DSM 6.x und darunter Verschlüsselung der Homes

[Feuerfalke]

Hallo,

ich lese nun schon seit geraumer Zeit mit, habe jetzt aber doch mal eine Frage, zu der ich bisher noch keine Antwort gefunden habe. Ich verwende die Benutzer-Homes-Funktion auf meiner DS411. Der Großteil meiner Daten bedarf weder einer Verschlüsselung, noch eines großartig sicheren Backups. Die Dateien, die ich in meinem home-Verzeichnis speichere, halte ich jedoch schon für besonders schützenswert. Deswegen würde ich diese Daten gerne verschlüsseln und eventuell auch online, z.B. über S3, sichern. Nun scheint es aber leider nicht möglich zu sein die homes zu verschlüsseln. Der entsprechende Punkt ist unter den Eigenschaften des gemeinsamen Ordners nicht vorhanden.
Habe ich nur etwas übersehen, oder eventuell seit der Einrichtung schon wieder vergessen, oder ist es tatsächlich nicht möglich die home-Verzeichnisse zu verschlüsseln?
Das wäre dann extrem schade... Die Möglichkeit einen eigenen gemeinsamen Ordner anzulegen und diesen dann zu verschlüsseln, ist mir natürlich bekannt. Damit verliert für mich die homes-Funktion allerdings ihren Sinn.

Gruß
Feuerfalke

 

[HarryPotter]

Nein, es ist nicht möglich, Systemordner wie homes, music, video, photo und so weiter zu verschlüsseln.

 

[Feuerfalke]

Dass es bei music, video und photo nicht geht, war mir bereits bekannt. Diese sind aber ja wohl ein Bisschen was anderes als das homes-Verzeichnis

 

[jahlives]

das mit dem Home ist auch nicht ganz einfach, denn das System muss ja wissen welcher User das ist und welches PW er für die Verschlüsselung hat. Bei lokalen Anmeldungen ist das kein Problem: Username und PW können vom Systemlogin her bezogen werden. So kann das System dann das korrekte Home entschlüsseln und einbinden. Damit steht es dann transparent für alle Dienste zur Verfügung.
Klar kennt das System den User z.B. bei einem Sambalogin auch. Nur müsste man dann die Entschlüsselung in jede Anwendung implementieren. Das wäre imho aber sehr aufwändig und wohl auch nicht so zuverlässig. Da wäre es einfacher die Daten im Home vom Client aus zu verschlüsseln. Tools dazu gibt es ja viele

 

[HarryPotter]

Dass es bei music, video und photo nicht geht, war mir bereits bekannt. Diese sind aber ja wohl ein Bisschen was anderes als das homes-Verzeichnis

Falsch. homes wird ebenfalls für spezielle Dienste wie Mail Station und Web Station (pers. Websaeiten) benötigt - analog zB. wie music für Audio Station.

 

[Puppetmaster]

Hab diesen alten Thread gefunden und das Thema passt gerade zu meinen Gedanken.

Falsch. homes wird ebenfalls für spezielle Dienste wie Mail Station und Web Station (pers. Websaeiten) benötigt - analog zB. wie music für Audio Station.

Na, da muss ich HarryPotter aber insofern widersprechen, als dass das schon ein Unterschied ist.
Ich mache mir derzeit gerade Gedanken um die Verschlüsselung meiner Mails. MailServer-bedingt liegen die ja in einem Unterordner meines home-Verzeichnisses. Das wäre schon schön, wenn der verschlüsselt wäre um ggf. bei Diebstahl dem Dieb nicht den Zugang zu meinen Mails der letzten 10Jahre zu geben...

Gibt es da denn andere sinnvolle Maßnahmen, wie man das lösen kann, ohne, dass es jetzt eine Jahresaufgabe werden würde...?

 

[jahlives]

wenn du den Inhalt deiner Mailbox verschlüsselst: wie soll dann der Mailserver Mails in die Box schreiben können? Besser die Mails mit einem Tool wie PGP verschlüsseln und nicht die gesamte Mailbox

 

[Puppetmaster]

Danke für die Antwort!

wenn du den Inhalt deiner Mailbox verschlüsselst: wie soll dann der Mailserver Mails in die Box schreiben können?

