DSM 7.2 Speicherpool verschlüsseln

Medienspuernase

Benutzer
Registriert
18. Sep. 2024
Beiträge
215
Reaktionspunkte
88
Punkte
34
Ich lese viel und schaue auch einige Youtube Videos über Synology. Nun wurde in einem Video empfohlen, beim Aufsetzen eines Synology NAS den Speicherpool zu verschlüsseln. Hat da jemand Erfahrungen damit?

Ich habe mittlerweile gelesen, daß für die Verschlüsselung des Speicherpools ein Schlüsseltresor benötigt wird. Wo wird der hinterlegt? Direkt auf dem NAS? Ist der Schlüssel mit dem Anmeldepasswort verknüpft oder gibt es da zusätzliche Schritte, die ich durchführen muss, wenn ich mein NAS neu starte oder hochfahre? Kann mir jemand kurz beschreiben, was auf mich zukommt, wenn ich mir irgendwann so eine Speicherpoolverschlüsselung einrichte?
 
Also kann ich den Tresor auf meinem NAS erstellen oder ist davon abzuraten?
 
Ich würde die Volumenverschlüsselung bevorzugen, allerdings muss deine DS das unterstützen und du musst das Volume neu aufsetzen.Der Schlüssel wird normalerweise auf dem Nas selber gespeichert, kann aber auch auf z.b auf USB-Stick( bei Ordnerverschlüsselung) und bei Vollverschlüsselung auf einen Kmip-Server gespeichert werden.Gibt es Threads hier dazu.
 
  • Like
Reaktionen: mjth.ffb
Die Volumeverschlüsselung ist absolut zu empfehlen. Irgendwann fällt jede Festplatte aus und muss entsorgt werden. Die Verschlüsselung sorgt dafür, dass dann die Daten auf der Platte bereits geschützt sind. Auch dann, wenn man die Platte z.B. nicht mehr löschen kann.

M.E. im gewerblichen Umfeld zwingend nötig (DSGVO), auch für private zu empfehlen.

Die Ordnerverschlüsselung dient hingegen dazu, während der Benutzung die Daten des einen Benutzers vor Einsicht durch andere zu schützen.

Da die Verschlüsselung hardwareunterstützt abläuft, ist sie sehr schnell. Ich konnte weder eine Verzögerung noch eine CPU-Belastung feststellen.
 
Ich nutze mittlerweile, genau aus diesem Grund, auch die Volume Verschlüsselung.
 
Die Volumeverschlüsselung ist absolut zu empfehlen. Irgendwann fällt jede Festplatte aus und muss entsorgt werden. Die Verschlüsselung sorgt dafür, dass dann die Daten auf der Platte bereits geschützt sind. Auch dann, wenn man die Platte z.B. nicht mehr löschen kann.
Ich habe so wie Du eine DS1522+, die die Volumeverschlüsselung unterstützt. Das zu nutzen, macht alleine aus den von Dir genannten Gründen absolut Sinn. Leider kannte ich dieses Feature nicht, als ich das System Anfang des Jahres aufgesetzt habe - Mist! 🙁 Auch wenn ich mir zu 99,999% sicher, bin die Antwort bereits zu kennen ... ist eine nachträgliche Verschlüsselung eines Volumes möglich?

Vermutlich bleibt mir aber nur der mühsame Weg:
  • Backup der Daten
  • Volume platt machen
  • Volume mit Verschlüsselung neu anlegen
  • Restore des Backup
Oder?
 
Ja, geht nur bei der Erstellung des Volumes.
 
  • Sad
Reaktionen: Annika Hansen
Ich frage auch aus folgenden Gründen: Ich besitze sekllbst die DS1522+ und mein Vater eine DS923+, wo ich bei Gelegenheit auch die Verschlüsselung des Speicherpools aktivieren möchte. Gerade bei uns laufen die Geräte nicht ständig durch und ich möchte gerade meinem Vater auch nicht den Spaß an Seinem Gerät vergällen (er nutzt seine Diskstation als Streamingcenter), in dem da beim Start des Gerätes noch irgendwelche Arbeitsschritte zum Entschlüsseln nötig sind oder so. Aber gerade das kann ich mir nicht vorstellen, daß man da nichts zu tun hat, denn das würde einer Verschlüsselung, gerade bei Diebstahl des Geräts ja aus meiner Sicht irgendwie wiedersprechen. Oder denke ich da zu kompliziert?. Bei meinem Laptop mit Linux Mint habe ich auch die Festplatte verschlüsselt und da muss ich mich nach jedem Neustart immer mit einem Passwort anmelden, um den nutzen zu können. Ich nehme an, daß das Passwort im Falle einer Verschlüsselung des Speicherpools auf den Endgeräten (beispielsweise Vadders TV Gerät in Plex) hinterlegt wird und dann bei jedem Zugriff auf die DS geprüft wird.

