Gemeinsame Ordner verschlüsseln

[PeterPanther]

Guten Tag zusammen,

ich muß hier nochmal ein altes Thema wieder neu einbringen.

Ich möchte gern bestimmte gemeinsame Ordner verschlüsseln, um die Daten bei physischen Diebstahl der Hardware gegen unbefugten Zugriff zu schützen.

Die Möglichkeit, den Schlüsselmanager auf einen USB-Stick auszulagern ist mir bekannt.

Bei mir ist die Situation aber so, dass die Synology abends automatisiert herunterfährt und mittags wieder startet.
Dabei sollten die verschlüsselten verzeichnisse automatisch bereitgestellt werden, was es erforderlich machte, den USB-Stick immer im Gerät zu belassen, was die ganze Sache ziemlich sinnlos machen würde.

Schon länger hoffe ich darauf, Synology könnte eine Möglichkeit implementieren, den Schlüssel an einem anderen Ort im Netzwerk abzurufen, leider bislang vergeblich.

Meine Idee wäre, den USB Stick zum Beispiel in einem Raspberry unterzubringen und dann beim Start ein Skript auszuführen, mit dem sich die Syno den Schlüssel für den jeweiligen Ordner dort abholt.

Geht sowas?

 

[mcm57]

Ich schließe mich hier mal an - da mich das auch interessiert:
An sich würde es doch ausreichen, wenn der Schlüsselmanager bei einem HARD RESET der Box nicht mehr aktiv ist und die einzelnen shares neu freigegeben werden müssen.

Sollte das Admin Passwort hinreichend stark sein so hat der Diesb 2 Möglichkeiten an die Daten zu kommen:
a) Ausbau der Platten -> wenn verschlüsselt ist das sinnlos
b) HW Reset (Knopferl drücken) der Syno um das Admin Passwort zu löschen

Ich konnte bisher nicht rausfinden ob nun ein HW Reset den Schlüsselmanager "vernichtet", sprich man nach einem HW Reset problemlos auf die verschlüsselten Ordner zugreifen kann - oder nicht.

Hat das schon mal jemand getestet?

McM

 

[swooto]

Das Thema interessiert mich auch schon lange. Bei Gelegenheit werde ich einmal die hier beschriebene Lösung von @peterhoffmann versuchen umzusetzen.

 

[Black_Rider]

Hallo zusammen

Bin auch an dem Thema dran. Wenn nach Hardwarereset der Schlüsselmanager geresetet wird, könnte man ja, falls das Adminpw genügend stark ist, Problemlos die Passwörter auf der Syno gespeichert haben. Falls ich das richtig verstanden habe.

Ansonsten kam mir gerade spontan in den Sinn einfach mittels Script die Mac Adresse eines im Netzwerk befindenden Gerätes als Passwort zu nehmen, oder diese mit einem zusätzlichen (wie im von Swooto verlinkten Thread beschriebenen) Passwort zusammen zu setzten.

Werde mich am Weekend mal um eine Lösung für mich kümmern. Einen USB Stick fähigen Router habe ich leider nicht.

Gruss

Black

 

[ottosykora]

spielt doch keine Rolle wie stark das admin pass ist, das wird ohnehin gelöscht und die Ordner kann man nur noch von Hand mounten, automatisch geht nicht mehr.

 

[peterhoffmann]

Mac Adresse eines im Netzwerk befindenden Gerätes als Passwort zu nehmen

Dieser Querdenkergedanke gefällt mir.
Bei dieser Art würde ich aber sicherstellen, dass man die MAC-Adresse ohne Auslesen auch bekommt. Das betreffende Gerät könnte ja mal kaputtgehen.

Noch ein paar Hinweise, die mir gerade noch einfallen:

• Die einzelnen Passwortsegmente sollten nicht zu kurz sein. Je nach Anzahl der Segmente dürfen sie aber auch nicht zu lang sein, da es eine Maximallänge beim NAS gibt.
• Mindestens ein Passwortsegment muss (wenn möglich) im eigenen Netzwerk liegen (nicht auf dem NAS selber). So schließt man aus, dass das NAS im fremden Netzwerk entschlüsselt.

 

[NocTec]

Wenn nach Hardwarereset der Schlüsselmanager geresetet wird, könnte man ja, falls das Adminpw genügend stark ist, Problemlos die Passwörter auf der Syno gespeichert haben

Das wäre nicht besonders sicher. Wenn man Zugriff auf die Platten hat gibt es andere Möglichkeiten auf das System zu kommen, man braucht den Reset nicht.

Die einzelnen Passwortsegmente sollten nicht zu kurz sein.

