DSM 6.x und darunter Einsatz verschlüsselte Ordner sinnvoll?

[raugust]

Hallo,
ich möchte meine Daten vor unerlaubten Zugriff schützen.
Deshalb frage ich mich ob die verschlüsselte Ordner hier sinnvoll sind.
Folgen Ziele möchte ich erreichen.
1. Kein Zugriff auf die Daten, wenn z.B. eine Festplatte zu einem Reparaturtausch gegeben werden muss
2. Kein Zugriff auf die Daten, wenn die DS abhanden kommt
Ich denke Punkt kann ich durch das verschlüsseln der Ordner erreichen.
Wenn ich jedoch die Ordner mittels automatischen Mount einbinde muss die DS das Passwort irgendwo abgespeichert haben.
(Ziel ist des DS nachts herunterzufahren und morgens wieder zu starten.)
Ist Passwort prinzipiell von außen zugänglich? Sicherlich sind alle Accounts mit entsprechend sicheren Passorten gesichert.
Trotzdem kann ein Angreifer das Linux System einsehen. Wenn dann das Passwort oder die Passwortdatei im Filesystem hinterlegt sind ist das verschlüsseln nur eine Augenwischerei.
Hat sich jemand mit dieser Thematik beschäftigt?

 

[Puppetmaster]

Das ist so, wie du schreibst. Ein Automatismus des Ordnereinhängens hat immer einen gespeicherten Schlüssel als Voraussetzung.

Daher ist nur das manuelle Einhängen der Ordner sicher.

 

[Tommes]

Wenn ich jedoch die Ordner mittels automatischen Mount einbinde muss die DS das Passwort irgendwo abgespeichert haben.
(Ziel ist des DS nachts herunterzufahren und morgens wieder zu starten.)
...
Wenn dann das Passwort oder die Passwortdatei im Filesystem hinterlegt sind ist das verschlüsseln nur eine Augenwischerei.

Solange der verschlüsselte Ordner aber eingehangen ist, braucht man auch garnicht erst nach dem Passwort-Schlüssel zu suchen, da der Inhalt "theoretisch" ja für jeden lesbar ist. Folglich ist selbst ein manuell eingehangender, verschlüsselter Ordner nicht sicherer als ein "normaler" Gemeinsamer Ordner" solange er eingehangen ist.

Tommes

 

[raugust]

Alles nicht so optimal. Besonders wenn Schloss und Schlüssel zusammen abgelegt werden.
Gibt es eine Möglichkeit über Script oder Client den Mount durchzuführen. Dann wäre das Passwort auf einem anderen System hinterlegt.
Mittels Browser das Einhängen durchzuführen, ist nicht wirklich bedienungsfreundlich.
Wenn das System wenigsten mittels Hypernating bis zum Trennen des Volumes gemountet wäre, aber das gibt’s ja nicht.
Wofür ist denn das Einsatzgebiet der verschlüsselten Ordner gedacht.

 

[Puppetmaster]

Wofür ist denn das Einsatzgebiet der verschlüsselten Ordner gedacht.

Na, z.B. schützt es bei Diebstahl.
Auf einer DS habe ich persönliche Daten, die ich ungern "teilen" möchte. Da die DS 24/7 läuft und die Neustarts/Jahr im einstelligen Bereich liegen, stört das manuelle Mounten nicht.

 

[Tommes]

Gibt es eine Möglichkeit über Script oder Client den Mount durchzuführen. Dann wäre das Passwort auf einem anderen System hinterlegt.

Das dürfte eigentlich machbar sein, da die Verschlüsselung auf ecryptfs basiert. Man kann demnach auch auf der Konsole der DS ein wenig mit dem Verschlüsselungssystem rumspielen. Ebenso dürfte es auch über eine SSH-Verbindung und einem entsprechenden Script möglich sein, einen verschlüsselten Ordner auf der DS von einem anderen Client aus einzuhängen. Übrigens eine interessante Idee die ich mal mit meinem Raspberry Pi ausprobieren sollte.

Mittels Browser das Einhängen durchzuführen, ist nicht wirklich bedienungsfreundlich.

Da gebe ich dir recht.

Wofür ist denn das Einsatzgebiet der verschlüsselten Ordner gedacht.

Ich persönlich nutze es einmal als reine Diebstahlsicherung, wobei ich den verschlüsselten Ordner permanent auf meiner im 24/7 Betrieb laufenden DS "manuell" eingehangen habe. Wird die DS runtergefahren oder von Strom getrennt, fällt der Ordner zu und meine Daten sind sicher.
Weiterhin sicherer ich diesen Ordner ebenfalls verschlüsselt auf einer weiteren DS. Auf der zweiten DS liegen dann noch ein oder zwei Ordner die ebenfalls verschlüsselt, die aber i.d.R. nicht eingebunden sind, sondern nur bei Bedarf kurzzeitig geöffnet werden.

