Verschlüsselte Ordner wie automatisch einbinden?

[Furchensumpf]

Moin zusammen,

ich hätte da mal eine Frage bezüglich der verschlüsselten Ordner. Beim automatischen Einbinden wird ja, wenn ich das richtig verstanden habe, bemängelt, dass sich der Schlüssel auf der DS befindet. Wie ist das aber, wenn man z.b. eine weitere DS besitzt...wäre es möglich, den Schlüssel (oder eine evt. Datei) dort abzulegen, damit beim hochfahren darauf zugegriffen werden kann?

Ich würde gerne einige Ordner mit privaten Dokumenten verschlüsseln, aber mein Backup-Programm sollte für Sicherungen dennoch darauf zugriff erhalten - dass dann immer von Hand zu machen ist für mich kein wirklich vernünftiges Szenario.

Besten dank

 

[ottosykora]

eine Lösung die da herumgereicht wurde, Schlüssel auf einem usb Stick und dieser wird mit Klebstoff an der Wand oder Bücherregal etc so festgeklebt, dass es bei einem Versuch es gewaltsam zu entfernen zerstört wird.

 

[Furchensumpf]

Da würde meine Frau was dagegen haben...

 

[alexhell]

Ich weiß nicht wie du es sicherst, aber vielleicht wäre es möglich dass du den Key auf einen INTERNEN Webserver ablegst. Dann kannst du es mit einem HTTPS Request vorher holen. Mit internen Webserver meine ich ein anderes Gerät, dass nur in deinem Netz erreichbar ist.

 

[Gehsteigpanzer]

Ich praktiziere es so, dass der USB-Stick an einer USB-Verlängerung hängt. Somit ist es quasi ein weiteres Kabel zum NAS und ein Gefährder würde mit hoher Wahrscheinlichkeit einfach alle Kabel AM GERÄT abziehen und es dann mitnehmen oder eben die Datenträger entwenden. So komme ich bei mir auf einen hohen WAF ;-)

 

[Furchensumpf]

Ich habe gerade hier in Forum etwas "quer" gelesen und bin auf die Sache mit der Fritzbox gestoßen...

Je nach dem wie das für mich als Laie umzusetzen wäre, wäre das evt. eine Möglichkeit, weil die DS und die FB nicht nur in unterschiedlichen Räumen, sondern auch auf verschiedenen Etagen stehen. Ich denke dass ein Einbrecher hier nicht suchen würde...

 

[Furchensumpf]

Ich kann meinen Beitrag leider nicht mehr ändern, mir ist zu der Sache mit der Fritzbox noch etwas eingefallen: Es sollte dann mit der Lösung doch möglich sein auch mehrere DS-Geräte mit Schlüsseln zu versorgen, oder?

 

[peterhoffmann]

Ja, das ist selbstverständlich auch möglich.

Ich empfehle den Schlüssel zu "teilen", sprich auf mindestens zwei Geräten zu verteilen.

Passwort => abcdef
Passwort1 => abc
Passwort2 => def

Passwort1 legt man z.B. auf der Fritzbox ab, Passwort2 z.B. auf einem externen Webserver.

Beim Hochfahren holt sich das Script das Passwort1 von der Fritzbox, das Passwort2 vom Webserver und hängt beide Passwörter aneinander. Dann werden die Ordner damit entschlüsselt. Sollte eine oder beide Quellen nicht verfügbar sein, wird automatisch nicht entschlüsselt.

Das passende Script gibt es hier im Forum (Forensuche).

 

[Furchensumpf]

Ich hab jetzt hier ein wenig umhergeschaut, bisher aber nur diese Anleitung gefunden:

https://www.synology-forum.de/threa...-ueber-das-eigene-netzwerk.112415/post-917379

Da geht es aber um einen Raspberry...kann ich das auch für die Fritzbox nutzen?

Aber irgendwie überfordert mich schon die Einrichtung....das mit dem verschlüsselten Ordner bekomme ich noch hin, aber dann mnit dem Key, Schlüsselmanager usw...

Muss ich noch mal schauen...

Nachtrag:

Ich habe den verschlüsselten Ordner angelegt und in den Schlüsselmanager übertragen. Jetzt bleibt aber die große Frage, wie ich das ganze auf den Stick bekomme...muss ich dafür einfach den Key auf den Stick kopieren? Ich habe da jetzt nichts zu gefunden und der Stick an der DS taucht nirgends in den Einstellungen auf...