Wo liegt der Vorteil von der Verwendung von Segmenten? Das NAS braucht Zugriff auf alle Segmente, ob die nun verteilt sind oder nicht spielt doch keine Rolle? Der Ort muß nur so gewählt sein, dass das NAS im Falle des Falles keinen Zugriff mehr drauf hat.

Am besten speichert man die Passworte gar nicht und gibt sie im seltenen Fall eines Stromausfalls manuell neu ein.

Die Idee mit der MAC Adresse ist nicht schlecht. Man muss aber sicher stellen, dass der ARP Cache nicht irgendwo Spuren hinterläßt und dass die Mac Adresse nicht in irgendeinem Log oder Dump steht. Ganz verlassen würde ich mich da auch nicht drauf.

Wie wäre es denn mit folgender Lösung: Man legt das Passwort auf eine andere Maschine z.B. einen Raspberry Pi, ODroid, anderes NAS etc, die nur aus dem privaten Netz zu erreichen ist und lädt es per SSH in sein Mountscript. Die Maschine könnte im Extremfall sogar aus sein und per WOL vom NAS gestartet und nach dem mounten wieder runtergefahren werden.

 

[mcm57]

Ich habe das hier gefunden:
https://www.synology.com/de-de/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS
Wenn ich das richtig lese gibt es nach einem Reset der Box KEIN automount mehr. Und für ein manuelles Mount müsste man ja die Passwörter der verschlüsselten Shares oder deren Keys kennen - alternativ das Passwort des Keymanagers. Habe ich nichts davon, kann ich nicht entschlüsseln.
Oder überseh ich da was?

Das wäre nicht besonders sicher. Wenn man Zugriff auf die Platten hat gibt es andere Möglichkeiten auf das System zu kommen, man braucht den Reset nicht.

Ich versteh das jetzt nicht sicher. Die verschlüsselten Oderner sind ja auch bei Ausbau der Platten verschlüsselt.

Meinst du, dass man durch physikalischen Zugriff auf die Platten die Kennwörter von Accounts umsetzen kann? Tja, das sollte gehen und wär dann allerdings eine Möglichkeit an alles ran zu kommen. Im Prinzip würde es dann ja wohl ausreichen irgendeinen Account der Zugriffsrechte auf die Ordner hat mittels direktem Zugriff zu öffnen - admin Zugang bräuchte ich da dann gar nicht.

Wenn meine letzten Überlegungen stimmen, dann ist jede Form von Automount (d.h. decrypt) basierend auf Daten die auf bzw. an der DS liegen als unsicher einzustufen und hilft wahrscheinlich gegen Gelegenheitsdiebe die nur die HW interessiert und max schnall mal reinschaun - nicht aber gegen jemand der an die Daten wirklich ran will.

McM

 

[NocTec]

Meinst du, dass man durch physikalischen Zugriff auf die Platten die Kennwörter von Accounts umsetzen kann?

Wenn meine letzten Überlegungen stimmen, dann ist jede Form von Automount (d.h. decrypt) basierend auf Daten die auf bzw. an der DS liegen als unsicher einzustufen

Genau so ist es! Schlüssel und Daten müssen getrennt werden.

Das oben angesprochene segmentieren des Passworts macht in sofern Sinn, wenn man davon ausgeht, dass jemand phyiskalischen Zugriff auf das NAS und das zweite Gerät, auf dem der Schlüssel liegt, bekommt. Bei einem segmentierten Passwort könnte man dann nachträglich den Zugriff auf eines der Segmente sperren, z.B. vom Webserver im Rechenzentrum löschen, wenn man schnell genug ist.

 

[PeterPanther]

(...)

Wie wäre es denn mit folgender Lösung: Man legt das Passwort auf eine andere Maschine z.B. einen Raspberry Pi, ODroid, anderes NAS etc, die nur aus dem privaten Netz zu erreichen ist und lädt es per SSH in sein Mountscript. Die Maschine könnte im Extremfall sogar aus sein und per WOL vom NAS gestartet und nach dem mounten wieder runtergefahren werden.

Das wäre ja genau die Lösung, die mir vorschwebt. Die Frage ist nur, wie man das anstellt...

 

[peterhoffmann]

Wo liegt der Vorteil von der Verwendung von Segmenten? Das NAS braucht Zugriff auf alle Segmente, ob die nun verteilt sind oder nicht spielt doch keine Rolle? Der Ort muß nur so gewählt sein, dass das NAS im Falle des Falles keinen Zugriff mehr drauf hat.

Du hast dir ja selber schon die Antwort gegeben. Ein Segment muss intern und eins extern liegen um es dem Dieb so schwer wie möglich zu machen. Ich halte es für gefährlich das Passwort nur in einem Gerät zu speichern.