Für mich bin ich erstmal dabei meine Backups zu aktualisieren und danach das ganze ding einfach mal zu probieren.
 
Ach..... muss ich die DS923+ meines Vadders noch in meine Fußnote aufnehmen, da ich die ja auch bisschen mit Administriere? :eek:
 
Man muss die Verschlüsselung beim Aufsetzen des Volumes durchführen - nachträglich geht nicht.

Im Betrieb merke ich davon nichts. Mit der Anmeldung eines Users wird das Volume entschlüsselt bereitgestellt. Da die Verschlüsselung über Hardware läuft, gibt es auch keinen (spürbaren) Geschwindigkeitsnachteil. Man sollte den Schlüssel noch mal irgendwo sicher abspeichern, zum Beispiel im Passwortmanager.
 
  • Like
Reaktionen: ctrlaltdelete
@Synchrotron Ah das wollte ich nur wissen. Hatte keine Ahnung ob man da beim Hochfahren der Kiste der beim Anmelden noch irgendwelche zusätzlichen Schritte hat, die man durchführen muss. Gerade bei meinem Vater, der nicht so IT Affin ist wie die meisten hier und dann auch einige Hintergründe nicht mehr so versteht.

Dann werde ich das erstmal auf meiner 1522+ ausprobieren und weitersehen.
 
So ich habe jetzt einfach meine DS1522+ mal leer gemacht (Backups gezogen) und dann den Speicherpool mit BTRFS (hatte ich auch schon früher eingestellt) UND Verschlüsselung. Der Key dazu liegt erstmal auf meinem Tablet und wird bei Gelegenheit noch auf zwei USB Sticks gesichert. Derzeit erstellt die Diskstation den Speicherppool und das RAID. Morgen denke ich, kann ich meine Einstellungen und Dateien zurückspielen, wenn dieser Prozess fertig ist und dann werde ich mal sehen wie sich das ganze "Anfühlt".
 
Danke für den Tip. Ich werde mal sehen wie ich das lösen werde. Momentan ist das erstmal nur ein Probelauf auf meinem Gerät.
 
  • Like
Reaktionen: Rotbart
Derzeit habe ich auf einem Raspi 3 nur PiHole am rennen. Wenn ich Zeit habe muss ich mal sehn ob ich das da integrieren kann.
 
Zuletzt bearbeitet:
Ich schaffe ungern noch mehr Abhängigkeiten in meinem Heimnetzwerk. Für meinen Use Case (Austausch einer Platte UND Platte nicht mehr löschbar) ist mir der Aufwand mit einem externen Schlüsselserver deutlich zu groß.
 
Kurze, vielleicht auch blöde Frage: Derzeit ist mein NAS dabei den Speicherpool, den ich heute erstellt habe, zu Optimieren. Derzeit dauert das irgendwas zwischen 20 und 24 Stunden, bis der Speicherpool fertig optimiert ist. Dabei habe ich in den Globalen Einstellungen auch schon den RAID Resync auf "Schneller ausführen" gestellt. Kann ich dennoch schon beginnen meine Dateien auf das NAS zu schieben oder sollte ich dann doch lieber bis Morgen warten, bis die Optimierung durch ist?

Ich habe allerdings schon ein paar Apps, die ich benötige (Docker, Plex, Notestation, CloudSync.....) installiert
 
Persönlich lasse ich so etwas immer gerne zu Ende laufen, bevor ich etwas produktives mache.

Meistens ist es egal, aber manchmal bricht die Performance so ein, dass ich besser gewartet hätte. Eile 🏃🏻‍♂️ mit Weile 🥵
 
  • Like
Reaktionen: Benares

Additional post fields

 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat