DSM 6.x und darunter Home kann nun verschlüsselt werden?!

[DerIng]

Hallo Zusammen,
weil ich oft hier die Frage danach gelesen hab, will ich mal mein Fundstück aus den release notes des aktuellen DSM 6.1-15047 updates zitieren. Ich hab beim überfliegen nicht gesehen, dass darauf schon hingewiesen wurde.

In addition to encrypting a shared folder as you create it, you can now encrypt an existing shared folder, including the "homes" folder, after its creation.

Also dem entsprechend sollte nun das Homeverzeichnis verschlüsselbar sein. Synology liefert auch gleich den Grund mit, warum das vorher nicht möglich war... ganz einfach, weil nachträglich die Ordner nicht zu verschlüsseln waren. Jetzt geht das aber.

 

[TeXniXo]

Seit DSM 6.1. können bereits existierende Ordner nachträglich verschlüsselt werden, ohne neue erstellen zu müssen.

 

[Puppetmaster]

Ja, schön, dass das nachträgliche Verschlüsseln wieder möglich ist. Gab's ja alles vor DSM 5.2 auch schon.
Nur das Verschlüsseln von /homes ist neu.

 

[DerIng]

Kann man eigentlich ein einmal verschlüsselten Ordner wieder dauerhaft entschlüsseln?
Da ja ein verschlüsselter Ordner im Backup ebenfalls verschlüsselt ist. Wenn man das, aus welchem Grund auch immer, nicht mehr möchte, muss der Ordner ja dauerhaft entschlüsselt werden.
Geteilte Ordner könnte man ja löschen und neu anlegen, be / homes geht das ja nicht.

 

[Fusion]

Ein verschlüsselter Gemeinsamer Ordner ist nicht automatisch im Backup auch verschlüsselt.
Das hängt vom Ziel ab in das gesichert wird. Im Normalfall wird unverschlüsselt (Daten und Transport) gesichert.

 

[Puppetmaster]

Nicht? Wann hat sich das denn geändert? Mit HyperBackup? Vorher wurde nämlich immer die verschlüsselte @Freigabe@ gesichert und nicht die eingehängte, unverschlüsselte Freigabe.

 

[DerIng]

So hab ich das nämlich auch mal gelesen. Daher die theoretische Frage wie man das wieder rückgängig machen kann....
Kann man mit dem HyperBackup Explorer denn auch die verschlüsselten Ordner (auf z.B. der USB Backup Platte) entschlüsseln, ohne eine DS zu brauchen?

 

[Fusion]

Das ist ja nicht eine Verschlüsselung von der wir hier reden. Hyper Backup hat z.B. nichts mit der Verschlüsselung der Gemeinsamen Ordner am Hut.
Ich zitiere:
Verschlüsselte freigegebene Ordner müssen, wenn sie ausgewählt werden, während der Datensicherung angehängt bleiben.

Hyper Backup kann seine Backups verschlüsseln und den Transport. Das hat aber nichts mit der ecryptfs Verschlüsselung der Gemeinsamer Ordner zu tun. Ich kann auch ein verschlüsseltes Hyper Backup zusätzlich in einen verschlüsselten Gemeinsamen Ordner packen. Hyper Backup Explorer dient nur zum Entschlüsseln der HB eigenen Verschlüsselung, wenn man z.B. das Backup auf eine USB Platte kopiert bekommt und dann am Rechner reinschauen will.
Je nach Datensicherungstyp variieren die Möglichkeiten zudem noch.

https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/Tutorial/backup_backup

Wo die Ordnerverschlüsselung auch beim Backup zum Einsatz kommt ist z.B. Snapshot & Replication, wo ein gemeinser Ordner auf eine andere DS repliziert wird (inzwischen geht das auch für verschlüsselte Gemeinsame Ordner).
Verschlüsselte Gemeinsame Ordner kann man mit ecryptfs und Passphrase und/oder key file entschlüsseln auf (fast) jedem Linux, wenn man an das Filesystem rankommt.

