Frage zu Synology Drive Backup Sicherungstyp

[Joschie]

Ich greife mein Thema mal wieder auf, nachdem ich mein Problem mit den Zertifikaten hoffentlich jetzt im Griff habe.

Aktuell tendiere ich ein wenig zu Synolgy Drive um von den Clients --> NAS-Server

Und dann auf dem Server HyperBackup.

Das einzige was mich stört ist der fehlende Datenschutz auf dem Server. D.h. wenn die Clients(meine Familie) mit "Synology Drive" die Daten synchronisieren(übers Internet auf meinen NAS), dann liegen diese lesbar für den Administrator auf dem NAS. Ja, ich bin der Administrator, aber auch meine Familie will Datenschutz vor mir, auch obwohl diese mir trauen.

Borg-Backup ist zu aufwendig für meine Familie. Zumindest was ich bis jetzt gesehen habe. Läuft alles über Terminal. Das kriegen meine Familien-Mitglieder nicht hin. Es fehlt aber auch ein Versions-Browser? um das Handling für die Clients zu verbessern.

Habt Ihr da einen Ansatz?

Mein Ansatz wäre einen verschlüsselten Ordner auf der NAS zu erzeugen, den meine Familienmitglieder erst selber aufschliessen müssen. Allerdings weiß ich nicht wie Sie das können. Übers Internet möchte ich kein DSM freigeben.

Kann man per SSH-Terminal verschlüsselte Ordner der NAS entschlüsseln?

 

[Monacum]

Deine Familie wird sich damit abfinden müssen, dass ein Administrator immer Zugriff auf alle Daten hat, das liegt schon in der Definition dieser User-Gruppe. Aber einen kleinen Workaround gibt es, der auch noch mehr Sicherheit gibt: Nutze doch für deine normale Arbeit am NAS einfach ebenfalls einen eigenen User und nicht den Administrator. Das reduziert das Risiko bei unberechtigten Zugriffen und du hast keinen Zugriff auf die Daten deiner Familie, wenn du sie nicht explizit gewährst.

Aber der Admin wird immer alles machen können, weil das sein Job ist. Das gilt auch für Firmen etc., die Möglichkeit des Zugriffs besteht für Admins immer auf irgendeinem Weg.

 

[Joschie]

Ok, aber es sollte ja möglich sein, einen nur lesbaren Benutzerordner zu erstellen?

Und diesen mittels einer Summen-Berechnung einen Status Quo zuzuordnen. Wenn der Admin diesen verändert, dann stimmt die Summe nicht mehr.

Oder einen nur lesbaren Benutzer Ordner der verschlüsselt wird mit einem Schlüsselmanager auf der NAS? Ist der Schlüsselmanager ein eigenständiges Programm?

 

[Monacum]

Ein Admin hat per se Zugriff auf alle Einstellungen, das kannst du nicht verhindern

Nein, der Schlüsselmanager ist nach meinem Verständnis Teil von DSM und ein Benutzer ohne Administratorrechte hat nicht einmal Zugriff darauf, weil die Berechtigung für die Systemsteuerung ihm nicht erteilt werden kann.

 

[Joschie]

Ich habe im Internet was von automatischem Einhängen von verschlüsselten und freigegebenen Ordnern gelesen. Wie würde dies ablaufen bei einem Client, der per Synology Drive auf diesen verschlüsselten Ordner synchronisieren will?

 

[Monacum]

Da geht es darum, dass diese verschlüsselten Ordner beim Hochfahren automatisch entschlüsselt werden über den Schlüsselmanager, mit dem Zugriff eines Clients und Synology Drive hat das erst mal nichts zu tun.

 

[Joschie]

Geht denn Borg-Backup auch mit QuickConnect? Oder benötige ich da auf jeden Fall dieses "ReverseProxy"?

Kann man mit Borg-Backup auch seine Sicherungen anzeigen lassen? Gibt es grafische Clients für Linux?

 

[Monacum]

Da ich das Programm nicht kenne, kann ich dir dazu nichts sagen. Hast du dich denn zu dem Programm schon einmal im Internet erkundigt? Irgendwoher hast du ja die Informationen darüber, was es kann und was nicht.

 

[Joschie]

Bin noch am erkundigen bezüglich Borg-Backup. Das mit SSH ist mir ein wenig ein Dorn im Auge. Bin mir nicht sicher, ob ich dann auch VPN-Tunneling einrichten müsste?

Vor allen Dingen würden dann weitere Probleme auftreten. Speziell mit Firewall. Oder mit meinem VPN-Anbieter.

 

[Monacum]

Dann musst du dir tatsächlich so langsam überlegen, ob es den Aufwand wert ist, oder ob deiner Familie dir nicht vertraut, dass du nicht einfach auf deren Dateien zu greifst. Ich administriere bei uns zu Hause auch und ich wüsste gar nicht, warum ich in den Daten meiner Familie überhaupt etwas suchen sollte. Das ist dann halt eine grundsätzliche Vertrauensfrage.

 

[Joschie]

Wie verbindet man sich per SSH zu einer QuickConnect NAS Freigabe? Wie könnte die Befehlszeile lauten?

 

[Joschie]

Dann musst du dir tatsächlich so langsam überlegen, ob es den Aufwand wert ist, oder ob deiner Familie dir nicht vertraut, dass du nicht einfach auf deren Dateien zu greifst. Ich administriere bei uns zu Hause auch und ich wüsste gar nicht, warum ich in den Daten meiner Familie überhaupt etwas suchen sollte. Das ist dann halt eine grundsätzliche Vertrauensfrage.

Du kennst vielleicht das Dilemma mit Huhn und Ei? Wenn ein Problem auftaucht, Wer hat Schuld?
Ich bin der Typ, der sein Leben so gestaltet, dass diese Frage gar nicht aufkommt.

 

[Thonav]

Wie verbindet man sich per SSH zu einer QuickConnect NAS Freigabe?

Hi @Joschie - wenn Du so eine Frage stellst, kann auch ich Dir nur raten damit nicht weiter zu machen.

Es gibt immer eine Administrator auf einem NAS - sei es bei jedem hier zuhause, als auch bei OneDrive oder Apple. Also wenn Dir Deine Familie nicht traut, dann muss eben ein anderer in Deiner Familie der Administrator sein.

 

[Monacum]

Es wird langsam hier esoterisch, ich habe meinen Teil beigetragen, mehr kann ich dir leider nicht helfen.

 

[Joschie]

Danke Euch. Mir hat diese Diskussion viel geholfen. QuickConnect kommt raus, dafür brauche ich Ersatz.
(QuickConnect funktioniert nicht mit SSH übers Internet)

Als Backup Lösung für die Clients nehme ich Borg-Backup. Und auf dem Server Hyper-Backup.

D.h. ich muss SSH übers Internet lauffähig bekommen. Benötige ich dafür ReverseProxy? Ich habe eine DualStack DSL-Leitung. Per normalem DDNS ist mein NAS nicht erreichbar.

 

[Thonav]

ssh über das Internet? Du weißt definitiv nicht was Du da tust. Ich bin jetzt hier raus, da Du eh jeden Rat abschlägst.

 

[Monacum]

@Joschie: Nur mal nebenbei: SSH kann unter DSM nur von Admins genutzt werden und wenn das Passwort kompromittiert wird, kann man von außen mit root-Rechten in deinem System herumpfuschen.

 

[Joschie]

SSH sollte möglichst für Administratoren nicht freigegeben werden. Dies ist nicht Teil der Linux-Philosphie und stellt ein großes Risiko dar.

 

[Monacum]

Versuch doch mal, meine Beiträge zu lesen und zu verstehen: DSM erlaubt SSH und Telnet nur für Benutzer, die der Gruppe der Administratoren angehören.

 

[Benie]

Als Backup Lösung für die Clients nehme ich Borg-Backup.

Da Du aktuell über das Wesen und Arbeiten auf der Konsole nicht wirklich informiert bist, und Du da auch nicht gerade erfahren wirkst, kann ich nicht ganz verstehen was Dich antreibt ein Backup Programm zu verwenden wollen, das ausschließlich auf der Konsole bedient wird.