Verschlüsselung und Benutzerordner

[peterhoffmann]

Ich sehe da keine Fehler.

Bei mir läuft es etwas bequemer über einen Array. Aber das sollte egal sein wie man den Mount-Befehl füttert.

Hier mal im Groben:

p1=$(curl -k https://url)
p2=$(curl -k https://url)
p3=$(curl -k https://url)

meinarray=(Ordner1 Ordner2 Ordner3 Ordner4)

for i in ${meinarray[@]}; do
 synoshare --enc_mount $i $i$p1$p2$p3
sleep 10
done

Mich wundert bei dir der glasklare Unterschied zwischen Kalt- und Warmstart.
Wie wird das Script gestartet? Aufgabenplaner? Liegt es dort direkt drin oder ist es nur verlinkt (bash /a/b/script.sh)?

Leg den Inhalt der Variablen doch mal testweise in einer Datei ab um es im Nachgang zu kontrollieren.

 

[zxmc]

Hab jetzt das letzte Update eingespielt und es geht nun.

Das Skript liegt einfach in /usr/local/etc/rc.d und wird damit automatisch gestartet. Es läuft aber anscheinend zweimal - jedenfalls wird bei einem Warmstart zweimal auf die Server zugegriffen und zwar in einem Abstand von ca. 5 Minuten. Naja, egal: läuft ja nun doch.

 

[peterhoffmann]

Bei mir liegt das Script im Aufgabenplaner selbst und wird beim Hochfahren ausgeführt. Das klappt bisher anstandslos, egal welche Version (6.1, 6.2, 6.2.1, 6.2.2).

 

[Gast_DS218]

Hallo,

auch auf die Gefahr hin, dass diesen Thread niemand mehr auf Grund seines Alters liest, dennoch eine Frage oder Anmerkung.

In diesem und vielen anderen Threads wird ein erheblicher Aufwand getrieben, das Passwort von gut versteckten oder entfernten Orten zu holen:
- Smartphone
- entfernten Servern
- USB-Stick mit 5m langen Kabel
- ...

Nur, was bringt es? Zumindest bei meiner DS218 unter DSM 6.2 führt ein Aufruf im Skript wie

synoshare --enc_mount $i $i$p1

zu einem Logeintrag in der Datei

/var/log/auth.log

in der Form


------

2020-05-18T23:01:00+02:00 Station_DS218 sudo: admin : TTY=pts/15 ; PWD=/volume1/MeinOrdner ; USER=root ; COMMAND=/usr/syno/sbin/synoshare --enc_mount MeinOrdner_VERSCHL abcdef

-----

mit dem Passwort im Klartext -> abcdef.

Also einfach NAS klauen, Platten ausbauen, /var/log/auth.log auslesen und dann Verzeichnisse neu einhängen. Fertig.

Übersehe ich etwas? Habe ich eine falsche Konfiguration?

 

[peterhoffmann]

Du hast mich leicht elektrisiert.

Bei mir sind in der auth.log (und anderen Logdateien) keine solche Einträge zu finden. In dem kontrollierten Zeitraum fuhr die betreffende DS mehrmals rauf und runter. Es müssten sich also eigentlich Einträge finden lassen.

Bei der betreffenden DS wird das Script im Aufgabenplaner beim Hochfahren ausgeführt.

Wie hast du es ausgeführt?

 

[Gast_DS218]

Sorry dafür

Das Problem liegt scheinbar auf meiner Seite bzw. ist meinen nicht wirklich wasserdichten Linux-Kenntnissen geschuldet .

1.
Mein Skript: "Scipt.sh":

#!/bin/sh
SHARE="MeinGemeinsamerOrdner_VERSCHLUES"
KEYFILE=$(/usr/bin/ecryptfs-unwrap-passphrase /volume1/MeinGemeins ....)
sudo /usr/syno/sbin/synoshare --enc_mount "$SHARE" "$KEYFILE"
unset KEYFILE

Das Skript habe ich auf der Kommandozeile zum Testen ausgeführt:
./Script.sh
Damit bekomme ich die zitierte Zeile in "auth.log":

2020-05-23T20:50:22+02:00 Station_DS218 sudo:    admin : TTY=pts/11 ; PWD=/volume1/MeinGemeinsamerOrdner ; USER=root ; COMMAND=/usr/syno/sbin/synoshare --enc_mount MeinGemeinsamerOrdner_VERSCHLUES abcde

Mit dem Passwort "abcde" im Klartext.

2.
Jetzt habe ich das Skript modifiziert:

/usr/syno/sbin/synoshare --enc_mount "$SHARE" "$KEYFILE"

also "sudo" heraus genommen und das Skript von der Kommandozeile mittels
sudo ./Script.sh
gestartet. Damit bekomme ich in der "auth.log":

2020-05-23T21:01:20+02:00 Station_DS218 sudo:    admin : TTY=pts/11 ; PWD=/volume1/MeinGemeinsamerOrdner ; USER=root ; COMMAND=./Script.sh

In dieser Variante ist das Passwort nicht abgelegt.

3.
Ausführung des Skriptes beim Start der DS mittels Aufgabenplanung über Benutzer "root" beim Hochfahren. Hier ist das Passwort auch nicht in der "auth.log" zu sehen - wie von dir geschrieben.



Ich persönlich verstehe zwar nicht wirklich die unterschiedlichen Verhaltensweisen, aber habe gelernt:
- höllisch aufpassen was und wie man Dinge in Skripte packt
- am Ende funktioniert der Weg über die Aufgabenplanung

 

[peterhoffmann]

Solche Dinge haben immer eine gute Lernkurve, und zwar für alle Seiten.

 

[zxmc]

das hatte ich damals auch schon überprüft - wäre ein ziemlicher Klops, wenn Passwörter im Klartext in den Logs landen (und ist es in der von dir beschriebenen Weise auch).

Bei mir steht in den logs aber nur
2020-04-19T10:54:05+02:00 mein-NAS sudo: admin : TTY=pts/3 ; PWD=/usr/local/etc/rc.d ; USER=root ; COMMAND=/bin/chmod 755 keyscript.sh

 

[zxmc]

Um nochmal eine Kleinigkeit zu ergänzen:

Bei einem Umbau der heimischen Infrastruktur hab ich das NAS ausgeschaltet, anders aufgebaut und (blöd, ich weiss...) beim Wiederanschluss ein Laptop-Netzteil angeschlossen (19V statt 12V). Das NAS selbst hat damit kein Problem, aber die Platten sind erstmal hinüber (möglicherweise kann man sie wieder in Betrieb nehmen, das wird sich in den nächsten Tagen zeigen).

Das Rücksichern eines (Hyper-)Backups auf eine neue Platte führt allerdings dazu, dass das Mount-Script nicht mehr vorhanden ist (Hyper-Backup mit System-Wiederherstellung). Man muss das Script also anderweitig sichern - oder neu schreiben.