User könnte ich für die Sicherheit ds DS opfern. Auf meiner Seite habe ich eine Fritz!Box. myFritz-Adresse liegt vor. Später eine feste IP.
Ab jetzt bräuchte ich Hilfe. Ich möchte nicht komplett ein fertiges Konzept. Ein Anstoss würde schon reichen.

Vielen Dank
spatzimatzi

 

[mergey]

Etwas mehr Automatismus geht dabei.
In der Regel haben Firmen feste IPs.
Frage also per Script die IP des Internetzuganges ab, an dem die Syno hängt. Ist diese falsch löscht das script die Passwortdatei in der Cloud und sofern vorhanden auch den USB-Stick mit dem Teilpasswort.
Damit ersparst du dir auch hier den Raspi.

Das kalppt nur dann, wenn der Dieb das NAS komplett mit nimmt und bei sich einschaltet und ins Internet lässt.

Werden nur die Platten geklaut oder die Platten nach dem Diebstahl in ein anderes Gerät verbaut oder das NAS nur lokal gestartet, wird das Script dich nicht retten können.
Als Zusatz aber keine schlechte Idee.

---

Ich finds super wie viele Ideen hier zusammen kommen und will deswegen anmerken immer den Fehlerfall bei sich im eigenen Netzwerk zu bedenken. Sollte das NAS oder irgend etas anderes "denken" es wurde geklaut, oder irgend eine Komponente wie ein USB-Stick kaputt gehen, sollte man selbst immer noch an die Daten kommen können.
Ein Passwortmanager der auf dem NAS liegt ist hierbei keine sichere Lösung um die Passwörten für einen solchen Fall vorzuhalten.

---

 

[NSFH]

Wie oben bereits geschrieben habe, ein Datenspeicher mit Passwörtern und den Key Dateien sollte irgendwo sicher abgelegt worden sein!

Je mehr man sich damit beschäftigt desto mehr einfache Ideen entwickeln sich.
Man könnte zB einen host im LAN per script Befehl anpingen.
Ist dieser host im eigenen LAN erreichbar ist alles gut=führe das script weiter aus und erstelle die Freigaben.
Steht der geklaute Server woanders läuft der Ping ins Leere=Abbruch, lösche das Script mit dem Passwort irgendwo im Speicher

Mal dieses ungetestete Beispielscript als Einstieg.

#!/bin/bash
# prüft erreichbarkeit und verschickt im fehlerfall eine mail

TMPDIR=/tmp
FILE=ping-alarm-$1

ping -c 1 "$1" > /dev/null 2>&1
if [ "$?" = "0" ]
then
cat << EOF | mailx -s "UFF! $1 is UP again!!" $2
$1 is up!!!!
EOF

# verschicke Mail, wenn Host nicht erreichbar
if [ "$?" != "0" ]
then
cat << EOF | mailx -s "AARGH! $1 is DOWN!!" $2
$1 is down!!!!
`date`
EOF

cd /tmp
fi

 

[zxmc]

Manche Pakete müssen nach dem Entschlüssel nochmal extra gestartet werden. Zum Beipsiel die Webstation. Dafür müsst ihr in der geplanten Aufgabe zum Entschlüsseln nach dem:

noch eine zweite Zeile einfügen, die da lautet:

beziehungsweise diese Zeile, wenn das Paket läuft, aber einen Neustart braucht:

Danke für den Hinweis - ich hatte gerade den /photo-Ordner verschlüsselt (Passwort einsammeln und mounten über Script) und dann steht die Photo-App (DSM 7) eben plötzlich ohne Bilder da.

Daher mal zwei Nachfragen:
- wie lautet der Paketname für das (neue) Synology Photos?
- da mir die Lösung, ein Paket ohne verfügbaren Datenpfad zu starten, irgendwie unsympathisch ist: Gibt es auf der Synology auch die Möglichkeit, den automatischen Start solcher "problematischen" Pakete standardmässig ganz zu unterbinden und erst nach dem Mounten der zugehörigen Ordner dann per Script zu starten?

 

[zxmc]

Nachtrag:
Mit DSM haben sich offenbar ein paar Kleinigkeiten geändert... Habe jetzt mal

sudo synosystemctl restart pkgctl-MailServer
sudo synosystemctl restart pkgctl-WebStation
sudo synosystemctl restart pkg-SynologyPhotos

ausprobiert mit dem Ergebnis, dass die beiden ersten prinzipiell funktionieren (Kommandozeile), aber beim Versuch die Synologoy Photos neuzustarten heisst es "Fail to restart [pkg-SynologyPhotos]" - aber wie kann ich die Photos dann neu starten?

 

[synfor]

Vergleiche doch mal die beiden funktionierenden Aufrufe mit dem nichtfunktionierenden. Vielleicht fällt dir dann ja was auf.

 

[kev.lin]

Ich versuche mich gerade daran meine verschlüsselten Ordner anhand der Anleitung automatisiert zu entschlüsseln. Ich habe dazu ein paar Fragen und hoffe, ihr könnt mir weiterhelfen:

1. muss in der Datei "server.js" auf dem Server die IP meiner DS mit den Hoch-Kommas (') angegeben werden, oder ohne?
2. müssen in der Datei "server.js" auf dem Server die Angaben "FOLDER_n_IDENTIFIER" und "FOLDER_n_PW" mit Hoch-Kommas (') angegeben werden, oder ohne?
3. wie sieht es aus, wenn ich Sonderzeichen in den Angaben für das "FOLDER_n_PW" verwende?
4. wenn ich manuell auf meiner DS aus der Shell heraus (einloggen auf der DS per ssh) den Befehl

   synoshare --enc_mount netzwerk-share-name $( curl --data 'id=geheim' --insecure https://192.168.nnn.nn:4000 )

   aufrufe, bekomme ich folgende Rückmeldung:

   curl: (7) Failed to connect to 192.168.nnn.nn port 4000 after 1 ms: Connection refused

   Wie kann ich überprüfen ob der Webserver (der das Passwort zurück liefern soll) auf dem Server auch wirklich läuft?
5. wie geht man das Ganze an, wenn man zwei DiskStations hat? So, wie ich es verstehe, kann das Skript nur auf eine DS reagieren, oder?