 

[peterhoffmann]

Hier ein Link, wo beide Links zu den Antworten führen:
https://www.synology-forum.de/threa...r-einbinden-best-practice.102216/#post-826624

 

[peterhoffmann]

Nachtrag:
Ich empfehle einen Testordner mit Verschlüsselung anzulegen und diesen mittels Script versuchen zu entschlüsseln.

synoshare --enc_mount DEINTESTORDNER DEINPASSWORT

Danach den Import vom Passwort testen (z.B. bei externen Webserver mit curl), in eine Variable abzulegen und damit zu entschlüsseln.
Also Schritt für Schritt, alles mit einem Testordner.

Du kannst dann dein Script hier auch posten. Es sind genug Leute hier, die das verstehen und helfen können.

 

[Furchensumpf]

Danke, die von dir gepostet Links hatte ich bereits gefunden... Für mich beginnt das Problem schon früher - wir bekomme ich den USB Stick eingebunden? Mir wir davon bei der Erstellung des Ordners oder im Key Manager nichts angezeigt...

 

[Furchensumpf]

So, bin jetzt ein wenig weitergekommen. USB-Stick habe ich nun eingerichtet und ist an der Fritzbox generell auch erreichbar. Nur das mit dem Teilen des Passwortes habe ich noch nicht so ganz verstanden. Daher leider doch noch einige Fragen:

- Wie müsste ich das Script von @kev.lin ändern, dass ich doch alles nur über einen USB-Stick laufen lassen könnte? Einfach um das erst mal hinzubekommen und mich von da aus weiterzuhangeln.

- Was ist mit dem Passwort gemeint? Das PW, mit dem ich den Ordner im DSM entsperre? Oder die Passphrase in der cfg-Datei des @keystore-Ordners auf dem USB-Stick? Oder das encrypted_keyin einer der Dateien? Irgendwo muss das ja auf dem Stick abgelegt sein. Oder habe ich da was überlesen?
- Ich denke mal dass ich bei "user" im Pfad den wirklichen Nutzer an der DSM eingeben und crypt1 und crypt2 anlegen muss, richtig? Auf dem Stick kommt dann ein Teil des PW
- im Script wird ja ein Teil des PW auf der DS und ein Teil auf dem Stick gespeichert. Ich besitze zwei Fritzboxen, wobei die ältere einfach als Repeater fungiert. Was wäre mit dem Gedanken, den Teil des PW, was eigentlich auf die DS kommt, auch in der Fritzbox zu speichern. Wäre es hier auch möglich/ratsam, den Teil des PW direkt auf die Fritzbox zu speichern? Wegen den paar KB immer einen USB-Stick zu nutzen wäre schon Verschwendung...^^

Besten dank schon mal....

 

[peterhoffmann]

USB-Stick / Fritzbox:
Ich habe es bisher mehrfach immer nur mit USB-Stick eingerichtet. Aber grundsätzlich sollte es ja auch ohne Stick gehen, da die Fritzbox selber auch etwas Speicher hat. Probiert habe ich es aber nicht, keine Ahnung, ob da auch die NAS-Funktion auf der Fritzbox erlaubt ist.

Zwei Fritzboxen (beide mit NAS-Funktion?):
Dann wäre es ja möglich den ersten Teil vom Passwort auf Fritzbox1 zu legen und den zweiten Teil auf Fritzbox2, sowie beide Quellen in der DS einzubinden.

Einbinden:
Du legst einen Ordner in einem unverschlüsselten Gemeinsamen Ordner an, wo später die Inhalte von Fritzbox1 angezeigt werden sollen.
Nun gehst du über die Filestation und da auf "Remote Ordner bereitstellen". Unter Ordner gibst du die IP + Ordner auf der Fritzbox an, z.B. //192.168.178.1/dokumente. Dann noch die Zugangsdaten (eigener Nutzer in der Fritzbox, der nur NAS darf).
Und schon kannst du über deinen vorher auf der DS angelegten Ordner direkt auf das Verzeichnis in der Fritzbox zugreifen.

