Ordner verschlüsseln

[ebusynsyn]

Irgendwie stehe ich gerade auf dem Schlauch.

Kann ein User keinen eigenen verschlüsselten Ordner in seinem Home erstellen?

Klar, als Admin kann ich verschlüsselte freigegebene Ordner erstellen/verschlüssel/ein und aushängen und die Berechtigungen so setzen, dass der betreffende User darauf zugreifen kann, sofern der Ordner eingehängt ist. Das Ein-Aushängen übernimmt aber immer der Admin.

Mein Plan ist der, dass ein User einen "persönlichen" verschlüsselten Ordner hat, den er nach dem LogIn selber ein und aushängen kann. So ähnlich wie es in OneDrive, pCloud und anderen Anbietern möglich ist. Also eine Art Tresor im eigenen 'Home'.

Geht das nicht?

 

[maxblank]

Das ist in meinen Augen für den normalen User Account nicht möglich.

Ich meine, dass man generell nur die freigegebenen Ordner verschlüsseln kann.
Unterordner einzeln bzw. separat gehen doch gar nicht, egal mit welchem User.

 

[Laola1]

Ja so etwas vermisse ich auch. Ich muss mich mit WinRar / Truecrypt behelfen, wäre cool wenn die Syno das so könnte, kann sie aber nicht.

 

[plang.pl]

Geht das nicht?

Wie schon geschrieben wurde, bietet DSM das nicht an. Vielleicht hilft ein Feature-Request

 

[ebusynsyn]

@Laola1

Ein Gedanke: Was, wenn man einem UserPLUS mit eingeschränkten Admin-Rechten auf einen freigegebenen Ordner geben würde, den er bei Bedarf dann ein/aushängen könnte. Vorausgesetzt natürlich, dass diese eingeschränkten AdminRechte bez erweiterten User-Recht dann auch wirklich eingeschränkt sind. Also nur für diesen einen Ordner angewendet werden können.

Vermutlich geht das nicht. Werde das allenfalls mal ausprobieren.

 

[NSFH]

Man kann keinen einzelnen Ordner verschlüsseln.
Warum nutzt du nicht einfach Veracrypt und Thema durch?

 

[ebusynsyn]

Man kann keinen einzelnen Ordner verschlüsseln.

Das habe ich mittlerweile verstanden.

Warum nutzt du nicht einfach Veracrypt und Thema durch?

... weil ich es mit Bordmitteln der DS gelöst haben möchte - was offenbar nur dann geht, wenn der User-Admin-Rechte hat.
... weil ich auf keine (noch so gute) Dritt-Software angewiesen sein möchte
... weil es mir graust mich auch nur kurz auf deren unübersichtlichen Homepage aufzuhalten

 

[alexhell]

weil ich auf keine (noch so gute) Dritt-Software angewiesen sein möchte

Ich würde eher auf Veracrypt setzen als auf Synology. Synology kann Features von heute auf morgen verschwinden lassen. Das haben die bei Apps doch auch gemacht. Das Veracrypt oder ein Fork der komplett kompatibel noch 10 Jahre später da ist wäre für mich wahrscheinlicher. Ich persönlich will mich so gut wie gar nicht an Synology binden. Und mit Veracrypt würde es bei jedem Anbieter funktionieren.

 

[ebusynsyn]

@alexhell

Danke für diese Punkte... das kann ich so schon nachvollziehen. ABER: Meine eigentliches Anliegen löst auch VeraCrypt nicht. Korrigier mich, falls ich falsch liegen.

Mein Anliegen ist:
- Eine DS ist von extern erreichbar, gut geschützt soweit das halt möglich ist.
- darauf grundsätzlich keine wichtigen Daten (Wenn also ein böser Junge durch darauf käme, würde er nichts finden. Ausser den Tresor. Das Gerät hängt an einer entfernen Fritz!Box 6850 5G ohne weitere Clients.)
- wichtige Daten sollen dort verschlüsselt, in einem separaten Bereich liegen.

Beispiel: Mein Vater (85) logt sich auf die DS ein... ja, das kann er - jedoch nicht als Admin - klar - weil er sonst auf sonst was klickt. Er klickt nur auf den Tresor 'Opa' und gibt sein Passwort ein, der Tresor öffnet sich. Er schaut sich seine Daten an, erstellt neue Daten (Briefe, Tabellen, Fotos etc.) Wenn er müde ist - also nach etwa 5 Minuten schliesst er den Tresor und kann beruhigt sein Schläfchen machen. Das macht er möglicherweise mehrmals am Tag.

 

[alexhell]

Man richtet webdav ein und installiert ihm die Software. Dann zeigt man ihm wie das funktioniert und er kann seine Daten immer wieder entsperren und sperren....