 

[kev.lin]

Ok, ich habe etwas mehr gegraben und wie es scheint, kann der externe WebServer (mein externer Server ist ein Rapsberry Pi Zero) gar nicht erst aufgerufen werden.

Wenn ich auf dem externen System

node server.js

eingebe, erscheint folgende Fehlermeldung:

internal/modules/cjs/loader.js:818
  throw err;
  ^

Error: Cannot find module 'express'
Require stack:
- /home/pi/crypt/server.js
    at Function.Module._resolveFilename (internal/modules/cjs/loader.js:815:15)
    at Function.Module._load (internal/modules/cjs/loader.js:667:27)
    at Module.require (internal/modules/cjs/loader.js:887:19)
    at require (internal/modules/cjs/helpers.js:74:18)
    at Object.<anonymous> (/home/pi/crypt/server.js:7:12)
    at Module._compile (internal/modules/cjs/loader.js:999:30)
    at Object.Module._extensions..js (internal/modules/cjs/loader.js:1027:10)
    at Module.load (internal/modules/cjs/loader.js:863:32)
    at Function.Module._load (internal/modules/cjs/loader.js:708:14)
    at Function.executeUserEntryPoint [as runMain] (internal/modules/run_main.js:60:12) {
  code: 'MODULE_NOT_FOUND',
  requireStack: [ '/home/pi/crypt/server.js' ]
}

Die Fehlermeldung weist direkt auf die erste Zeile des Webservers (server.js) hin:

var expr = require('express');

Leider kann ich nicht beurteilen, welche Gründe die Fehlermeldung hat. Ich könnte mir ein oder mehrere Probleme vorstellen:

• das auf dem Rapsberry Pi Zero installierte Raspberry-OS ist nicht kompatibel mit nodejs, npm und ecryptfs-utils (was ich nicht annehme)
• vielleicht kommt es zu Problemen, weil der Server teilweise in dem verschlüsselten Ordner crypt aufgerufen wird und Teile des Server aber im unverschlüsselten Bereich liegen - aber das sollte eigentlich kein Problem sein, da der Ordner crypt zur Laufzeit des Raspberry Pi Zeros ja entschlüsselt ist
• Inkompatibilitäten zwischen der ursprünglichen Anleitung und deren Skripts und der aktuellen Software unter Raspberry-OS (halte ich für am wahrscheinlichsten)

Vielleicht versuche ich das Problem noch etwas zu ergründen. Aber wahrscheinlicher ist, dass ich mir einen anderen Weg suchen muss um meine Ordner-Entschlüsselung zu automatisieren und dabei einigermaßen sicher zu halten.

 

[NSFH]

Weil dieser eine Aspekt hier vollkommen unter gegangen ist:
Zu Hause meine kleine Syno ist verschlüsselt und entschlüsselt sich automatisch beim Hochfahren mit den Bordmitteln/Einstellungen zur Entschlüsselung.
Sehe ich das als Gefahr an? Absolut nein, denn wer die Syno klaut kommt trotzdem nicht an die Daten, weder durch Ausbau der SSDs noch durch rücksetzen des Admin Passwortes. In letzterem Fall startet zwar die Syno aber die verschlüsselten Ordner bleiben ausgehängt.
Ein Dieb im Besitz der Syno kommt also keinen Schritt weiter.
Das Auslagern des Passwortes ist also nur der eigenen Sicherheitsschizophrenie geschuldet aber nicht unbedingt einer Notwendigkeit.

 

[peterhoffmann]

meine kleine Syno ist verschlüsselt und entschlüsselt sich automatisch beim Hochfahren mit den Bordmitteln/Einstellungen zur Entschlüsselung.

wer die Syno klaut kommt trotzdem nicht an die Daten, weder durch Ausbau der SSDs noch durch rücksetzen des Admin Passwortes

startet zwar die Syno aber die verschlüsselten Ordner bleiben ausgehängt

Wenn du schon so weit mit dem Zeigefinger ausholst, solltest du auch erklären warum dein NAS zuhause sich automatisch entschlüsselt und woanders nicht.

Der Andere will ja nicht deinen Workflow bewundern, sondern sucht eine Lösung für SEIN Problem.

Sicherheitsschizophrenie

Deine Art ohne Not den Anderen in die Nähe von schizophren und paranoid zu schieben, ist unangebracht und zerstört jedwede sachliche Diskussion.

nicht unbedingt einer Notwendigkeit

Für dich nicht, für andere schon. Einerseits liegt der Standard für Notwendigkeit nicht bei dir und anderseits wer bist du zu beurteilen, was für den anderen notwendig ist?

 

[kev.lin]

Ich habe das Ganze jetzt gelöst, in dem ich ein Teil des Passworts auf meiner FritzBox lagere und den anderen Teil auf der DiskStation. Per Script werden die Passwortteile dann zusammengesetzt und die Ordner beim Starten der DiskStation entschlüsselt.
- Siehe hier -