 

[Puppetmaster]

Von Hyper backup und dessen Verschlüsselung war doch m.E. gar keine Rede. Der TE möchte wissen, wie eine verschlüsselte Freigabe gesichert werden kann, so dass am Ziel die Daten unverschlüsselt vorliegen.

Korrekt?

Daher nochmal die Frage: seit wann sind am der Quelle verschlüsselte Freigaben am Ziel nicht mehr automatisch verschlüsselt? Mit DSM 5.2 und nicht-HyperBackup ist das nämlich zwingend so.

 

[Fusion]

Das wäre gut klar zu stellen, da hast du recht.

Auf welche Software bezieht sich das bei dir unter DSM 5.2? ich frage deshalb, weil ich da keine Synology Software nutze sondern nur rsync etc und damit die Randbedingungen nicht mitbekommen habe.
Mit Hyper Backup lässt sich jedenfalls auch der Inhalt eines eingehängten verschlüsselten Ordners in jeder gewünschten Form sichern (von einer Warnung mal abgesehen. Er warnt z.B. wenn ich ohne HB Verschlüsselung in einen eingehängten verschlüsselten Gemeinsamen Ordner auf der Ziel des sichere, also auch am Ziel muss der Ordner eingehängt sein), das ist seit Hyper Backup Geburt so.
Die Verschlüsselung der Quelle ist irrelevant, da der Ordner zum Zeitpunkt der Sicherung eingehängt sein muss, sonst kann Hyper Backup seine Arbeit nicht verrichten.

 

[Puppetmaster]

Bezieht sich bei mir auf die hauseigene Sicherung & Wiederherstellung des DSM.

Also mit Hyperbackup (inkl. legacy Backup, also filebasiert) kannst du eine eingehängte, verschlüsselte Freigabe so sichern, dass sie am Ziel unverschlüsselt ist? Ist das so korrekt?

 

[PsychoHH]

Selbst wenn nicht mit Ultimate Backup geht es

 

[Puppetmaster]

Es geht auch mit der Sicherung & Wiederherstellung, wenn man ein kleines mount script vorlagert.

 

[Fusion]

Ja, teilweise korrekt.
Habs gerade sicherheitshalber nochmal getestet, deshalb die verzögerte Antwort.

Quell-NAS: eingehängter verschlüsselter Gemeinsamer Ordner
Ziel-NAS: nicht verschlüsselter Gemeinsamer Ordner
Keine HB Verschlüsselung, nur Transport-verschlüsselt.

Die Warnung über das unverschlüsselte Ziel die ich dabei bekomme bezieht sich rein auf die nicht gewählte HB-Verschlüsselung.

Probiert habe ich es für Hyper Backup zwischen zwei DS216+II und nur für die Datensicherungs-Typen "Remote Synology NAS" und mit "Remote Datenkopie" (also datenbank-basiert mit Versionierung und Rotation und einmal file-basiert).
Beim Datenbank-basierten Backup kann ich mit dem Hyper Backup Explorer auf dem Ziel NAS in das Klartext Backup schauen, dass also nur durch die Speicherung in der Datenbank "versteckt" ist.
Bei der Remote Datenkopie scheint jedoch wie bisher direkt der komplette verschlüsselte Ordner @Ordner@ ans Ziel übertragen zu werden (Hyper Backup Vault und Explorer bekommen von dieser Sicherung am Ziel NAS nichts mit, landet ja direkt im Gemeinsamen Ordner)
Ob er in der dritten Möglichkeit die mir gerade einfällt, verschlüsselter Gemeinsamer Ordner an der Quelle und Ziel, nur den Inhalt vom einen auf den anderen übertragen würde, müßte ich bei Gelegenheit mal schauen.