Na, wenn der (home)Ordner so wie andere Freigaben verschlüsselt würde, dann könnte man ihn ja auch entsprechend mouten, damit bestünde voller Zugriff und die Verschlüsselung passiert im Hintergrund.
Es muss halt nur sichergestellt sein, dass die DS den Ordner beim Start nicht automatisch mountet, denn dann bleibt er ja verschlüssel. Eben ganz analog zu anderen verschlüsselten Freigaben.

Alternativ wäre es schön, wenn man dem MailServer beibringen könnte, die Mails nicht in /home/.Maildir sondern in bspw. /Freigabe/Benutzer/.Maildir abzulegen und diese Freigabe zwar zum Schreiben eingebunden haben, im Hintergrund ist sie aber verschlüsselt...
Ich weiß nur nicht ob man das /.Maildir Verzeichnis irgendwie 'umbiegen' kann...

Besser die Mails mit einem Tool wie PGP verschlüsseln und nicht die gesamte Mailbox

Ja, ok, aber wie soll ich das rückwirkend für tausende von Mails machen?
Im Übrigen müßte mir dann ja auch jeder PGP-verschlüsselte Mails senden...

 

[jahlives]

Na, wenn der (home)Ordner so wie andere Freigaben verschlüsselt würde, dann könnte man ihn ja auch entsprechend mouten, damit bestünde voller Zugriff und die Verschlüsselung passiert im Hintergrund.
Es muss halt nur sichergestellt sein, dass die DS den Ordner beim Start nicht automatisch mountet, denn dann bleibt er ja verschlüssel. Eben ganz analog zu anderen verschlüsselten Freigaben.
Der Mailserver wird es dir danken, wenn er Post hat, die er zustellen sollte und die Mailbox nicht da ist. In dem Moment wo postfix startet wäre es von grossem Vorteil wenn die Mailboxen vorhanden sind ;-)

Alternativ wäre es schön, wenn man dem MailServer beibringen könnte, die Mails nicht in /home/.Maildir sondern in bspw. /Freigabe/Benutzer/.Maildir abzulegen und diese Freigabe zwar zum Schreiben eingebunden haben, im Hintergrund ist sie aber verschlüsselt...
Ich weiß nur nicht ob man das /.Maildir Verzeichnis irgendwie 'umbiegen' kann...
Das maildir liegt im Home des Users. Ergo verbiege dein Home und du hast auch dein Maildir umgebogen ;-)



Ja, ok, aber wie soll ich das rückwirkend für tausende von Mails machen?
Im Übrigen müßte mir dann ja auch jeder PGP-verschlüsselte Mails senden...

pgp war nur als Bsp gemeint. Es gibt ja sicher noch mehr Tools welche Files verschlüsseln können ;-) Notfalls geht so was auch direkt mit openssl

**edit**
und falls du wirklich Maildir nicht im home haben willst, dann wirst du auf virtuelle User umsteigen müssen. Die Maildirs von lokalen Usern kriegst du afaik nie aus dem Home raus. Postfix ist aber recht schnell auf virtuelle User umgestellt. Allerdings haben dann User welche du am DSM erstellst kein Mail resp musst du dann auch aufpassen, dass dir bei Änderungen via DSM nicht die Einstellungen zu den virtuellen Usern überschrieben werden
**/edit**

 

[AtomicOne]

Ich hätte gerne etwas ähnliches ...
Mir würde es aber reichen wenn man als "User" (nicht Admin) innerhalb seines Homes einen verschlüsselten Ordner anlegen könnte.

Also NICHT den kompletten home des users oder gar /homes
Sondern nur innerhalb /home/user/<encrypted>/

Die verschlüsselten "Gemeinsamen Ordner" kann ja auch nur ein User der Gruppe "Admin" ein- und aushängen.
Das finde ich eher unbrauchbar.
Auto-Mount wollen wir mal gar nicht erst in betracht ziehen ...

 

[Puppetmaster]

Dann leg doch einen TrueCrypt-Container in diesen Ordner.

Die Home Ordner lassen sich ohnehin nicht verschlüsseln, genausowenig wie einzelne Unterordner eines Shares.

 

[AtomicOne]

Naja, TrueCrypt ist seit ein paar Tagen (ca. 2 oder 3 Wochen) eingestellt und wird nicht mehr weiter entwickelt oder wurde sogar kompromittiert (so genau weiß das keiner).
Daher würde ich gerne auf eine andere Verschlüsselung umsteigen.

