DSM 6.x und darunter Home-Ordner verschlüsseln?

[Favi]

Hallo,

gerade bin ich dabei, meine 716+ einzurichten. Grundsätzlich steige ich durch, aber eine Frage drängt sich mir auf: Weshalb kann ich gerade die home-Ordner nicht verschlüsseln? Das kann ich ja der Synology-Hilfe zufolge nur beim Neuanlegen eines gemeinsamen Ordners. Nur gerade die home-Ordner enthalten doch als Benutzer-Ordner typischerweise verschlüsselungs-würdige Daten, oder (z.B. Cloudsync)?

Stimmt meine Information und wie kann ich das Problem eventuell umgehen - abgesehen von der Möglichkeit, die home-Ordner nicht zu verwenden, also die an sich eigentlich ganz durchdachte Ordnerstruktur der Synology nicht zu beachten?

Viele Grüße
Favi

 

[Puppetmaster]

Nein, die home-Ordner kannst du nicht verschlüsseln.

Ob nun gerade dort "verschlüsselungswürdige" Daten liegen sei mal dahingestellt. Fakt ist ja: zum Arbeiten mit den Daten sind diese ohnehin entschlüsselt vorhanden. Die Verschlüsselung wird ja nur wirksam, wenn du die Ordner aushängst, was du bei den home-Ordner ja wohl nicht machen würdest.

Ansonsten kannst du ja jede selbst definierte Freigabe verschlüsseln, das sollte doch dann genügen? Auch auf diese Ordner kannst du dann mittels CloudSync zugreifen (allerdings sind die Daten dann entschlüsselt).

 

[Favi]

Hallo,

danke für die Bestätigung meiner Vermutung.

Naja, die Verschlüsselung abgelegter Daten greift ja bei jedem Computer hauptsächlich, wenn die Daten nicht gerade benötigt werden. Der Sinn bei meiner Anwendung ist, dass der Inhalt der Festplatten grundsätzlich unbrauchbar ist für jeden, der sie an sich nimmt und lesen will. Dass der laufende Betrieb eines Computers da ein Einfallstor zum Mitlesen ist, liegt m.E. in der Natur der Sache und wäre ja auch nicht anders, wenn ich einen Container auf meinem lokalen Rechner öffne. Gerade deshalb wäre es aus meiner Sicht praktisch, auch die Standard-Benutzerordner verschlüsseln zu können. Neue Ordner daneben zu erstellen ist eine Möglichkeit, aus meiner Sicht (als Einsteiger) aber nicht unbedingt die naheliegendste.

Aber natürlich geht es so auch...

Viele Grüße
Favi

 

[heavy]

Es greifen halt so viele verschiedene Dienste auf den Home Ordner zu dass ein Verschlüsseln selbigen nur zu Problemen führt oder die Verschlüsselung ad Absurdum, da dann auch der Schlüssel auf der DS gespeichert sein müsste. Der mailserver, die Persönliche Photostation, die cloudstation, die Persönliche Webseite, etc. liegen oder greifen ja alle auf das home Verzeichniss. Und wenn du die Ganze platte verschlüsselst hast du wieder die Probleme wie bei den PCs wenn es um einen Plattentausch geht. Oder wie wird der Hash des Passworts abgelegt? Geht die DS kaputt sind auch die Daten nicht mehr lesbar, da der Schlüssel zum entschlüsseln ja in der DS hinterlegt war.