Zu guter Letzt sichere ich aber nochmal alle verschlüsselten Daten unverschlüsselt auf einer USB-Platte, die an einem sicheren Ort deponiert ist. Murphy schlägt halt überall zu.

Tommes

 

[Mischa42]

Zu guter Letzt sichere ich aber nochmal alle verschlüsselten Daten unverschlüsselt auf einer USB-Platte, die an einem sicheren Ort deponiert ist. Murphy schlägt halt überall zu.

Tommes

Hallo Tommes,
gibt es eine Möglichkeit (Tool) um die verschlüsselten Daten per Hand zu entschlüsseln? Ich habe einige Order auf meiner DS214play verschlüsselt und synchronisiere diese in die Cloud (genauer per HiDrive App zu Hi Drive von Strato). Im Verlust (Diebstahl) der DS hätte ich nur die verschlüsselten Order auf HiDrive. Kann man diese mit einem Tool (also ohne DS Station) entschlüsseln? Vorausgesetzt ich habe das Passwort und den Schlüssel (welchen man ja speichern muss sobald man einen neuen verschlüsselten Ordner anlegt).

Gruß & Danke,
Mischa

 

[Tommes]

Schau mal hier...
http://www.synology-wiki.de/index.php/Wiederherstellen_verschlüsselter_Ordner

BTW: Bei meinem Vorgehen die verschlüsselten Daten unverschlüsselt wegzuspeichern brauche ich keine extra Tools und/oder Tricks. Der Inhalt des bereits eingehangen, verschlüsselten Ordners wird einfach per rsync kopiert. Da der Ordner ja eingehangen ist, behandelt rsync die darin befindlichen Dateien als wären sie garnicht verschlüsselt.

Tommes

 

[PsychoHH]

Du suchst doch genau sowas oder?
Wenn der usb stick steckt wird automatisch entschlüsselt und optional beim entfernen getrennt.
http://www.synology-forum.de/showthread.html?28498-Verschlüsselte-Ordner-über-USB-Stick-steuern


Bei einer ds mit copy Taste könnte man es eventuell auch ohne autorun machen, sodass beim drücken der copy Taste das Script vom Stick geladen wird. Das habe ich aber nicht getestet.
Jedenfalls hab ich hier letztens gelesen, dass man das Script der copy Funktion ändern kann.

 

[dil88]

Hier ist der Beitrag von fraubi zum Thema Copy-Button-Script.

 

[Tommes]

Du suchst doch genau sowas oder?

Meinst du mich?

Das Problem mit dem USB-Stick ist ja der, das dieser bei Diebstahl der DS evtl. auch gleich seinen Besitzer wechselt, sollte er noch eingesteckt sein und somit Tür und Tor offen stehen. Daher sollte der Schlüssel zumindest räumlich getrennt von der DS aufbewahrt werden. Irgendwer hat das irgendwie mit seiner Fritzbox umgesetzt. Also den Stick mit dem Schlüssel in die Fritzbox gesteckt um so den Ordner auf der DS zu öffnen. Das ist schon wesentlich interessanter. Ich find nur grad den Thread nicht mehr.

Und ja, man kann die Copy-Taster Funktion abändern, gleiches erreichst du aber auch mit autorun... sogar ohne eine Taste zu drücken

Ergänzung: Hab den Thread doch grad gefunden http://www.synology-forum.de/showth...-entschlüsseln&p=387288&viewfull=1#post387288

Tommes

 

[PsychoHH]

Nein ich meine raugust.

Ja genau das hab ich auch schon mal gelesen, aber eine Lösung bzw. Anleitung dazu wurde ja nicht geschrieben.

Natürlich sollte man den Stick nicht stecken lassen, dass sollte klar sein.
Es gibt ja auch einige unauffällige Stick und man kann sie ja auch verstecken, sodass ein Diebstahl der DS inkl. Stick schon sehr unwahrscheinlich wäre.
Man kann diesen ja auch einfach an einen Schlüssel packen oder im Auto verstecken, wenn man nicht oft neustartet.


Ja natürlich kann man das auch nur mit dem autorun machen. Wenn der Stick aber tatsächlich mal Steck wird nicht sofort gemountet/entschlüsselt sondern erst beim zusätzlichen drücken der Copy Taste. Jetzt könnte man auch noch so weit gehen, dass das Script nur ausgeführt wird wenn ein bestimmtes Gerät angepingt wird. z.B. ein Gerät welches man extra einschaltet zum entschlüsseln.