 

[Furchensumpf]

Anhand Deines Beispiels und dem "Slash" nehme ich an, dass ich als Protokoll NFS nehmen muss...richtig? Da bekomme ich jedoch keine Verbindung zum USB-Stick..

Der Pfad, der mir im Browser angezeigt wird, wäre

http://192.168.1.1/nas#/files/USB-STICK

Da schlägt die Verbindung aber fehl...der Remote-Server scheint über NFS nicht erreichbar zu sein.

Die Frage, die ich mir gerade stelle ist, ob die Fritzbox überhaupt NFS unterstützt - ich habe da in den Einstellungen nichts zu gefunden. Auch die Hilfe meiner FB brachte nichts zutage...

NACHTRAG:

Mein Fehler! Ich habe die URL aus dem Browser genommen, hätte aber die Adresse aus der Netzwerkumgebung nehmen sollen.

Den Stick habe ich jetzt eingebunden bekommen...was ich aber noch nicht herausgefunden habe ist die Sache mit dem PW....welches PW jetzt genau und wie muss ich das einbinden? Dazu habe ich hier im Forum nichts gefunden...Es wird immer vom PW gesprochen, nur sagt nie einer welches das ist und wo es wie hinsoll..:-(

 

[Furchensumpf]

So, Nachtrag Nr. 2, weil ich oben nicht mehr ändern kann:

@peterhoffmann

Ich habe mir Deinen Post hier noch mal angeschaut:

https://www.synology-forum.de/threa...luessel-manager-geht-nicht.84477/#post-714057

Nach mehrmaligem Lesen habe ich das Gefühl, dass es hier gar nicht um die Key-Datei, sondern um das Passwort geht, dass ich im DSM eingebe um den Ordner zu entschlüsseln? Und das ich das PW in zwei Teile einfach in einer Text-Datei (Endung egal?) aufteilen und ablegen soll? Mit dem Script also im Grunde eine manuelle Eingabe simuliert werden soll? Verstehe ich das jetzt endlich richtig?

 

[peterhoffmann]

Grundsätzlich zur Keydatei:
Die Keydatei beinhaltet das Passwort, welches du für einen "gemeinsamen Ordner" bei der Verschlüsselung angegeben hast. Gib mir deine Keydatei, ich sag dir dein Passwort. Kurzum: Die Keydatei hat keinen Schutz, da kannst du gleich mit dem Passwort arbeiten.

Passwort:
Du vergibst beim Anlegen deines "gemeinsamen Ordners" ein Passwort (z.B. => 12345678). Nun zerlegst du das Passwort in zwei Teile:
Teil1 => 1234
Teil2 => 5678
In deinem Fall (2 Fritzboxen) legst du Teil1 auf Fritzbox1 und Teil2 auf Fritzbox2.

Hochfahren der DS:
Das Script macht folgendes beim Hochfahren: Es holt sich Teil1 (1234) und Teil2 (5678), setzt es zusammen (12345678) und entschlüsselt deine Ordner.

Vorteile dieses Verfahrens:
Du brauchst nicht händisch zu entschlüsseln, wenn deine DS mal neugestartet wird.
Beim Diebstahl klaut der Dieb das NAS, kommt aber nicht an die Daten (verschlüsselt) und das Passwort liegt nicht auf dem NAS, sondern verteilt auf den zwei Fritzboxen.

 

[Furchensumpf]

Das war mir ja alles klar...nur in welcher Form lege ich das Passwort in die Fritzbox? in einer *.txt-Datei oder einer anderen FOrm? das Script muss ja eine Datei verarbeiten um an das Passwort zu kommen - und da kann ich auch in dem Script nichts erkennen. Da klemmt es gerade noch...

 

[alexhell]

Es ist egal was für eine Dateiendung es hat. Du kannst es auch weglassen

 

[Furchensumpf]

Das heißt also auch, dass die Datei keinen bestimmten Namen benötigt? Oder wäre der Teil des Passworte der Dateiname? Oder nimmt das Script sich einfach die Datei, die in dem Ordner liegt, womit auch nur eine Datei in dem Ordner sein dürfte?

Ich frage deswegen genau: Was wäre, wenn ich mehrere verschlüsselte Ordner mit verschiedenen Passwörtern hätte...bräuchte ich dann für jeden Ordner ein eigenes Script? Dementsprechend müsste auch jedes PW in einen eigenen Ordner liegen, richtig?