 

[andisds]

Ich hätte da mal einen theoretischen Vorschlag... Z.b bei im Falle der persönlichen Photostation, man erstellt eben diese und darin wird eine Ordner erstellt der auf einen verlinkten Ort / Ordner in einem verschlüsseltem gemeinsamen Ordner verweist ... Ähnliche wie der Homes Ordner zu Benutzer Basis Home...? Ich hoffe man kann keinen Gedankengang verstehen ... Ich würde es ja ausprobieren, jedoch bin ich nicht fit im Terminal um damit solche Verweise / Ordner zu erstellen

 

[Favi]

@heavy: naja, ich würde mit den Verschlüsselungsdaten genauso verfahren wie mit einem verschlüsselten Container auf einem PC oder einem anderen Server: den Schlüssel extern speichern oder drucken und gut gesichert und getrennt hinterlegen. Wenn die Festplatte getauscht werden muss, muss ich diese Daten eben neu eingeben. Genauso wie ich jetzt nach jedem Neustart die verschlüsselten gemeinsamen Ordner anhängen muss, weil ich auf ein automatisches Mounten verzichtet habe. Wie gesagt, ich sehe die Verschlüsselung von Daten als Sicherheit vor dem Lesen der Daten durch Unbefugte, wenn diese irgendwie Zugriff auf die Platten haben. Gegen das Mitlesen der Daten, auf die ich gerade zugreife, muss man sich m.E. anders schützen, aber das liegt in der Natur der Sache, weil dann ja gerade nicht auf die Platte, sondern auf den Datenfluss zugegriffen wird - als ob mir jemand am Bildschirm über die Schulter schauen würde.

@andisds: Lässt sich hören, allerdings bin ich da genauso unerfahren wie Du.

Ich hoffe jedenfalls auf verbesserte Funktionen insbesondere der CloudStation ab DSM 6.0. Dann könnte man die Daten, beim Sync besser trennen und auf verschiedene (verschlüsselte und unverschlüsselte) Ordner aufteilen. Bis dahin kann ich jetzt aber mit den Vorgaben leben.

 

[heavy]

Ich verstehe durchaus deine Beweggründe und es ist prinzipiell auch nichts dagegen zu sage wenn jemand seine Daten verschlüsseln will. Nur kannst du den home Ordner als Teil des Betriebssystems ansehen und wenn du durch den andisds angedeuteten Weg es nicht schafst wenigstens die Daten die nur du anlegst in einen Verschlüsselten Ordner zu legen dann wirst du deinen Wunsch nicht umsetzen können. Ich wollte einfach zum Ausdruck bringen dass das Einhängen des Ordners ja während dem Bootvorgang geschehen muss, da sonst das Betriebssystem Fehlermeldungen produziert oder gar nicht hochfährt, da die Benutzersteuerung und alle anderen Dienste nicht auf den System Ordner zugreifen können. Das wäre so wie wenn du Windows sagen würdest die Daten zum entschlüsseln des Treiber Ordners liegt im Treiber Ordner selbst, dann wird windows niemals booten.

 

[SoniX]

Ich weiß, ist steinalt der Thread. Da ich aber, wie wohl andere in Zukunft auch, über die Googlesuche hierauf gestossen bin, eine Ergänzung zum damaligen Standpunkt:

> https://www.synology.com/de-de/dsm/feature/security

"Flexible Verschlüsselung
Um die Sicherheit zu erhöhen, können Sie vorhandene freigegebene Ordner, einschließlich des „homes“-Ordners, verschlüsseln."

Es geht also inzwischen schon das homeverzeichnis zu verschlüsseln.

 

[Fotix]

Hat schon jemand "homes" verschlüsselt, gibt's da evtl Probleme? Finde den Gedanken auch gut, dass nach Diebstahl (und damit Stromverlust) automatisch bei Wiedereinschalten ein Passwort eingegeben werden muss...

 

[servilianus]

Es gab Probleme bei verschüsselten home-Ordnern im Upgrade von DSM6 auf DSM7. Weil die Migration von Fotos, die in den home-Ordnern lagen, vom alten Paket Moments zum neuen Paket photos nicht korrekt funktionierte und Fotos / Metadaten etc. plötzlich fehlten. In diesem Fall, vor dem Upgrade, alle home-Ordner zu unverschlüsselten Ordnern zurückmigrieren und erst dann das Upgrade durchführen.
Sonst gibt es jedoch keine Probleme.