Sicherheit Admin Account - Jedermann mit Geräte-Zugriff kann Passwort neu setzen

hatrue

Benutzer
Mitglied seit
05. Mai 2009
Beiträge
216
Punkte für Reaktionen
9
Punkte
18
Hallo

Ich bitte euch die folgende Info im Link unten zu lesen. Es wird erklärt wie jedermann das Admin-Passwort zurück setzen kann.
https://www.synology.com/de-de/know...ow_do_I_log_in_if_I_forgot_the_admin_password

Ich habe dies auf meiner Test Synology durchgeführt und ich konnte anschliessend mit dem Admin Account ohne Passwort einloggen und wurde dann aufgefordert ein neues Admin Passwort zu setzen.
Ich sehe hier einen großen Sicherheitsmangel. Somit kann also jedermann sich an der Diskstation als Admin anmelden wenn er Zugang zu dem Gerät hat.
Weshalb lässt Synology diese einfache Missbrauch Möglichkeit zu?

Wie sind dann die Kundendaten gesichert? Muss ich die produktive DS in ein Server-Rack einschließen?
Gibt es eine Möglichkeit diese Funktion zu deaktivieren?

Wie denkt ihr über diese von Synology angebotene Lösung?
 

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.386
Punkte für Reaktionen
34
Punkte
68
Ja, da ist man als Admin in der Pflicht. Das ist auch richtig so. So denke ich zumindest. Einen Server in einem Unternehmen stellst du doch auch nicht für jeden zugängig in den Flur oder?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
918
Punkte
424
Wenn jemand physikalischen Zugriff auf deine Geräte bekommt hast du ganz andere Probleme.
Ein Sicherheitsmangel sehe ich hier nicht.

Zudem kannst du wichtige Daten in verschlüsselte Gemeinsame Ordner packen.
Diese werden bei einem Reset ausgehängt und sind dann nicht mehr zugreifbar ohne passenden key / passwort.
 
  • Like
Reaktionen: haol0013

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Im übrigen hat der Reset schon manch einem User hier vor größeren Problemen bewahrt.
Evtl. kommt mal ein Update durch welche dann die Funktion softwareseitig ein/ausgeschaltet werden kann.
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.341
Punkte für Reaktionen
633
Punkte
174
Wie sind dann die Kundendaten gesichert?

Sicherlich mit einem Backup?

Muss ich die produktive DS in ein Server-Rack einschließen?

Optimalerweise ja.

Gibt es eine Möglichkeit diese Funktion zu deaktivieren?

Nein. Und das ist auch gut so.

Wie denkt ihr über diese von Synology angebotene Lösung?

Das es hier im Forum schon einigen Usern geholfen hat, nach dem Passwortverlust des Admin-Accounts, wieder Zugriff auf die eigenen Diskstation zu bekommen.

Überlege mal, wenn jemand Unbefugtes schon physikalischen Zugang zu Deiner Diskstation hat, dann hast Du ein ganz anderes Problem.

Selbst einen Desktop-PC kannst Du mittels Boot-CD kompromittieren. Es braucht nur physikalischen Zugang zum Gerät.
 
  • Like
Reaktionen: haol0013

BavariaR

Benutzer
Mitglied seit
02. Jan 2013
Beiträge
312
Punkte für Reaktionen
1
Punkte
24
Alles richtige, finde auch gut dass es die Möglichkeit gibt wieder an den Server zu kommen sollte mal was mit dem Admin Account schief gehen allerdings gestohlen werden kann so ein Ding immer mal und es ist eigentlich nicht OK dass man dann an die Daten kommt. Sicher kann man einzelne Folder verschlüsseln, das ganz hat vor und Nachteile und ist auch in der Handhabung nicht ganz ohne.

Ich würde mir wünschen dass Synology entweder Festplattenverschlüsselung anbietet oder sogar Geräte-/Betriebssystemverschlüsselung wie BitLocker oder TrueCrypt ermöglicht.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.799
Punkte
314
kann also jedermann sich an der Diskstation als Admin anmelden wenn er Zugang zu dem Gerät hat.