Die Idee mit der MAC Adresse ist nicht schlecht. Man muss aber sicher stellen, dass der ARP Cache nicht irgendwo Spuren hinterläßt und dass die Mac Adresse nicht in irgendeinem Log oder Dump steht.

Ich fand die Idee auch zu Anfang super. Der Einwand mit dem Cache, Log oder Dump ist aber auch gut und macht diese Idee zunichte. Danke für den Input.

Wie wäre es denn mit folgender Lösung: Man legt das Passwort auf eine andere Maschine z.B. einen Raspberry Pi, ODroid, anderes NAS

Das sind alles Geräte, die eventuell auch mitgenommen werden (wenn sie nicht gut versteckt sind).
Es gibt aber noch andere Alternativen, z.B. eine smarte Steckdose, die im WLAN hängt.

Die Frage ist nur, wie man das anstellt...

Mit einem Script... das sind nur ein paar Zeilen.

 

[ottosykora]

Das sind alles Geräte, die eventuell auch mitgenommen werden (wenn sie nicht gut versteckt sind).

ich erinnere mich momentan nicht wer das hier im Forum so eingerichtet hat, aber jemand hat den Schlüssel in einem USB Stick abgelegt, dieser ist zwar mit der DS per Kabel verbunden, jedoch ist der Stick selber mit einem Epoxy Klebstoff so an der Wand oder so was befestigt, dass es bei jedem Versuch es mitzunehmen physisch zerstört wird.

 

[PeterPanther]

(...)


Mit einem Script... das sind nur ein paar Zeilen.

OK. Ich will ja nicht frech sein, aber wie muß das aussehen?

Also Beispiel:

Die gemeinsamen Ordner "Peter" und "Petra" sollen beim Systemstart automatisch geöffnet werden. Der Schlüssel dazu soll auf einem im Heimnetz liegenden Raspi mit der IP 192.192.192.92 abgespeichert werden. Bzw. auf einem daran angeschlossenen Stick.

Wie müßte so ein Script aussehen?

 

[peterhoffmann]

In den Tiefen dieses Forums ist ein Grundgerüst von mir, irgendwo in einem Verschlüsselungsthread. Da musst du ein wenig suchen.

Das Einhängen/Entschlüsseln ist ein "Einzeiler"

synoshare --enc_mount "GemeinsamerORDNER" PASSWORD

Das "Holen" vom Passwort kann auf vielen Wegen geschehen (SSH, SMB, Webserver, usw.). Es sollte darauf geachtet werden, dass der Weg vom Passwort vom Raspi zum NAS verschlüsselt ist. Das gilt speziell dann, wenn man das Passwort nicht teilt.

 

[peterhoffmann]

Ich habe einen Schnipsel gefunden.

## Abwarten (30s)
sleep 30

## Passwort holen
......................

## Array
meinarray=(Peter Petra)

## Schleife
for i in ${meinarray[@]}; do
synoshare --enc_mount $i PASSWORT
sleep 10
done

Wichtig ist der Sleep-Befehl (30s) direkt am Anfang. Der verhindert, dass das Script bei einem Neustart vom NAS zu früh anfängt. Auch sollte der Sleep-Befehl (10s) in der Schleife verbleiben. Ich habe die Erfahrung gemacht, dass sich ohne diese 10s Wartezeit manchmal das NAS beim Mounten verschluckt und einen Ordner vergisst.

Jetzt musst du nur noch schauen, dass du das Passwort im Script einbaust (siehe Punktlinie), sprich das Holen vom Passwort (z.B. mittels curl von dem Webserver des Raspi).

Das Script kann in den Aufgabenplaner vom NAS. Dort so einstellen, dass es beim Neustart gestartet wird.

 

[PeterPanther]

Erst mal Danke für Deine Mühe. Ist sicher nicht einfach, einem Blinden was von Farben zu erklären.

Wenn ich das richtig im Kopf habe, ist jede Zeile, die mit einer Raute beginnt, nur Kommentar und wird nicht bearbeitet, richtig?

Das mit dem Array verstehe ich nicht ganz. Wenn Du

meinarray=(Peter Petra)

schreibst, bedeutet das dann, das ein Array mit zwei Variablen erstellt wird, also einer Variablen Peter und einer Petra?

Wäre das gleichbedeutend für einen Ordner dann:

## Schleife
for i in Peter; do
 synoshare --enc_mount $i PASSWORT
 sleep 10
done

?

 

[peterhoffmann]

Alles was hinter einer Raute steht, ist ein Kommentar. Ich (und viele andere) nutzen das gerne um Scripte übersichtlicher zu gestalten und sich auch in 1-2 Jahren schnell wieder rein zu finden.

