Verschlüsseltes Backup auf externer DS. WIE???

Status
Für weitere Antworten geschlossen.

ampeer

Benutzer
Mitglied seit
13. Nov 2013
Beiträge
81
Punkte für Reaktionen
1
Punkte
8
Hallo zusammen,

ein Freund hat auch eine DS und da dachten wir, wir sind nicht dumm und legen wechselseitig über Internet ein Backup auf der jeweils anderen DS ab.

Die Backup Daten sollen natürtlich verschlüsselt da liegen!

Irgendwie dachten wir, dass müsste mit Boardmitteln doch einfach machbar sein.

Scheint aber irgendwie nicht der Fall.

Oder übersehen wir was?

Jeder Hinweis ist sehr willkommen :)

Herzliche Grüße,
ampeer.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Wenn du die Freigaben bei dir auf der DS verschlüsselst (Anlegen einer verschlüsselten Freigabe), und diese dann auf eine andere DS sicherst, dann ist diese Sicherung ebenfalls verschlüsselt.
 

ampeer

Benutzer
Mitglied seit
13. Nov 2013
Beiträge
81
Punkte für Reaktionen
1
Punkte
8
Cool, das wusste ich nicht! Ich habe schon einen verschlüsselten gemeinsamen Ordner dafür angelegt. Dachte aber, das Backup wäre dann unverschlüsselt.

Nun stellt sich aber noch eine andere Frage: wir haben den ssh login per username / passwort auf unseren DS deaktiviert, weil man sonst immer diverse login Versuche von "Hackern" hat.

Damit funktionier aber dann die Netzwerksicherung auch nicht mehr, oder? Die will sich ja per ssh mit UN/PW einloggen.

Kann man evtl. auch irgendwo einen ssh key hinterlegen, der dann statt username / pw für die Netzwerksicherung verwendet wird?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Das geht vermutlich, den Weg kann ich dir jetzt aber nicht aufzeigen. Ist sicher auch eine Menge Gefrickel unter der Haube.

Allerdings brauchst du, wenn du bereits verschlüsselte Ordner sichern willst, ja nicht zwingend eine Übertragsverschlüsselung. Die Daten sind ja bereits verschlüsselt. Einzig User und PW wäre da noch das Problem...
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Oder aber, du verbindest die DSen direkt per VPN.
 

ampeer

Benutzer
Mitglied seit
13. Nov 2013
Beiträge
81
Punkte für Reaktionen
1
Punkte
8
OK, läuft! Danke an Puppetmaster für den entscheidenden Tip!

Falls mal jemand nach der Lösung sucht schreibe ich das hier mal auf.


Anforderungen waren:

1. Backup über Internet auf entfernte DS.

2. Daten sollten verschlüsselt übertragen werden.

3. Daten sollen verschlüsselt auf entferner DS liegen.

4. Möglichst alles mit Boardmitteln (DSM 5).

5. Sicherung soll über ssh (port 22) erfolgen.

6. ssh login mit UN/PW soll deaktiviert sein bzw. bleiben.


Lösung:

1. einen neuen gemeinsamen verschlüsselten Ordner anlegen.

2. Datensicherungsaufgaben anlegen, die die entsprechenden Daten lokal in diesen verschlüsselten Ordner sichern.

3. Datensicherungsziel auf entfernter DS erstellen.

4. Datensicherungsaufgabe erstellen, die den verschlüsselten Ordner auf das remote Ziel sichert.


Erweiterte Lösung:

Um unerwünschte ssh login Versuche von "Hackern" zu unterbinden habe ich in /etc/ssh/sshd_config die "PasswordAuthentication" abgeschaltet ("no"). ACHTUNG: danach funktionert der ssh login nur noch über ssh keys. Das sollte man vorher einrichten!

Damit das remote Backup nun auch per ssh über port 22 funktioniert, muss man

1. den private key beim eigenen root user hinerlegen (in /root/.ssh/)

2. den pubic key auf der remote DS hinterlegen (unter [user_home]/.ssh/authorized_keys).

Will man das alles nicht machen, bleibt immer noch, den alternativ von Synology vorgesehenen Port 873 zu verwenden und entsprechend im Router einzurichten. Dann kann man das ssh login per UN/PW weiter deaktiviert lassen, muss aber auch nicht die keys einrichten.
 

ampeer

Benutzer
Mitglied seit
13. Nov 2013
Beiträge
81
Punkte für Reaktionen
1
Punkte
8
Kleine Korrektur zur "erweiterten Lösung", also zu Backup per ssh mit key und ohne UN/PW.

statt Schritt 1 und 2 aus meinem letzten Post sollte das hier reichen:

den key aus /etc/ssh/ssh_host_rsa_key.pub auf der Ziel-DS im [backupUser_home]/.ssh/authorized_keys eintragen

Dann kann sich der backup user auf der entfernten DS per ssh mit key anmelden. Denn dabei wird anscheinend der key aus /etc/ssh verwendet.
 

ampeer

Benutzer
Mitglied seit
13. Nov 2013
Beiträge
81
Punkte für Reaktionen
1
Punkte
8
Übrigens wurden die keys aus /etc/ssh anscheinend im Zusammenhang mit dem ssh Heartbleed Bug mit einem der letzten DSM Updates neu erzeugt!

Wenn es also mal funktioniert hat und nun nicht mehr, dann bitte den key nochmal vergleichen bzw. aktualisieren!
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat