Verschlüsselung und Streaming

[DuckJibe]

Hallo,

leider suche ich schon ewig eine Antwort auf meine Frage, bin aber nicht wirklich fündig geworden. Jetzt müsste mir das Forum helfen.

Was ich gerne machen würde.
Ich möchte meine Filme und Musik auf der DS verschlüsselt ablegen (AES mit DS). Nach PowerOn der DS will ich das PW einmal eingeben (ggf. auch nach WakeUp) und dann die Streaming Dienste der DS nutzen z.B. zur PS3.

Oder geht das nicht? Anscheinend kann wohl der Folder Musik, Video und Bilder nicht verschlüsselt werden.

Gibts da evtl einen Trick z.B. Verzeichnis ändern?

Oder brauche ich dazu das Konkurenzprodukt von QNAP, der die ganze Platte verschlüsselt?

Danke in Vorraus.

 

[jahlives]

afaik kannst du die Systemordner nicht verschlüsseln. Man möge mich sonst korrigieren

 

[itari]

afaik kannst du die Systemordner nicht verschlüsseln. Man möge mich sonst korrigieren

Vielleicht geht es ja mit verschlüsselten Ordnern, die man dann in die Systemordner einlinkt (mount --bind). Da ich grad nichts zum Verschlüsseln habe , könnte das ja mal jemand ausprobieren und mir auch die Performance-Werte posten, wenn man aus einem solchermaßen verlinkten Bereich etwas liest.

Itari

 

[azazel]

Hallo, ich habe das gleice Problem. Leider funktionierte das mit mount --bind nicht so wirklich. Die PS3 hat die in dem verschlüsseltem Verzeichniss abgelegten Dateien nicht angezeigt.

Kann es sein, dass die NAS eine art Datenbank führt um diese Informationen der PS3 z.Bsp. weiter zu geben und nicht die Dateien als solches übermittelt???

 

[jahlives]

Siehst du denn die gemounteten Daten wenn du via Samba auf die Freigabe zugreifst?
Bist du zudem sicher, dass du den mount abgesetzt hast, nachdem die Firmware die Freigabe entschlüsselt hat?

 

[itari]

Hallo, ich habe das gleice Problem. Leider funktionierte das mit mount --bind nicht so wirklich. Die PS3 hat die in dem verschlüsseltem Verzeichniss abgelegten Dateien nicht angezeigt.

Kann es sein, dass die NAS eine art Datenbank führt um diese Informationen der PS3 z.Bsp. weiter zu geben und nicht die Dateien als solches übermittelt???

Es ist richtig, dass die DiskStation eine Datenbank über die Medien-Dateien führt und Abfragen auf diese Datenbank streamt. Erst wenn man einen 'Stream' ausgewählt hat, wird die eigentliche Datei gesendet. Das führt zu dem Effekt, dass wenn die Datenbank nicht gefüllt worden ist (per Indexer), dass man auf seinem DLNA-Medienclient keine Einträge zum Auswählen sieht (auch die Ordneransicht wird aus der Datenbank entnommen).

Es greifen also zwei (oder sogar drei) völlig unterschiedliche Programmkomplexe auf die Mediendateien zu: Indexer (synoindexd, postgres), DLNA-Serverfamilie (dms, lighttpd) und meist auch noch der/die Vorschaubildererzeuger (synomkthumbd, synomkflvd). [Ich hab jetzt mal den Rest vernachlässigt.] Alle diese Programmkomplexe müssen also auch mit den Link-Geschichten umgehen können, damit wir auf dem Media-Client etwas sehen können und das ist wohl nicht immer so einfach. Denn durch die Links werden ein paar typische Dateisystemfunktionen umgebogen, die man entweder 'manuell' nachfahren muss ('neu ordnen') oder gar nicht hin bekommt (bei verschlüsselten Ordnern muss halt erst entschlüsselt werden, bevor man den Link machen kann).