Jo, das ist vermutlich der Grund warum manche IKT Abteilungen in den Firmen Zutrittskontrollen, Videoüberwachungen, Sicherheitsschleussen usw. benutzen? Und nur eine handvoll Berechtigte Zutritt zu diesem Raum haben.
Wenn ich mal im Serverraum bin, kann ich gleich die HDDs mitnehmen und daraus Daten wiederherstellen, die Frage ist nur wie hoch ist der Aufwand dafür und wie lange dauert es, machbar ist es auf alle Fälle.
 

hatrue

Benutzer
Mitglied seit
05. Mai 2009
Beiträge
216
Punkte für Reaktionen
9
Punkte
18
Ich habe mal eure Informationen durchgelesen.

Nun die Firma (KFZ Werkstatt) welche ich betreue ist von einem Bekannten. Es sind 5 Mitarbeiter und da gibt es keinen Serverraum und alle Mitarbeiter müssen alle Räume betreten können und nein, die DS steht nicht im Flur sondern beim Eigentümer im Büro. Nun müsste ich also dem Bekannten ein abschließbares Rack verkaufen.
Für den privaten Bereich ist diese Zurücksetzung ja ok. Es sollte jedoch die Möglichkeit gegeben sein, dass dieser Reset deaktivert werden kann.
Die Ordner sind übrigens verschlüsselt müssen aber beim Starten der DS angehängt sein. Weshalb beim Starten der DS anhängen "müssen" ist ein anderes Thema und passt hier nicht rein.

Mit der Sicherheit der Daten meinte ich, dass es mir um die Sicherheit gegen Diebstahl/Missbrauch geht. Das Backup auf meiner Kunden DS ist gegeben und räumlich getrennt.
 

mavFG

Benutzer
Mitglied seit
06. Jan 2016
Beiträge
1.345
Punkte für Reaktionen
4
Punkte
58
Ich versteh nicht ganz das Problem.
Als ob die DS mit den Daten das einzig wertvolle in der Werkstatt ist.
1. ein abschließbares Rack kostet kein Vermögen -bezogen auf die eventuelle "Sicherheit" - wenn ich aber die Daten will - hält mich das Rack auch nicht auf...:cool:
2. wie schon mein Vorredner erwähnt: sind die Daten den Aufwand wert?
3. früher wurden Kunden/Mitarbeiterdaten in Papierform im Aktenschrank aufbewahrt - da konnt man deutlich leichter ran - wieviele der Mitarbeiter haben Synology Kentnisse?
4. Die DS kann leicht "verloren" gehen in eine KFZ-Werkstatt - meine DS216j steht im Garten - die findet auch keiner so schnell. Von daher ist das Thema Sicherheit völlig ausreichend.
Natürlich kann man es professineller machen - so wie bei den Autoherstellern. Da wird ein Serverraum samt DORMA gebaut.. aber die haben wirklich mit Industriespionage zu kämpfen..
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
918
Punkte
424
Ich verstehe nicht ganz welches Szenario du jetzt im Kopf hast, vor dem es dich schützen würde, wenn der Reset Knopf noch in Software abgefragt würde?

Wenn jemand den reset Knopf drückt und sich Zugang verschafft, dann sind die Daten in der verschlüsselten Ordnern verschlossen.
Wenn jemand die DS zuerst klaut und bei sich hochfährt, egal wie, sind die Daten ebenfalls in den verschlüsselten Ordnern verschlossen.
Wo also ist da die Sicherheit gefährdet, vom geldwerten Materialverlust mal abgesehen?
 

OmalleyTEC

Benutzer
Mitglied seit
10. Mrz 2012
Beiträge
42
Punkte für Reaktionen
4
Punkte
8
Liebe professionelle DS-Nutzer,

ich kann die Argumentationen hier nicht nachvollziehen. Ich will nicht, dass ein einfacher Reset den Zugang zu allen meinen Daten ermöglicht. Weder auf dem Smartphone, dem Notebook, der DS oder meinem E-Mail-Account. Das macht die Vergabe von Passwörtern ja völlig unsinnig. So kann ja jeder Mitarbeiter, der aus guten Gründen nur einen eingeschränlten Benuterzugang zur DS hat ohne großen Aufwand an alle auf der DS abgelegten Daten kommen, wenn diese nicht extra verschlüsselt sind. Als Unternehmer würde ich mich darüber sehr ärgern und das Produkt austauschen, wenn es eine Alternative gibt.

Ich ärgere mich sehr darüber, dass ich die teure DS für meinen Privatgebraucht gekauft habe.

Hintergrund:
Ich nutze die DS 1517+ ausschließlich privat. Ich habe dort meine komplette Medathek zentralisiert sowie alle Daten auf die ich von meinen insgesamt drei Endgeräten zugreifen können will. Außerdem werden alle meine Endgeräte auf der DS gesichert. Die DS übernimmt für mich den 24-Stunden Upload einiger Ordner in meine Online-Speicher, die ich als "Außer-Haus-Sicherung" verwende. Und sie übernimmt die Synchronisation einiger weniger Ordner über den Online-Speicher und mehrere Endgeräte hinweg. Ich habe festgestellt, dass die Synchronisation über die DS mein Gesamtsystem weniger bremst als die Synchro über die cloud-eigenen Apps.

Viele meiner Daten können nicht in einem verschlüsselten gemeinsamen Ordner abgelegt werden, weil die Pfadnahmen zu lang sind. Meine Ordnerstruktur ist langjährig gewachsen, funktioniert sowohl auf dem PC als auch im Onlinespeicher. Nur nicht auf der angeblich so professionellen Diskstation. Schon das war sehr ärgerlich. Hinzu kommt, dass die Verschlüsselung großer Datenbestände die Performance negativ beeinflusst. Und, zumindest bei mir, hat das Einhängen verschlüsselter Ordner per Schlüsselmanager nicht funktioniert. Ich konnte diesen Ablauf nicht konfigurieren, weil das Feld, das man für automatisches Einhängen abhaken muss, ausgegraut war. Ich verschlüssele die wichtigsten privaten Daten auf der DS mit Boxcryptor. Das hat den Vorteil, dass ich die Daten, die ich in die Cloud synchronisiere z.B. über alle Endgeräte lesen kann. Das geht mit einer durch die DS verschlüsselten Synchronisation oder einem per DS verschlüsseltem Backup nicht.

Fakt ist also, dass ich die meisten meiner Daten unverschlüsselt auf der DS liegen habe. Ich finde es ganz und gar nicht in Ordnung, dass man mit einem einfachen Resetknopf an diese Daten kommt. Da die Daten in einem Raid abgelegt sind, käme man ohne diese Methode meiner Meinung nach eben nicht durch einfaches Auslesen der Datenträger an die Daten. Zumindest nicht der gemeine Wohnungseinbrecher.

Es wäre doch das Mindeste, den Eigentümer darüber entscheiden zu lassen, ob er dieses Sicherheitsrisiko eingehen will, damit sich der Admin sein Passwort nicht mehr sicher merken muss oder ob er das Admin-Passwort lieber im Safe einschließt und die Sicherheitslücke schließt.

Ich stelle mir gerade vor, dass alle Smartphone-Hersteller und alle PC-Hersteller in ihren Bedienungsanleitungen beschreiben, wie man mit dem Drücken eines Resetknopfes das Admin-Passwort umgehen kann. Völlig unvorstellbar. Ich wusste das vor dem Kauf nicht und komme mir jetzt reichlich verschaukelt vor.

Viele Grüße an die Synology-Gemeinde
Omalley

P.S.
Ich habe das hier geschrieben, weil nur häufige Meinungsäußerungen und Anfragen von Herstellern wahrgenommen werden. Wer das also ähnlich sieht, überwindet sich vielleicht dazu, einen Featurewunsch an Synology zu senden.
 
  • Like
Reaktionen: michaelvdb

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Herrscht in Deiner Wohnung soviel Durchgangsverkehr, daß jeder den Reset-Knop drücken kann?
In Firmen steht das Teil ja meistens in einem abgeschlossenen Serverschrank.
 

