DSM 7.2 Sind meine Volumes/freigegebenen Ordner verschlüsselt?

[eddie irvine]

Hallo,

ich habe bei meiner DS923+eine 2-Faktor Authentifizierung aktiviert und heute leider mein Smartphone verloren.
Demzufolge kann ich mich mit keinem Admin User mehr an meiner DS anmelden.

Mit einem Soft Reset (Zurücksetzen mit Modus 1) sollte ich das Ganze ja jetzt wieder hinbekommen.
Jetzt habe ich aber Folgendes gelesen:

• Verschlüsselte Ordner werden getrennt und die Funktion Beim Start automatisch bereitstellen ist deaktiviert. Wenn der Schlüssel ein Maschinenschlüssel ist, wird er aus Sicherheitsgründen aus Key Manager gelöscht. Informationen dazu, wie Sie den Maschinenschlüssel zum Entschlüsseln freigegebener Ordner nach dem Zurücksetzen aufbewahren, finden Sie in diesem Artikel .
• Verschlüsselte Volumes sind gesperrt, weil der Schlüsseltresor gelöscht und deaktiviert wurde. Sie müssen den Tresor erneut aktivieren und anschließend jedes verschlüsselte Volume mit dem entsprechenden Wiederherstellungsschlüssel entsperren.

Ich bin mir eigentlich relativ sicher, dass ich keine verschlüsselten Ordner/Volumes habe, da sich der Mehrwert doch in Grenzen hält.
Aber ich möchte halt wirklich auf Nummer sicher gehen, bevor ich den Reset durchführe.

Wie kann ich herausfinden, ob da irgendwas verschlüsselt ist, ohne Zugriff auf DSM zu haben?
Zugriff per Putty mit Admin User und zu DSM mit einem nicht-Admin User funktioniert.

Vielen Dank im Voraus!

 

[ottosykora]

wenn du nichts verschlüsselt hast, dann ist nichts verschlüsseltes da

bei Reset1 werden die Netzwerkeinstellungen auf DHCP gesetzt und man kann einen neuen Admin erstellen um mit dem dann den Rest wieder konfigurieren

 

[DaveR]

Via SSH an encrypted shared folder will appear with @ before and after the folder name. Like /volume1/@folder-name@

You can check for encrypted shared folders with:

ls /volume* | grep -E '@$'

You can check for encrypted volumes with:

ls /dev/mapper | grep cryptvol

I have an encrypted shared folder named private on volume 3 and an encrypted volume 2.

 

[Synchrotron]

Nur so am Rande: Die Volumeverschlüsselung dient dazu, sich keine Gedanken um die Daten auf einer HDD mehr machen zu müssen.

Und zwar auch dann, wenn der Zustand des Laufwerks es nicht mehr erlaubt, alles noch sicher zu löschen.

Sei es, weil das Laufwerk ausgefallen ist. Oder sei es, weil es gestohlen wurde.

Allein das ist aus meiner Sicht Grund genug, Volumes zu verschlüsseln.

 

[eddie irvine]

Schon mal besten Dank für die Antworten!

Leider scheint mein Volume 1 verschlüsselt zu sein



Wie kann ich herausfinden, ob ich einen Wiederherstellungsschlüssel habe?
Ist das eine *.rkey Datei, die ich hoffentlich irgendwo gespeichert habe?

Angenommen, dass ich keinen Schlüssel habe:
Kann ich da auch irgendwas mit einem Passwort machen? Das kenne ich mit Sicherheit.

Angenommen, dass nichts mehr geht...
Dann muss ich die Daten löschen und mittels eines Hyper Backups, das ich auf einer alten DS erstelle, wieder auf die neue DS kopieren. Korrekt?

 

[eddie irvine]

Hm, ich kann leider keine .key oder .rkey Datei finde.

Die Hyper Backup Daten auf meiner alten DS sind dann aber nicht verschlüsselt, oder?
Zusätzlich habe ich auch noch ein Hyper Backup auf einer USB Platte.

Komme ich ohne mein Smartphone wirklich nicht mehr auf mein DSM?
Ich verfluche jetzt schon diese verdammte 2-Faktor-Authentifizierung!
Der Notfallcode kommt leider nirgends an!
Kann es sein, dass ich keine Mail-Adresse konfiguriert habe?
Kann der Synology Support da was machen?

 

[Laola1]

Ja das ist der Fluch von 2 Faktor Authentifizierung.
Ich benutze sie zwar auch um von extern zB. Büro oder anderswo auf meine NAS zugreifen zu können, aber nur damit niemand das Kennwort abgreifen kann.
Ich bekomme lediglich „genehmigen“ auf dem Handy oder Watch angezeigt, klick drauf und gut.
Und natürlich habe ich noch einen 2. Admin mit klassischen Kennwort, aber der kommt nur im heimischen LAN zum Einsatz und ist gleichzeitig NotfallAdmin.