Das Linken sowie das Nutzen von verschlüsselten Ordnern ist von Synology bislang nicht vorgesehen, weil es potentielle Sicherheitsrisiken birgt. Aber das bedeutet ja nicht, dass man seine Wünschen nicht an die Synology-Entwickler kundtun kann ... einfach E-Mail schreiben. Ansonsten bleibt einem im Moment nichts anderes übrig als sich nach Lösungen umzusehen, die das besser können.

Itari

 

[azazel]

So, habe jetzt nochmal mit mount --bind ausprobiert und hat zuerst wie vorher auch nicht funktioniert.

AAAAABBBBBBEEEERRR ... Man sollte auch mal die Augen auf machen und kurz überlegen.

.
.
.
.

Im Management gibt es im Bereich Medienserver ganz unten den Button "neu ordnen" (dämliche Übersetzung). Nachdem man mount --bind gemacht hat, kurz darauf gedrückt warten (kann schon was länger dauern) und mit der PS3 kann man wunderbar alles aus einem verschlüsseltem Pfad abspielen. (eventuell die NAS bei der PS3 neu suchen lassen)

Das Ganze funktioniert natürlich nur so lange, wie die NAS nicht neu gestartet wird. In der fstab funktioniert das noch nicht wirklich. Da wird noch gebastelt

 

[DuckJibe]

Hi,

danke für die Antworten.
Das mit --mount hört sich schon mal gut an.

Geht das ganze dann evtl. auch für mp3s bzw. für die zugehörigen Audio Dienste?

Danke

 

[azazel]

Jepp,

über meine PS3 kann ich ganz normal auf die mp3´s ogg´s etc.. zugreifen und abspielen. Wie gesagt, muss man aber jedesmal "neu ordnen" wenn man neue Dateien in das verschlüsselte Verzeichnis kopiert.

 

[itari]

Wie gesagt, muss man aber jedesmal "neu ordnen" wenn man neue Dateien in das verschlüsselte Verzeichnis kopiert.

Weil das Programm, welches immer wieder mal nachschaut, ob neue Datein in die Medienverzeichnisse hinzugekommen sind oder sich geändert haben, mit Verzeichnissen, die per mount --bind verbunden wurden, nichts anfangen kann.

Itari

 

[blackfir3]

Wie gesagt, muss man aber jedesmal "neu ordnen" wenn man neue Dateien in das verschlüsselte Verzeichnis kopiert.

Hallo,
also bei mir geht es auch ohne immer wieder "neu ordnen".
Habe einen verschlüsselten Ordner "share" darin sind 2 Ordner "video" und "music".
Die werden gemounted:
mount -o bind /volume1/share/video/ /volume1/video/share/
mount -o bind /volume1/share/music/ /volume1/music/share/

Habe dann einmal "neu ordnen" gemacht. Und wenn ich nun neue Sachen in die Ordner kopiere, dann gehe ich direkt in /volume1/video/share/ und nicht in /volume1/share/video.
Dann sehe ich an meinem Samsung TV über DLNA auch direkt die neuen Sachen.

Vielleicht geht es ja mit verschlüsselten Ordnern, die man dann in die Systemordner einlinkt (mount --bind). Da ich grad nichts zum Verschlüsseln habe , könnte das ja mal jemand ausprobieren und mir auch die Performance-Werte posten, wenn man aus einem solchermaßen verlinkten Bereich etwas liest.

Itari

Kann mit ca. 18 MB/s reinschreiben und mit ca. 45 MB/s draus lesen.

 

[DuckJibe]

Hallo,

toller Tipp mit Bind.
Funktioniert bei mir sowohl mit Musik als auch Video.

Perfekt, genau das was ich gesucht hatte.

Danke

 

[itari]

Kann mit ca. 18 MB/s reinschreiben und mit ca. 45 MB/s draus lesen.

Das sind ja gar keine schlechten Werte für einen Zugriff aufs Verschlüsselte. Ich denke, damit kann man fürs Streaming recht gut leben.