Aber damit habt ihr jetzt schon recht eigentlich. Dass der Inhalt eines verschlüsselten Ordners am Ziel NAS sowohl unverschlüsselt als auch komplett im Klartext gesichert wird scheint zumindest mit HB (immer noch) nicht vorgesehen.

 

[independence2206]

Ein verschlüsselter Gemeinsamer Ordner ist nicht automatisch im Backup auch verschlüsselt.
Das hängt vom Ziel ab in das gesichert wird. Im Normalfall wird unverschlüsselt (Daten und Transport) gesichert.

Bist du dir hier sicher? Ich habe einen Job in HyperBackup angelegt auf mein entferntes NAS und da kamen nur verschlüsselte Daten an (da das Quell-Verzeichnis auch verschlüsselt ist). Und ich konnte keine betreffende Einstellung finden.

EDIT: zu lange gebraucht um meinen Post abzuschicken...

 

[DerIng]

@ Fusion:
Danke für deinen Test. Hab ich dich jetzt richtig Verstanden mit HB
Quellordner Verschlüsselt-> HB mit Versionierung -> Zielordner unverschlüsselt möglich [HB Explorer nutzbar]
Quellordner Verschlüsselt-> HB dateibasiert -> Zielordner ist wie der Quellordner verschlüsselt [HB Explorer nicht nutzbar]

Komme ich wieder zu der Frage. Kann eine Verschlüsselung des /homes Ordner wieder Rückgängig gemacht werden?
Und wie kommt man mit Windows an die Dateien (HB dateibasiert) auf der USB Platte, wenn die DS nicht mehr zur Verfügung steht?

 

[Fusion]

@DerIng - korrekt. Im ersten Fall kann man die Daten des Backups via HB Explorer am Ziel NAS oder nach kopieren/verfügbar machen der Daten an einem Client Rechner, der über HB Explorer verfügt auf die Daten zugreifen, unverschlüsselt, einfach nur in der Datenbank abgelegt eben.
Im zweiten Fall ist der Zielordner unverschlüsselt, aber der Quellordner wird dort als @Quellordner@ im verschlüsselten Zustand abgelegt. Zugang/Entschlüsselung nur möglich, wenn man per ecryptfs und passphrase Zugriff auf die Dateien hat. Wie das möglichst komfortabel oder eventuell sogar mit einer graphischen benutzeroberfläche erfolgen kann, habe ich jetzt nicht nachgeforscht.

Ich meinte gelesen zu haben, dass die nachträglich Ver/Entschlüsselung für Shares in gleichem Umfang auch für Homes gilt. Leider finde ich gerade ums Verrecken die Quelle nicht mehr. Von daher kann ich dir dies nicht definitiv beantworten gerade.

Unter Windows vermute ich gar nicht. Man bräuchte mindestens ein Live Linux um ecryptfs zur Hand zu haben und die Daten auf der USB Platte entschlüsseln zu können.

 

[DerIng]

Danke für eure Hilfe.
Jetzt weiß ich was ich am WE mal probieren werde. Mit Linux in einer virtualbox an das lagancy backup kommen, mit dem HB Explorer an ein versioniertes Backup. Sowie mit UB rumspielen.... da hab ich was vor... meine Frau freut sich bestimmt schon

 

[amarthius]

Pssst..bring deiner Frau Blumen mit. Das hilft manchmal

Ich muss mich auch demnächst mal wieder um mein Backup kümmern

 

[dil88]

@Dering: Ich gehe seit ein/zwei Wochen mit dem Move auf DSM 6.0.2 schwanger und dementsprechenden Änderungen vor allem im Backup. Habs meiner Frau angekündigt, jetzt müssen wir noch einen Termin finden. *gg* Aber amarthius' Blumenvorschlag muss ich auch dringend 'mal wieder beherzigen ... Berichte bitte auf jeden Fall von den Ergebnissen Deiner Recherchen, werde selbiges tun.

@amarthius: Bin gespannt, ob Du uns an Deinen Gedankengängen bzw. Erkenntnissen teilhaben läßt.