Wahrscheinlich könnte man es sogar soweit treiben, dass man z.B. ein Handy/Pi einschalten muss und dann die Copy Taste drückt, dann wird per vom Gerät das Script inkl. Key geladen und gleich nach dem mounten gelöscht. Nur so als Idee.

 

[Tommes]

Oder man hängt den Ordner nach dem Start der DS einfach manuell ein und läßt seine DS 24/7 laufen. Wird die DS stromlos gemacht, fällt der Ordner zu und alles ist gut. Und da mir die Verschlüsselung eh nur als reiner Diebstahlschutz dient, habe ich das genauso bei mir am laufen.

Es gibt aber wohl viele Wege und Möglichkeiten sowas umzusetzen. Über Sinn und Unsinn läßt sich da bekanntlich streiten. Meine Wunschvorstellung wäre, das ich diese Ordner bei Bedarf über z.B. den Windows Explorer "aufschließen" und wieder "abschließen" kann. Das aber umständlich über die Web-GUI zu veranlassen ist für mich nicht zielführend. Und das mit einem Stick (in wecher Form auch immer) zu lösen, ist mir auch alles zu schwammig. Aber ich glaube, an dem Verfahren der Ver- und Entschlüsselung wird sich seitens Synology so schnell auch nichts ändern.

Tommes

 

[Puppetmaster]

Hoffen wir, dass ein potentieller Dieb nicht so geschult auf Synololgy ist.

Im Zweifel nimmt er die obligatorische USV gleich mit, läßt die DS eingesteckt und benötigt gar keinen Neustart. ;-)))
Dann muss er nur noch gucken, wie er in die DS kommt.

Werden bei einem Reset eingehängte, verschlüsselte Ordner ausgehangen?

 

[dil88]

Ja (Quelle Tommes).

 

[Mischa42]

Schau mal hier...
http://www.synology-wiki.de/index.php/Wiederherstellen_verschlüsselter_Ordner

BTW: Bei meinem Vorgehen die verschlüsselten Daten unverschlüsselt wegzuspeichern brauche ich keine extra Tools und/oder Tricks. Der Inhalt des bereits eingehangen, verschlüsselten Ordners wird einfach per rsync kopiert. Da der Ordner ja eingehangen ist, behandelt rsync die darin befindlichen Dateien als wären sie garnicht verschlüsselt.

Tommes

Brillant, genau das was ich gesucht habe! Danke Dir!

Ich kopiere die (unverschlüsselten) Dateien aus dem "verschlüsselten" Order einmal im Monat in eine TrueCrypt Datei auf dem USB Stick. Dies ist einfach und kostet wenig Zeit.
Mir ging es darum, dass im Worst-Worst Case (DS abgebrannt und USB Platte verschmort weil im gleichen Zimmer) ich an die verschlüsselten Daten auf HiDrive ran komme.

Grüße
Mischa

 

[Tommes]

Im Zweifel nimmt er die obligatorische USV gleich mit, läßt die DS eingesteckt und benötigt gar keinen Neustart. ;-)))

Deshalb hab ich ja auch keine USV (mehr)

Tommes

 

[PsychoHH]

Deshalb hab ich ja auch keine USV (mehr)

Tommes

Oder man stell diesen in einem anderen Raum und bohrt ein Loch in die Wand. Wenn man dann die DS mitnehmen will, muss sie von der usv getrennt werden. Sollte eine sehr sichere Lösung sein

 

[whitbread]

Ich nutze auch verschlüsselte Ordner im 24/7-Betrieb.

"Mein Dieb" hat es nicht auf die Daten abgesehen, nimmt aber dummerweise die NAS mit und verkauft diese. Dann erhält der Käufer zwar meine (unverschlüsselte) Videosammlung, nicht aber meine Daten.
Zudem sichere ich auf eine zweite NAS; dort sind die Daten dann auch gleich verschlüsselt.

Gegen "Datendiebe" hilft imho nur den Netzwerkstecker zu ziehen!

 

[Tommes]

Zudem sichere ich auf eine zweite NAS; dort sind die Daten dann auch gleich verschlüsselt.

Jepp, genauso mach ich das auch. Meine Produktiv-DS sichert regelmäßig verschlüsselt auf meine Backup-DS. Dabei habe ich meine Backup-DS so gut im Haus versteckt, das weder meine Frau noch mein Sohn diese bisher entdeckt haben. Und da sowohl Frauen als auch Kinder eigentlich immer das finden was sie nicht finden sollen, denke ich einen geeigneten und sicheren Platz gefunden zu haben, den wohl auch ein Dieb nicht so schnell finden dürfte.

Tommes