OmalleyTEC

Benutzer
Mitglied seit
10. Mrz 2012
Beiträge
42
Punkte für Reaktionen
4
Punkte
8
Mir als Privatnutzer geht es in erster Linie um Diebstahl. Deshalb sprach ich vom gemeinen Wohnungseinbrecher, der meine Daten nicht mühelos für sich nutzen können soll.
Wohnungseinbrüche und Versuche gibt es immerhin ca. 150.000 Mal im Jahr.
Ich will aber auch nicht, dass meine Urlaubs-House-Sharer meine DS durch ein Reset auslesen können. Trotzdem muss sie ja während meines Urlaubs für mich zugänglich ein. Sie ist ja Teil meiner persönlichen Cloud. Ich kann sie also nicht in den Schrank sperren.
Ganz ehrlich, warum sollte ich ein Passwort vergeben, wenn es nichts nützt. Ich bin ein Freund guter Passwörter und arbeite schon seit Jahren mit Passwortmanagern. Ein Passwort geht mir nie verloren. Vielleicht wird mal eines geklaut. Deshalb arbeite ich bei allen wichtigen Diensten mit 2FA. Wenn die aber, wie hier im Forum zu lesen, durch das Reset ebenfalls ausgehebelt wird, kann man Synology meiner Meinung nach für sicherheitsrelevante Arbeitsbereiche nicht mehr empfehlen.

Als Sicherheitsberater muss ich meine Kunden auf diese Sicherheitslücke von Synology aufmerksam machen. Ich bin kein Netzwerker. Ich weiß nicht, ob es andere Anbieter gibt, die das besser machen. Aber wie ein User hier schon geschrieben hat, ich will doch keinem Kleinunternehmen sagen müssen, dass es sich gefälligst einen Sicherheitsschrank anschaffen soll und diesen bitteschön auch noch einbetonieren lässt, damit niemand physischen Zugriff auf sein NAS bekommt. Das wäre doch dämlich (ich meine natürlich unwirtschaftlich).
Und zum Thema verschlüsselte gemeinsame Ordner. Ich kenne kein Unternehmen, das seinen Schlüsselmanager nicht den ganzen Tag angeschlossen lässt. Das ist in der Praxis also nur eine relative Sicherheit. Hängt der Stick noch an der DS und wird gleich mitgeklaut, sind per Reset alle Daten lesbar. Das wichtigste Sicherheitsfeature eines Datenspeichers ist meiner Meinung nach, dass er nach Stromunterbrechung und ohne sicheres Passwort (bestenfalls mit 2FA) nicht mehr auslesbar ist. Ich mag deshalb Festplattenverschlüsselung (so sichere ich meine Windowssystempartition), hardwareverschlüsselte externe Speicher (so sichere ich meine mobilen Speichereinheiten) und softwareverschlüsselte Container (so sichere ich Daten auf Sticks). Diese Methoden haben mit Pfadnamenslängen bis 256 Zeichen keine Probleme und werden nicht per Reset zugänglich. Nur der Besitzer des Passwortes hat Zugriff.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.799
Punkte
314
Vielleicht wäre jemand in der Lage an der Blechrückwand (Innen oder Aussen) die winzige Öffnung mit einem Plättchen zu verschließen:
ds218_resetknopf_rueckwand.jpg
wem das nicht reicht dann wäre die nächste Möglichkeit den Microtaster auf der Platine unter dem LAN Anschluss auszulöten:
ds218_resetknopf_platine1.jpgds218_resetknopf_platine2.jpg
das wären zumindest die Wege um nicht jeden 0815 "Vorbeigehenden" den Reset zu ermöglichen.

Alles andere wäre wertlos, sämtliche Softwaremässigen Sperren wurden schon vor 35 Jahren ausgehebelt indem man einfach die Batterie am Mainboard entnommen hat......

Bildquelle: meine eigenen Fotos, sie können/dürfen/sollen von jederman(frau) geteilt, kopiert, verbreitet werden, auf eine Quellenangabe verzichte ich, ich erkenne meine Bilder auch so überall wieder.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
918
Punkte
424
Abgesehen davon, dass ich deinen Wunsch nachvollziehen kann (von mir aus könnten sie den Hardware-Taster aus dem Linux Unterbau entfernen, ich brauche keinen Notanker), kann man ja trotzdem über die Themen diskutieren (sorry wenn ich in manchen Punkten vielleicht über das Ziel hinaus schieße).
Aktuell gibt es vermutlich einfach mehr Leute die sich selber aussperren, als Leute denen hierdurch Daten geklaut werden. Gehe jedenfalls davon aus, dass Synology hier den Weg des geringsten Widerstandes / geringsten Support-Aufwandes gegangen ist / geht.
Aktuell wäre man dann nur angepfiffen, wenn man durch einen nicht anwenderverschuldeten Bug gezwungen wäre einen Reset zu fahren. Kam ja bei dem einen oder anderen die letzten Jahre mal vor.
Klar mit Backups kein Problem, kostet halt Zeit. Da ist den meisten Leuten die Sicherheit leider wieder egal (Cheffe: Wieso dauert die Wiederherstellung der Systeme einen ganzenTag?)
Viele Leute dürften zudem noch Backups haben die dann wieder im Klartext auf externen Platten liegen, oder in Google/Apple/Amazon-Clouds, oder auf nicht zugriffsgeschützten Tablets oder anderen Geräten.