Und dass sich die Home-Ordner bzw. dessen Unterordner nicht verschlüsseln lassen ist nach meiner Erkenntnis kein technisches Problem, sondern lediglich darin begründet dass Synology dies einfach nicht implementiert hat.
Denn über das ecryptfs ließe sich theoretisch jeder beliebige Ordner verschlüsseln und mounten.

Jede (halbwegs moderne) Linux-Disto bietet bereits diese Möglichkeit.

 

[Puppetmaster]

Ja klar ist das eine Limitierung seitens Synology. Aber was ist dann jetzt deine Frage?

 

[AtomicOne]

z.B. ob jemand eine Lösung dafür hat.
Oder ob ich vielleicht auch einfach nur etwas übersehe ...

 

[Puppetmaster]

Ich denke nicht, dass du etwas übersiehst. Es ist anders von Synology einfach nicht vorgesehen.

Eine andere "Lösung" als z.B. mit einem Container in einem Ordner zu arbeiten habe ich ersteinmal auch nicht. Ausser ggf. Synology selbst auf die Umstände aufmerksam zu machen, bzw. es ihnen in den Fokus zu rücken. Aber das hast du ja wohl schon getan.

 

[hoschima]

Hallo zusammen,

der Thread ist zwar schon drei Jahre alt, allerdings ist er bei Google immer noch der erste Hit, daher möchte ich kurz einen Lösungsvorschlag unterbreiten den ich gerade ausprobiert habe.

Die Idee: Verknüpfungen im Homes Verzeichnis verweisen auf einen Verschlüsselten Ordner im Hauptverzeichnis. Die Anleitung dazu findet ihr auf http://www.synology-wiki.de/index.php/Gemeinsames_Homeverzeichnis_für_mehrere_User
Der Unterschied ist lediglich, dass nicht mehrere User auf ein Verzeichnis zugreifen sondern ein User auf einen Verschlüsselten Ordner zugreift. Zunächst legt ihr den verschlüsselten Ordner an, anschließend folgt die Verknüpfung wie im Link beschrieben. Danach wird ein Nutzer neu angelegt, wie der Name der Verknüpfung. Zum Schluss noch die Berechtigung für den verschlüsselten Ordner anpassen und fertig. Einziger Wermutstropfen ist, dass der Link nicht unter homes angezeigt wird, was ich jedoch nicht als störend empfinde.

Für Kritik und Anregungen wäre ich dankbar. Ich werde es zumindest vorerst ausprobieren, ob diese Lösung auch im Dauereinsatz nicht zu Problemen führt.

Gruß

 

[Windwusel]

Ich grabe das alte Thema auch noch einmal aus. Ich würde gerne einen verschlüsselten Ordner namens "Music" anlegen. Das funktioniert selbstverständlich nicht da DSM mir sagt er sei Systemreserviert. Der iTunes Server nutzt beispielsweise diesen Ordner. Es müsste doch möglich sein diese Reservierung aufzuheben oder zumindest zu ändern. Ich denke nicht das der iTunes Server ein Problem damit hätte wenn der Ordner künftig verschlüsselt wäre und zumal kann man den Pfad ja auch noch ändern.

 

[Puppetmaster]

Lässt sich Eitunes denn nicht dazu bringen einen anderen Ordner als ausgerechnet 'music' zu nehmen?!

 

[BoBa-]

Hi, ich habe es geschafft, also mein Musik, Photo und Video Ordner Verschlüsselt.
Beim Home bzw. Homes habe ich es leider nicht geschafft, daher bin ich auf diesen etwas älteren Beitrag Gekommen.
Wie?
Man kann nur neu erstellte Ordner verschlüsseln, daher gelöscht und neu mit Verschlüsselung erstellt.
Dann aber „neu indizieren“ lassen.

Bevor ich jetzt ausgebuht werde, ich habe das Teil erst seit gestern und so gut wie keine Ahnung, es kann natürlich sein das Synology das mittlerweile geändert hat und es zu Beginn des Beitrages genauso nicht ging wie jetzt beim homes Ordner.

 

[mausbieber]

Hallo BoBa,

unter 6.1 kann man gemeinsame Ordner wozu auch homes gehört nachträglich verschlüsseln, hat bei mir funktioniert, nachdem ich Dateien, deren Namen länger als ich glaube 147 Zeichen oder Unicode > 45 Zeichen bereinigt hatte.
Die Clouddienste pro User mußte ich danach wieder aktivieren, die Cloudhistorie geht verloren.