Salopp gesagt, ist ein Array eine Variabel, in die man mehrere Werte legen kann. Die Schleife in meinem Script ruft die Inhalte aus dem Array ab und arbeitet sie ab, sprich einmal den Mount mit Peter und einmal mit Petra. Der Array hat den Vorteil, dass du leicht einen dritten Ordner hinzufügen kannst (Peter Petra Rolf). Und schon wird Rolf auch gemountet (wenn das Passwort gleich ist).

Du kannst den Mountbefehl auch ohne Array und ohne Schleife benutzen. Das sieht dann so aus:

## Abwarten (30s)
sleep 30

## Passwort holen
......................

## Mount für Peter
synoshare --enc_mount Peter PASSWORT
sleep 10

## Mount für Petra
synoshare --enc_mount Petra PASSWORT
sleep 10

## Mount für Rolf
synoshare --enc_mount Rolf PASSWORT

So könntest du auch für die Ordner verschiedene Passwörter nutzen (Peter => PASSWORT1, Petra => PASSWORT2, Rolf => PASSWORT3).

Hinweis: Falls der "Gemeinsame Ordner" ein Leerzeichen beeinhaltet, muss man ihn in Anführungsstriche setzen. Bei Peter, Petra und Rolf ist das nicht nötig.

Zur allgemeinen Vorgehensweise:
Taste dich Stück für Stück heran. Lege einen verschlüsselten Testordner an, pack ein paar Testdaten rein und hänge ihn über das DSM wieder aus. Dann probierst du ihn über die Konsole als "root" mit

synoshare --enc_mount TESTORDNER PASSWORT

zu mounten. Wenn das klappt, kannst du weiter scripten.

Um auf die Konsole deines NAS zu kommen, musst du in den Einstellungen (DSM) SSH freischalten. Dann besorgst du dir Putty, loggst dich als "admin" ein (Passwort vom admin des DSM) und loggst dich mit "sudo -i" zu root um.

 

[PeterPanther]

OK. Hoffentlich kann der auch mit Umlauten in Scripts umgehen.... (ein Ordner enthält einen).

Woher weiß er in der Befehlzeile, dass "PASSWORT" das hier

(...)

## Passwort holen
......................

(...)

geholte Passwort ist? Und wie hole ich das?

Ich vermute mal, ich muß auf dem Raspberry irgendeine Art von Webserver aufsetzen?

Womit ich bei der nächsten Frage wäre:
1. Möglichkeit: Vorhandenes Raspberry (pi hole, NUT-Server) nutzen. Das liegt allerdings direkt neben der Syno und das hätte nur sinn, wenn man den Schlüsel auf dem Pi mit Passwort sichern könnte, das man wiederum nach jedem Pi-Start manuell eingeben müsste.
2. Möglichkeit: Ein Pi ausschließlich für diesen Zweck kaufen und an anderer Stelle im Haus unterbringen.

Schöner wäre Möglichkeit 1, das Pi läuft eh 24/7....

 

[mb01]

ich erinnere mich momentan nicht wer das hier im Forum so eingerichtet hat, aber jemand hat den Schlüssel in einem USB Stick abgelegt, dieser ist zwar mit der DS per Kabel verbunden, jedoch ist der Stick selber mit einem Epoxy Klebstoff so an der Wand oder so was befestigt, dass es bei jedem Versuch es mitzunehmen physisch zerstört wird.

Genau die Idee hatte ich auch neulich, bzw. vielleicht nur den Stick über ein Kilo Epoxydharz dauerhaft an ein stabiles/schweres/großes Möbelstück binden ... ist halt letztendlich die Frage, gegen wen man seine Daten schützen will: Diebstahl oder Staatsanwaltschaft ... gegen Ersteres sollten solche Stick-Lösungen schon 99,99% sicher sein. ?

 

[peterhoffmann]

auf dem Raspberry irgendeine Art von Webserver aufsetzen

Das wäre eine Möglichkeit. Wenn der Raspi aber direkt daneben steht, ist das irgendwie kontraproduktiv. Ein Dieb (oder der Staatsanwalt) nimmt den ja auch mit.

## Passwort holen
......................

Das würde z.B. so aussehen:

## Passwort holen
PASSWORT=$(curl http://IPvomRASPI/meineTextdateimitPasswort.txt)

Das kannst du auf der Konsole ausprobieren. Lege ins Webverzeichnis vom Webserver des Raspi eine Textdatei und rufe sie so auf:

curl http://IPvomRASPI/meineTextdateimitPasswort.txt

http wäre dann aber unverschlüsselt bei der Übertragung.