In einem sicherheitsrelevanten Umfeld sorge ich auch für einen passenden Rahmen. Da gibt es auch physikalische Zugriffsunterbindung auf die Hardware, auch wenn sie nicht von Synology stammt. QNAP, Asustor und andere sind jedenfalls das gleiche in Grün, alle setzen mit dem Reset-Knopf mindestens das Admin Passwort und die Netzwerkeinstellungen (und mehr zurück).
Wenn ich ein Dieb bin und unbedingt an deine Daten will (auch ohne Reset), dann baue ich einfach deine Platten aus und schließe sie an mein Linux an, dann komme ich auch dran, egal, ob Basic, RAID oder SHR. Liegt ja alles im Klartext auf den Platten.
Ist natürlich eine klein wenig andere Hürde, aber dennoch das gleiche Problem am Ende. Aber ein bischen Motivation setzt du ja indirekt auch voraus, welcher 0815 Urlauber weiß schon, dass es an deiner Synology einen Reset Knopf gibt bzw. was dieser bewirkt?
Bei Kleinunternehmen muss halt auch klar werden: Kostenfrei geht auch bei IT nicht. Auf der einen Seite erwarten, dass die Hardware ohne Admins läuft und zu verwalten ist, ich bei eigener "Blödheit" immer noch an meine Daten komme, und dann noch die höchsten Sicherheitsansprüche erfülle, das gibt es halt nicht. Da die meisten 0815 Mac/Windows/PC-Anwender auch selbst mit der DSM Oberfläche überfordert sind würde ich eher zuerst mal analysieren, was die Anforderungen sind. Dann kann man eventuell einfach einen Micro-Server hinstellen, der passend konfiguriert ist und auch Block-Device-Verschlüsselung bietet. Dann brauchst aber immer noch eine Lösung um das beim Booten frei zu schalten, welcher Server hat schon Monitor und Tastatur, um das wie am Bitlocker verschlüsselten Windows-Laptop einzugeben. Also wieder irgend ein gearteter Remote-Zugriff auf Schlüssel oder temporär angeschlossene USB-Laufwerke oder ähnliches.

Und der USB-Stick gehört nach dem Booten abgezogen, und woanders verstaut, auch wenn es nur die nächste verschlossene Schublade ist. Oder man verzeichtet gleich auf den Syno-Manager und läßt die Syno per Script über Netzwerk oder VPN auf die Schlüssel zugreifen um die Ordner automatisch einzuhängen. Wo ein Wille ist....

Die Begrenzung bei ecryptFS bezieht sich auf 143 Zeichen bei Datei- oder Ordnernamen, nicht auf die Pfadlänge.
Und Datei- und Ordnernamen die annähernd so lang oder länger sind finde ich persönlich eh unhandlich.
Da benenne ich lieber 1 von 10000 Dateien die da drunter fällt lieber selber um und verwende dafür verschlüsselte Ordner.
Die externen Platten laufen bei mir auch via LUKS/dm-crypt und haben auch mit längeren Namen keine Problem. Sind aber halt Block-Device Verschlüsselungen und keine Ordnerbasierte Verschlüsselung.
Andere Ordnerbasierte Verschlüsselung haben ähnliche Beschränkungen.

Wieso du die DS nicht in Schrank sperren kannst ist mir ein Rätsel, wenn du selbst im Urlaub bist hast du ja sicherlich einen Schlüssel für den Schrank, der Zugriff erfolgt ja eh via Netzwerk, oder für was brauchst du die Zugänglichkeit zum Gerät selber?
 