Danke schön

Itair

 

[tbongo]

mount -o bind /volume1/share/video/ /volume1/video/share/
mount -o bind /volume1/share/music/ /volume1/music/share/

Wann musst du denn das Passwort zum entschlüsseln eingeben? Und vorallem wie musst du das Passwort eingeben? In der Weboberfläche?

Kann mit ca. 18 MB/s reinschreiben und mit ca. 45 MB/s draus lesen.

Hast du die DS410? Meinst du mit der DS210+ erziehlt man ähnlich gute Durchschnittswerte?


Vielen Dank,
Tobias

 

[blackfir3]

Wann musst du denn das Passwort zum entschlüsseln eingeben? Und vorallem wie musst du das Passwort eingeben? In der Weboberfläche?

Das Passwort gebe ich vorher über das Webinterface ein. Und dann mounte ich die Verzeichnisse über SSH. Man kann die verschlüsselten Ordner auch nach dem booten automatisch einbinden lassen. Das finde ich dann aber irgendwie nicht mehr soo sinnvoll da dann halt trotzdem jeder gleich sehen kann was dort in den verschlüsselten Ordnern liegt.

Hast du die DS410? Meinst du mit der DS210+ erziehlt man ähnlich gute Durchschnittswerte?

Kann ich nichts genaues zusagen, weiß nicht ob die 210+ auch so einen Chip für Verschlüsselung hat.
Aber hier gibts solche Leistungsübersichten von Synology:
Leistung 2 bay Komplett-NAS-Server
Leistung 4-5 bay Komplett-NAS-Server
Und dort dann unter "Upload/Download(3) von verschlüsselten Dateien (5GB Datei)". Für die DS410 kommt das mit meinen Werten recht gut hin.

 

[tbongo]

Hallo blackfir3,

danke für deine Antwort.

Was ich aber noch nicht ganz verstanden habe, ist warum man die Videos nicht einfach in einen selbst angelegten Ordner legen und verschlüsseln kann. Dann müsste man nicht per SSH drauf um die Verzeichnisse einzubinden.
Macht ihr das nur damit das indizieren funktioniert?

Danke,
Tobias

 

[blackfir3]

Ja wenn man das nicht indiziert kann man es ja nicht mit dem Mediaplayer abspielen.

 

[Doktor]

Ich hänge mich mal an den Thread:

Ich habe es mir durchgelesen, verstehe aber noch nicht, wie ich das genau mounten soll.

Habe das 210+ und das ganze als Basisvolumen installiert.
Auf /volume1 liegen: homes, music, photo
Auf /volume2 liegen: videos

Ich möchte gerne, alles bis auf photo alles verschlüsseln. Wie gehe ich da am besten vor, wenn ich so wenig aufwand wie möglich haben möchte?
Wie mache ich das?
Wäre für ein paar Tipps dankbar...

 

[DuckJibe]

Hi,

Zum vorgehen:

- Du legst deine Dateien in ein beliebige verschlüsselte Laufwerke.
Z.B. AESMusik, AESVideo

- Dieses dann normal über das Webinterface entschlüsseln.
- Im Webinterface SSH aktivieren.
- Über SSH auf die DS zugreifen (mit z.B. Putty -> Link)
Tipp: Port 20
- Als "root" anmelden (PW das vom Webinterface)
- dann mount -o bind volume1/AESMusik volume1/music
(Pfade natürlich entsprechend Volume und Laufwerk anpassen)
- Im DS Audio Menü neu indexieren lassen

Hält bis zum nächsten Neustart.

 

[Doktor]

Also das ummappen auf verschlüsselte verzeichnisse kann muss man per Hand machen und ist auch nur solange gültig, bis das NAS rebootet wird...
...könnte man sich ein skript schreiben, das dieses erledigt, wenn man es per Hand auf dem NAS aufruft oder gar über die Weboberfläche?