 

[Benares]

Google mal nach "synology turn off 2fa ssh". Ich habe z.B. das hier gefunden.
So wie ich das verstehe aktivieren die wieder den alten "admin" über den dann 2FA für den neuen abgeschaltet werden kann.

 

[DaveR]

Hm, ich kann leider keine .key oder .rkey Datei finde.

Are you sure you didn't save the .rkey to your computer?

 

[eddie irvine]

Google mal nach "synology turn off 2fa ssh". Ich habe z.B. das hier gefunden.
So wie ich das verstehe aktivieren die wieder den alten "admin" über den dann 2FA für den neuen abgeschaltet werden kann.

You made my day!

synouser --modify admin admin 0 test@test.de

als root user ausgeführt (vorher sudo -i ausführen!) hat meinen deaktivierten admin Account wieder aktiviert!

Aber 2-FA scheint jetzt verpflichtend zu sein!
Jedenfalls wird man bei jeder Anmeldung durch einen Dialog geleitet...

Das Krasse ist, dass ich jetzt bei meinem normalen Benutzer wieder 2-FA aktivieren musste und infolgedessen meine E-Mail Adresse verifiziert wurde.
Aber trotzdem kommt kein Notfallcode an, wenn man "Sie können sich nicht mit OTP anmelden" anklickt!
Das ist doch wirklich Schrott...

 

[DaveR]

I don't have 2FA enabled in DSM 7.2.1

 

[Benares]

Gibt noch andere Tipps. Lies mal hier unter #11. Die benennen da eine Datei unter /usr/syno/etc/preference/<Benutzer> um.

 

[eddie irvine]

I don't have 2FA enabled in DSM 7.2.1

You can deactivate it here:

 

[Benares]

Aber 2-FA scheint jetzt verpflichtend zu sein!

Hab dazu das hier gefunden:


Edit: Zu langsam. Aber dies ist eine Erzwingung. Unter DSM->Persönlich geht das auch individuell.

 

[eddie irvine]

Ich habe jetzt spaßeshalber wieder 2-FA aktiviert und wollte das Senden des Aktivierungscodes per E-Mail testen.
Es funktioniert bei mir einfach nicht!

Und das, obwohl ich die Adresse zuvor erfolgreich verifiziert habe!
Woran liegt das?

Prinzipiell finde ich 2-FA ja sehr sinnvoll. Aber dann sollte man sich notfalls immer noch per hinterlegter Mail-Adresse anmelden können.

 

[Benares]

Schalt doch erstmal diese Erzwingung ab und lege einen neuen Admin an, damit du wieder arbeitsfähig wirst.
Dann kann du das in Ruhe testen.

 

[eddie irvine]

Ok, habe jetzt rausgefunden, dass meine Einstellungen unter System/Benachrichtigung für den SMTP Server nicht mehr funktioniert haben!



Man hat also ein Problem, wenn sich dort von Seiten des Mail-Anbieters irgendetwas ändert!

Im Zusammenhang mit der Verifizierung während der 2-FA Einrichtung ist das echt verwirrend, denn da scheint DSM nicht diesen SMTP Server zu verwenden!
In meinen Augen ist das echt gefährlich...

 

[patrickn]

Welcher E-Mail Anbieter?
Möglicherweise ohne Verschlüsselung genutzt? Das dürfte so ziemlich die einzige Änderung sein, die sich auch bei Mailanbietern mal ändern kann. Ansonsten hat sich da an SMTP eigentlich nichts geändert - außer vielleicht mal ein neues Passwort.

 

[Synchrotron]

Persönlich nutze ich für Synology die Secure SignIn - App. Meistens reicht eine Freigabe auf iPhone oder Apple Watch. Manchmal klappt das nicht, dann per OTP Code. Ein Vorteil: Läßt sich problemlos auf mehreren Geräten installieren.

Für die allgemeine Nutzung verwende ich Authy. Vorteil: Synchronisiert sich über mehrere Geräte, einschließlich die Macs. Ich nehme bewußt nicht den Passwortmanager, damit die 2FA-Codes nicht in der gleichen App liegen, wie die Passworte. (Ja, ich weiß, daß es bei Authy kürzlich einen Break gab).

 

[patrickn]

Kann man als Alternative auch feste backup-codes nutzen, wie man sie z.B. bei Google bei der Einrichtung bekommt, also die 10 Codes die je einmalig gültig sind?

Wenn alle Stricke reißen auf eine E-Mail angewiesen zu sein, missfällt mir trotz allem auch irgendwie. Genau so ein Fall wie hier hält mich nämlich bisher auch davon ab, das zu aktivieren.