mb01

Benutzer
Mitglied seit
13. Mrz 2016
Beiträge
485
Punkte für Reaktionen
56
Punkte
28
[...]
Wenn ich ein Dieb bin und unbedingt an deine Daten will (auch ohne Reset), dann baue ich einfach deine Platten aus und schließe sie an mein Linux an, dann komme ich auch dran, egal, ob Basic, RAID oder SHR. Liegt ja alles im Klartext auf den Platten.
Ist natürlich eine klein wenig andere Hürde, aber dennoch das gleiche Problem am Ende. Aber ein bischen Motivation setzt du ja indirekt auch voraus, welcher 0815 Urlauber weiß schon, dass es an deiner Synology einen Reset Knopf gibt bzw. was dieser bewirkt?[...]
... das wäre mein erstes Argument dafür gewesen, dass ein deaktivierbarer Reset-Knopf nur eine Scheinsicherheit vortäuschen würde. Denn egal ob der Resetknopf gedrückt wurde oder die Platten geklaut wurden, der Besitzer des NAS weiß in beiden Fällen sofort, dass manipuliert wurde. Wirklich wichtige Daten kann man verschlüsseln und sonst wird wohl ein abschließbarer Schrank reichen müssen.
 

OmalleyTEC

Benutzer
Mitglied seit
10. Mrz 2012
Beiträge
42
Punkte für Reaktionen
4
Punkte
8
Hallo Kurt-oe1kyw,

vielen Dank für die bebilderte Anleitung. Hast dir echt Mühe gemacht.


Hallo Fusion,

vielen Dank für deine Gedanken. Das ist sehr erhellend. Zum Beispiel dachte ich, dass die Daten durch ihre Verteilung über mehrere Datenträger in einem Raid per se ohne die passende DS mit dem passenden Passwort nicht lesbar seien. Da das wohl doch der Fall ist, ist der Resetknopf tatsächlich nur eine Vereinfachung aber nicht das eigentliche Problem. Auch der Hinweis auf den Unterschied von Dateinamenslänge und Pfadlänge war sehr hilfreich. Nicht zu vergessen, danke für die Erinnerung, dass es die eierlegende Wollmilchsau nicht gibt.
Froh bin ich auch über den Hinweis, dass das andere Hersteller nicht anders machen. Von wegen Haftung und so. Ich helfe KUs zwar nur bei den Planungen zur Ablauforganisation, wozu die Sicherheitsstrategie eben auch gehört, aber die eine oder andere Produktempfehlung rutscht dann ja doch über die Lippen.

Meine Schlüsse:
Auch Kunden dürfen darauf hingewiesen werden, dass es die besagte Sau nicht gibt.
Es ist nicht mein Problem, wenn Kunden Ihren Schlüsselspeicher nicht abziehen.
Dateinamenslängen können verändert werden.
Urlaubsverhalten auch.
Technik hilft uns Menschen Probleme zu lösen, die wir ohne die Technik nicht hätten. ;-)

Ich selbst hab mir gerade mit einem Tool zur Anzeige von Dateinamen (nach Länge gefiltert) meine eigenen Daten analysiert. Es sind knapp 2000 Dateien. Die meisten in denselben Ordnern. Die habe ich vorläufig in andere gemeinsame Ordner verschoben, bis ich sie umbenannt habe. Meine sensibelsten gemeinsamen Ordner habe ich jetzt verschlüsselt. Schade finde ich, dass man nur Ordner, die mit Rechnerschlüssel verschlüsselt sind, automatisch anhängen kann. Die Passphrasenverschlüsselung wäre mir sympathischer gewesen, weil ich die Dateien, soweit ich das verstanden habe, mittels Versionsexplorer und Passphrase auch ohne die konkrete DS hätte lesen können.
Die Masse meiner privaten Daten, meine Mediathek, bleibt in einem unverschlüsselten gemeinsamen Ordner und ist damit grundsätzlich ungeschützt. Unangenehm, aber nicht katastrophal.

Und wegen des Schranks: Wenn ich die DS in einen unzugänglichen Schrank einschließe, kann ich sie nicht mehr am Router anschließen. Außer ich wäre bereit mir privat ein abschließbares Systemrack zu kaufen. Aber irgendwo ist dann auch mal Schluss mit Paranoia. :)
Meine Tausch-Urlauber sind bis jetzt immer Menschen gewesen, die über Empfehlung mir bekannter Menschen an mich geraten sind.
Außerdem habe ich meinen vorherigen Text nochmal durchgelesen. Wieso muss ich eigentlich im Urlaub immer auf meine beruflichen und privaten Daten zugreifen können? Ein Buch ist auch mal eine Alternative. ;-)))

Vielen Dank für die technische und psychologische Hilfe an alle hier. :)
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.165
Punkte für Reaktionen
918
Punkte
424
Das RAID in der Synology ist ein Linux Software-RAID. Also mdadm und lvm. Die Daten sind genauso im Klartext (halt über verschiedene Datenträger verteilt) wie bei einem Windows ohne Bitlocker.
Das RAID kann ich mit mdadm automatisch finden und "zusammenbauen" lassen und habe dann die vollständige "Raid-Partition" im Zugriff.