 

[NSFH]

Man kann für Veracrypt ein Script erstellen, welches eine WebDav Anbindung herstellt und dann mit dem im Script hinterlegten Namen und Passwort automatisch den verschlüsselten Ordner öffnet.
Von all dem was im Hintergrund passiert merkt Opa nichts ;-)

 

[ebusynsyn]

Vielen Dank @NSFH

Das sind alles gute und sicherlich funktionierende Weg und ich möchte hier auch nicht als "Spielverderber des Tages" in die Geschichte dieses Forums eingehen. Aber das setzt doch einiges an Wissen voraus, welches ich nicht habe. Es geht ja nicht nur um 'Opa'. Es sind ja noch weitere Beteiligte in der Runde und das ganze dann zu managen geht über meine Möglichkeiten hinaus.

Beste Grüsse

 

[alexhell]

Ist jetzt nicht böse gemeint, aber ist dann dein Vorhaben vielleicht für dich einfach nicht umsetzbar? Entweder man arbeitet sich da ein oder man lässt es. Es gibt für dein Vorhaben wohl keine Klicki-Bunti-Lösung die super einfach und verständlich für jeden beim ersten Nutzen ist.

 

[ebusynsyn]

@alexhell

Da gebe ich Dir in einem gewissen Sinn sogar recht und nehme es mit Humor Manchmal lohnt sich Aufwand und Ertrag einfach nicht. Das dürfte so ein Fall sein... Alles was möglich ist, muss nicht in jedem Fall auch gemacht werden.

Noch ein Nachtrag: Es wäre doch auch möglich, dass Synology die Funktion die ja vorhanden ist (Gemeinsame Ordner einhängen/Aushängen) auf die Gruppe User erweitern würde ;-)

 

[NSFH]

Das script könnte so aussehen:
1. Zeile WebDav Verbindung herstellen als Laufwerk Z
2. Zeile Veracrypt starten mit Aufruf der verschlüsselten Datei (Container) mit dem Laufwerksbuchstaben X

net use Z: \\domain.org@SSL\webdav.php /persistent:no /user:Benutzername Passwort
C:\Program Files\VeraCrypt\VeraCrypt.exe" /volume "Z:\dateiname" /letter X /password MeinPassword /quit /silent

Anleitungen für Scripts für beide Zeilen gibts zuhauf im Web. Musst halt mal anfangen zu lernen!

 

[ebusynsyn]

Danke an alle die hier Tipps gegeben habe insbesondere @NSFH
Aber mit Scripts will ich mich nicht beschäftigen. Ich lass das Projekt in der jetzigen Form dann mal fallen.

Allenfalls schaue ich noch, ob es eine Möglichkeit gibt, im Docker/Container so etwas zu realisieren. Es muss ja nicht via DSM GUI sein.

 

[ebusynsyn]

In der Zwischenzeit habe ich einen Request bei Synology gemacht. Es ging mir darum, herauszufinden, warum denn nur User mit Admin-Rechten verschlüsselte Ordner ein/aushängen können.

Hier die Rückmeldung:

Geschätzter Kunde,

die Möglichkeit, verschlüsselte gemeinsame Ordner auf einem Synology NAS ein- und auszuhängen, ist auf Benutzer mit administrativen Rechten beschränkt.

Dies geschieht in erster Linie aus Sicherheitsgründen.

Wenn Sie einen gemeinsamen Ordner verschlüsseln, wird ein Schlüssel generiert, und dieser Schlüssel ist für den Zugriff auf die Daten unerlässlich.

Wenn nur Administratoren diese Vorgänge ausführen dürfen, wird sichergestellt, dass die Verschlüsselungsschlüssel sicher verwaltet werden und dass nicht autorisierte Benutzer nicht auf die verschlüsselten Daten zugreifen oder diese manipulieren können.

Wenn ein Benutzer einen separaten, verschlüsselten Ordner für seine Daten benötigt, muss er sich dennoch mit einem Administrator abstimmen, um das Einhängen und Aushängen dieses Ordners zu verwalten.

Dieser Ansatz trägt dazu bei, die Integrität und Sicherheit der verschlüsselten Daten zu wahren.

---

Positiv überrascht bin ich, dass ich innert weniger als einer Stunde eine Rückmeldung bekam. Aber: Davon ausgehend, glaube ich nicht, dass dieser Fakt zeitnah überdenkt wird.

Ich meine, dass es durchaus vertretbar wäre, wenn ein 'normaler' User auch die Möglichkeit hätte, einen separaten, verschlüsselten Ordner zu erstellen. Es muss ja nicht ein 'Gemeinsamer Ordner' sein.

 

[maxblank]

Ich kann es aus IT-Sicht im Bereich Business verstehen. Zumindest müsste es für den NAS-Admin einstellbar sein, ob ein User das darf oder halt nicht.

Dann könnte man das auch im privaten Umfeld in DSM implementieren und es wäre ein tolles Alleinstellungsmerkmal für Synology.