Gemeinsame Ordner verschlüsseln

[tproko]

Kleines Detail am Rande für die Skripts oben.
Wurde der Wert in Passwort via curl etc. abgelegt, muss die Variable mit $Passwort beim synoshare Befehl verwendet werden.

 

[PeterPanther]

Das wäre eine Möglichkeit. Wenn der Raspi aber direkt daneben steht, ist das irgendwie kontraproduktiv. Ein Dieb (oder der Staatsanwalt) nimmt den ja auch mit.

Das würde z.B. so aussehen:

## Passwort holen
PASSWORT=$(curl http://IPvomRASPI/meineTextdateimitPasswort.txt)

Das kannst du auf der Konsole ausprobieren. Lege ins Webverzeichnis vom Webserver des Raspi eine Textdatei und rufe sie so auf:

curl http://IPvomRASPI/meineTextdateimitPasswort.txt

http wäre dann aber unverschlüsselt bei der Übertragung.

HTTPS erschiene mir aus dem hohlen Bauch raus auch sinnvoller, selbst wenn sich das Ganze nur im LAN abspielt.
Dafür müßte ich jetzt erstmal gucken, wie ich einen https-Server auf einem Raspi aufsetze, der dann die Datei mit dem Schlüssel beherbergt.

Zu Deinem Einwand mit dem physischen Diebstahl dles Raspi: Ja, klar, das Problem hatte ich ja oben schon selbst beschrieben. Deshalb wäre es ja optimal, wenn auf dem Raspi eine Art "Tresor" vorhanden wäre, der nach jedem Raspi-Neustart mittels Paßwort zu entschlüsseln wäre.
Dann hätte der pöhse Tieb zwar sowohl die Syno, als auch den Schlüssel in Händen, käme aber an den Schlüssel nicht dran, weil der wiederum verschlüsselt wäre.

Aus meiner Sicht würde eine solche Lösung Sicherheit und Komfort sehr gut vereinigen, allerdings ist das für einen Menschen mit geringen EDV-Kenntnissen alles nicht ganz so einfach....

 

[Wollfuchs]

Und den ganzen, wenn auch sehr interessanten aufwand, weil man ein system, das fuer den 24/7 betrieb ausgelegt ist, mit gewalt runter und hochfaehrt um die lebensdauer der platten zu verkuerzen.

glaubt dir in der kneipe auch keiner.

 

[peterhoffmann]

Wurde der Wert in Passwort via curl etc. abgelegt, muss die Variable mit $Passwort beim synoshare Befehl verwendet werden.

Stimmt. Das ist mir durchgefluscht.
Statt

synoshare --enc_mount Peter PASSWORT

ist das hier richtig:

synoshare --enc_mount Peter $PASSWORT

Leider kann ich die anderen Postings von mir nicht mehr bearbeiten.

Deshalb wäre es ja optimal, wenn auf dem Raspi eine Art "Tresor" vorhanden wäre, der nach jedem Raspi-Neustart mittels Paßwort zu entschlüsseln wäre.
Dann hätte der pöhse Tieb zwar sowohl die Syno, als auch den Schlüssel in Händen, käme aber an den Schlüssel nicht dran, weil der wiederum verschlüsselt wäre.

Ich sehe so keinerlei Nutzen mehr. Von der Sicherheit ganz abgesehen.
Der Vorteil ist ja, dass man beim Neustart vom NAS nicht das Passwort eingeben muss. So muss ich aber das Passwort auf dem Raspi freischalten. Dann kann ich gleich den Raspi rausnehmen und das Passwort direkt beim NAS eingeben.

 

[PeterPanther]

Und den ganzen, wenn auch sehr interessanten aufwand, weil man ein system, das fuer den 24/7 betrieb ausgelegt ist, mit gewalt runter und hochfaehrt um die lebensdauer der platten zu verkuerzen.

glaubt dir in der kneipe auch keiner.

Psst! Sowas würde ich in der Kneipe nie erzählen!

Nein im ernst, wieso sollte es das Leben des Systems verkürzen, wenn es an einem Tag einmal hoch- und einmal runterfährt? Da wäre wohl ein häufiges "Hibernation"-Prozedere problematischer, was ich aber mangels zuverlässiger Funktionalität ohnehin abgeschaltet habe.
Meine Standard-Zeit ist 17-1 (mit der Option, die Syno auch vor 17 mit einem Klick per WOL hochzuholen und bis 1 laufen zu lassen; außerdem fährt das Ding auch nach 1 erst runter wenn bestimmte Voraussetzungen vorliegen).
Dieses Szenario bietet ohne nennenswerte Komforteinbußen eine Verringerung der Betriebsstunden von 24x365=8760h auf 8x365=2920h. Die 2920h sind natürlich +x (gelegentliches früheres Hoch- bzw. späteres Runterfahren), sagen wir mal 3500h. Das spart im Jahr immer noch rund 5.000 Betriebsstunden.
Das kann man jetzt mal bei 100W Verbrauch ja mal ausrechnen. Und wie gesagt: Ich glaube, die DS verkraftet das genauso locker wie die WD red, ganz im Gegensatz zu häufigem "an / aus" bei Hibernation.

Vielleicht erzähle ich es doch demnächst mal in der Kneipe! ;-)

Stimmt. Das ist mir durchgefluscht.
Statt

synoshare --enc_mount Peter PASSWORT

ist das hier richtig:

synoshare --enc_mount Peter $PASSWORT

Leider kann ich die anderen Postings von mir nicht mehr bearbeiten.


Ich sehe so keinerlei Nutzen mehr. Von der Sicherheit ganz abgesehen.
Der Vorteil ist ja, dass man beim Neustart vom NAS nicht das Passwort eingeben muss. So muss ich aber das Passwort auf dem Raspi freischalten. Dann kann ich gleich den Raspi rausnehmen und das Passwort direkt beim NAS eingeben.

Wieso, der Raspi läuft ja 24/7 als pi hole und DNS-Server?!
Die Passwort-Freigabe des Schlüssels auf dem Raspi wäre ja nur bei einem Neustart (Szenario: Der Dieb nimmt physisch beide Geräte mit und macht damit das raspi stromlos.) erforderlich, sonst wäre der "Tresor" offen und könnte im Netzwerk jederzeit von der Syno angefragt werden.

Oder habe ich da irgendwas übersehen und einen Denkfehler?

 

[the other]

Moinsen,
Nö, hört sich nach ner tollen Idee an.
Da ich leider vom Script schreiben ebenfalls null Ahnung habe, ermuntere ich hiermit dazu, dass mal als forumsprojekt anzugehen...Vielleicht haben die richtigen Profis hier im forum ja Lust, dazu mal ein tutorial o. ä zu machen.

Eigentlich müsste auf dem raspi einfach ein verschlüsselter Ordner mit enthaltenem Schlüssel für die NAS Ordner. Das Script verbindet sich dann nach den empfohlenen 30 Sekunden per SSH mit dem raspi, hangelt sich zum dann ja unverschlüsselten Ordner und holt den Schlüssel ab. Diesen dann bereitstellen für die NAS Ordner und gut. Oder denk ich da zu doof?