Mit dem Rechnerschlüssel, das müsste ich nochmal nachlesen.
Ich habe meine verschlüsselten Ordner ohne den Schlüsselmanager erstellt (den gab es zudem damals noch gar nicht). Da besitzt man eine Passphrase und einen key (zwei Schlüssel zum gleichen Schloss) und kann entweder oder benutzen.
Für das automatische Einhängen muss man sich aber halt selber behelfen, da gibt es je nach Randbedingung verschiedenste Lösungen die man sich überlegen kann. Um nur drei Beispiele zu nennen: keys auf einem USB Stick in einem per VPN angebundenen Netz, der die keys per geschütztem Share zur Verfügung stellt, die DS bindet diese Freigabe ein und nimmt die keys in einem script her um die verschlüsselten Ordner einzubinden. Oder die Passphrasen sind auf einem geschützten webserver abgelegt der diese nur rausrückt, wenn die Anfrage von der IP der DS kommt (läßt sich extern auch mit dynDNS Anschlüssen realisieren). Oder man haut sich einen Mini-Rechner ala Raspi irgendwo in der Wohnung / Haus versteckt ins lokale Netz (Strom und WLAN reichen ja) und holt sich die keys von dort ebenfalls per Share oder direkt via SSH. Lösungen finden sich.
Je nach Umsetzung ist bei einem Diebstahl gar nichts zu tun oder man muss maximal einen Zugangsweg zu dem Schlüsseln/Passwörtern blockieren/abschalten.
Oder, wenn man es eher selten braucht (wenn man natürlich täglich seine DS an/ausschaltet dürfte das schnell nervig werden) verzichtet man ganz auf das automatische Einhängen und macht es von Hand.

Und ja, Technik hilft auch Probleme zu lösen die wir ohne Technik nicht hätten.
Ohne Technik hätten wir halt andere Probleme. Probleme findet der Mensch immer.
 

Schwarte

Benutzer
Contributor
Mitglied seit
02. Mrz 2018
Beiträge
117
Punkte für Reaktionen
18
Punkte
24
Die Lösung mit dem Serverschrank ist auch nicht ideal: Hab einen im Keller hängen. Marke: Rackmatic. Erstens ist die Tür simpel aufgehebelt und zweitens waren für die Seitenwände keine Schlösser dabei. Also, ich bin mit der Reset-Lösung auch nicht zufrieden.
Klar, irgendeine Lösung gibt es immer, aber so einfach? Wüsste jetzt auch nicht, wie man das verschärfen kann. Vielleicht eine Email senden mit einem neuen Passwort? Dann müsste die Einrichtung allerdings Pflicht sein. Und dann scheiterts an bestimmten IT-Strukturen. Schlüssel-Key auf USB sichern, so wie Windows das macht? Wo ist der Stick, wer hat den gelöscht? Usw...
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Ich sehe das ähnlich wie Fusion.
Wenn jemand bereits an die Hardware kommt, dann ist es doch immer ein Problem. Egal ob externe Festplatte, Laptop, PC oder Server.
Denke, dass ein 0815 Dieb eher mal das gesamte Gehäuse einpackt, als sich vor Ort mit dem Reset und Einrichten einer Syno beschäftigt (dauert zu lang, Risiko nicht wert, wer weiß ob da überhaupt wichtige Daten drauf sind). Den Reset kann er später in Ruhe an einem anderen Ort machen, falls er es drauf anlegt. Ob das jetzt laut Herstelleranleitung ein Knopfdruck ist, oder 15 Min Arbeit ist, spielt dann doch gar keine Rolle mehr.


Ich sehe für mich nur eine einzige vernünftige Variante: alle Daten verschlüsselt ablegen und natürlich darf dann kein USB Stick mit Schlüssel dran hängen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat