Verschlüsseltes Backup auf externer DS. WIE???

[ampeer]

Hallo zusammen,

ein Freund hat auch eine DS und da dachten wir, wir sind nicht dumm und legen wechselseitig über Internet ein Backup auf der jeweils anderen DS ab.

Die Backup Daten sollen natürtlich verschlüsselt da liegen!

Irgendwie dachten wir, dass müsste mit Boardmitteln doch einfach machbar sein.

Scheint aber irgendwie nicht der Fall.

Oder übersehen wir was?

Jeder Hinweis ist sehr willkommen

Herzliche Grüße,
ampeer.

 

[Puppetmaster]

Wenn du die Freigaben bei dir auf der DS verschlüsselst (Anlegen einer verschlüsselten Freigabe), und diese dann auf eine andere DS sicherst, dann ist diese Sicherung ebenfalls verschlüsselt.

 

[ampeer]

Cool, das wusste ich nicht! Ich habe schon einen verschlüsselten gemeinsamen Ordner dafür angelegt. Dachte aber, das Backup wäre dann unverschlüsselt.

Nun stellt sich aber noch eine andere Frage: wir haben den ssh login per username / passwort auf unseren DS deaktiviert, weil man sonst immer diverse login Versuche von "Hackern" hat.

Damit funktionier aber dann die Netzwerksicherung auch nicht mehr, oder? Die will sich ja per ssh mit UN/PW einloggen.

Kann man evtl. auch irgendwo einen ssh key hinterlegen, der dann statt username / pw für die Netzwerksicherung verwendet wird?

 

[Puppetmaster]

Das geht vermutlich, den Weg kann ich dir jetzt aber nicht aufzeigen. Ist sicher auch eine Menge Gefrickel unter der Haube.

Allerdings brauchst du, wenn du bereits verschlüsselte Ordner sichern willst, ja nicht zwingend eine Übertragsverschlüsselung. Die Daten sind ja bereits verschlüsselt. Einzig User und PW wäre da noch das Problem...

 

[Puppetmaster]

Oder aber, du verbindest die DSen direkt per VPN.

 

[ampeer]

OK, läuft! Danke an Puppetmaster für den entscheidenden Tip!

Falls mal jemand nach der Lösung sucht schreibe ich das hier mal auf.


Anforderungen waren:

1. Backup über Internet auf entfernte DS.

2. Daten sollten verschlüsselt übertragen werden.

3. Daten sollen verschlüsselt auf entferner DS liegen.

4. Möglichst alles mit Boardmitteln (DSM 5).

5. Sicherung soll über ssh (port 22) erfolgen.

6. ssh login mit UN/PW soll deaktiviert sein bzw. bleiben.


Lösung:

1. einen neuen gemeinsamen verschlüsselten Ordner anlegen.

2. Datensicherungsaufgaben anlegen, die die entsprechenden Daten lokal in diesen verschlüsselten Ordner sichern.

3. Datensicherungsziel auf entfernter DS erstellen.

4. Datensicherungsaufgabe erstellen, die den verschlüsselten Ordner auf das remote Ziel sichert.


Erweiterte Lösung:

Um unerwünschte ssh login Versuche von "Hackern" zu unterbinden habe ich in /etc/ssh/sshd_config die "PasswordAuthentication" abgeschaltet ("no"). ACHTUNG: danach funktionert der ssh login nur noch über ssh keys. Das sollte man vorher einrichten!

Damit das remote Backup nun auch per ssh über port 22 funktioniert, muss man

1. den private key beim eigenen root user hinerlegen (in /root/.ssh/)

2. den pubic key auf der remote DS hinterlegen (unter [user_home]/.ssh/authorized_keys).

Will man das alles nicht machen, bleibt immer noch, den alternativ von Synology vorgesehenen Port 873 zu verwenden und entsprechend im Router einzurichten. Dann kann man das ssh login per UN/PW weiter deaktiviert lassen, muss aber auch nicht die keys einrichten.

 

[ampeer]

Kleine Korrektur zur "erweiterten Lösung", also zu Backup per ssh mit key und ohne UN/PW.

statt Schritt 1 und 2 aus meinem letzten Post sollte das hier reichen:

den key aus /etc/ssh/ssh_host_rsa_key.pub auf der Ziel-DS im [backupUser_home]/.ssh/authorized_keys eintragen

Dann kann sich der backup user auf der entfernten DS per ssh mit key anmelden. Denn dabei wird anscheinend der key aus /etc/ssh verwendet.

 

[ampeer]

Übrigens wurden die keys aus /etc/ssh anscheinend im Zusammenhang mit dem ssh Heartbleed Bug mit einem der letzten DSM Updates neu erzeugt!

Wenn es also mal funktioniert hat und nun nicht mehr, dann bitte den key nochmal vergleichen bzw. aktualisieren!