Toggle sidebar

Verschlüsselung von Systemlaufwerken + Cloudstation

Status
Für weitere Antworten geschlossen.
C

cpam

Benutzer
Registriert
14. Sep. 2013
Beiträge
228
Reaktionspunkte
0
Punkte
0
Hallo zusammen,

ich wollte bei meiner NAS alle Laufwerke verschlüsseln.
Vorallem auch den Content von /photo/ und der Cloudstation - da hier sehr viele persönliche Daten liegen.

Leider wird das im Standard nicht zugelassen.

Ich habe mir jetzt mal einen Workaround geschaffen, welcher bis jetzt auch ganz gut funktioniert.
Wenn jemand einen effektiveren Weg kennt bzw. etwas weiß was gegen diese Methode spricht, bitte posten:

1. 2 Laufwerke anlegen (verschlüsseltes + unverschlüsseltes) -> zB /photo_encrypted + /photo
2. sollte man schon einen Content haben, diese unbedingt in den encrypteten Ordner schieben
2. Beim Startup lasse ich via .sh-script ein Um-Mount machen und linke einfach das unverschlüsselte auf das verschlüsselte
sprich: mount /volume1/photo_encrypted /volume1/photo

LG
 
cpam schrieb:
2. Beim Startup lasse ich via .sh-script ein Um-Mount machen und linke einfach das unverschlüsselte auf das verschlüsselte
sprich: mount /volume1/photo_encrypted /volume1/photo
Zum Vergrößern anklicken....

Äh...hä?

Du mountest beim Systemstart automatisch den verschlüsselten Ordner in den unverschlüsselten. Um das tun zu können mußt du im Vorfeld den verschüsselten Ordner automatisch beim Start der DS einbinden, richtig? Welchen Sinn hat dann die Verschlüsselung?

Ich meine, das beim automatischen Einbinden von verschlüsselten Ordnern beim Start, der Schlüssel auf der DS liegen muß haben wir ja in einem anderen Thread schon festgestellt. Wenn du dann aber noch die Daten aus dem verschlüsselten Ordner in einen unverschlüsselten mountest, dann macht das Verschlüsseln doch eigentlich keinen Sinn mehr, oder? Vor allem dann, wenn man über jeden x-beliebigen DLNA-Client auf die Daten zugreifen kann ( /photo)

Entweder hab ich jetzt einen Denkfehler oder du ein anderes Verständnis von Verschlüsselung.

Was mich auch noch interessieren würde. Klappt denn die Indizierung des "gemounteten" Ordners /photo_encrypted ? Ich meine da mal was gelesen zu haben, das das nicht geht. Kann mich aber auch irren.

Tommes
 
da sehe ich auch nicht wirklich Sinn darin. Sobald man automatisch entschlüsselt MUSS der Schlüssel irgendwo im Klartext liegen. Wenn schon dann nur manuell. Wenn dir die Daten so wichtig sind dann würde ich zuerst mal überlegen ob die wirklich in eine Cloud sollen
 
naja, für mich ist es ganz einfach so...

hat man /photo oder die cloud-drives nicht verschlüsselt und jemand klaut die platten, kann er einfach auf diese Dateien zugreifen.
So nicht. Wird der Schlüssel gekappt sind die mounts natürlich blind.

Weiter zeigen diese mounts ja einfach auf "drive" und nicht auf "@drive@", dh ich umgehe so nur den namensraum von synology.
Auch muss deshalb nicht gezwungenermaßen beim startup der key angehängt werden, werde das noch ändern denke ich...

man führt dann nachdem startup einfach die .sh manuell aus und schon hat man wieder den link.

wie gesagt, ich mounte nicht das verschlüsselte laufwerk sonder das entschlüsselte und umgehe nur die namenskonvention
 
nochwas....
dieser neue mountpoint, ist eigentlich dann genau so sicher, wie das eingebundene laufwerk.
den @<drive>@ beinhaltet den verschlüsselten content, aber immer wenn ein laufwerk eingebunden ist heißt es <drive> und die daten sind einfach lesbar.
meiner Meinung nach, müssten die Daten genau so sicher lesbar sein wie bei jedem anderen verschlüsselten Laufwerk.

abgesehen von dem Thema mit dem einhängen vom Schlüssel...aber das lassen wir mal bei Seite würde ich sagen.
 
Ok, dir geht es also um den reinen Diebstahlschutz deiner DS und um nichts anderes, richtig?

Denn dir ist schon klar, das ein eingebundener verschlüsselteter Ordner erstmal von jedem eingesehen werden kann, der die Berechtigung dazu hat. Und wer sie nicht hat, muß sich bei einem Angriff auf deine DS schon mal nicht mehr um die Entschlüsselung kümmern. Dabei spielt es natürlich auch keine Rolle, ob der Ordner manuell oder automatisch beim Start eingehangen wird. Wird beim Start der DS automatisch eingebunden, liegt der Schlüssel automatisch auf der DS und das ist natürlich das größte Sicherheitsrisiko.

Als nächstes mountest du einen verschlüsselten Ordner in einen DLNA gestützten Ordner. Das DLNA keine Rechteverwaltung kennt, ist dir auch bewusst und das jeder Depp per DLNA-Client auf deine Daten zugreifen kann, der sich in deinem Netzwerk befindet... ich korrigiere... jeder Depp der die DS einschaltet, solange der Mechanismus mit autom. einbinden und mounten gegeben ist.

Das mounten eines Cloudstation-Ordners aus einem verschlüsselten Ordner heraus halte ich für besonders Sinnfrei. Da du mit der Cloudstation ja z.B. deine "eigentlich" verschlüsselten Daten unverschlüsselt auf der DS und natürlich auch auf den Clients ablegst. Und welcher Dieb wird wohl nur deine DS klauen, wenn er schon mal in deinem Haus / deiner Wohnung ist. Meinst du nicht, er würde den Rechner, das Laptop oder das Tablet gleich auch mit einpacken?

Auch frage ich mich, ob du deine DS ins Internet freigeschaltet hast. Wenn ja, dann wäre die Verschlüsselung bei einem Hack auf jedenfall haltlos.

Aber ok. Es soll ja jeder so machen wie er meint und mir muß ja auch nicht alles schlüssig erscheinen. Aber du hast halt gefragt also gebe ich Antwort.
Das ich meinen verschlüsselten Ordner i.d.R. auch eingebunden lasse und ihn obendrein noch zur Sicherheit unverschlüsselt auf einer USB-Festplatte sichere, ist auch nicht jedem geheuer bzw. stößt auf Wiederspruch. Jedoch dient bei mir der verschlüsselte Ordner wirklich nur als Diebstahlschutz. Ein Dieb würde aber ansonsten keine Daten auf anderen Geräten in meinem Haushalt finden.

Dann mal viel Glück und viel Spaß mit deiner Strategie

Tommes
 
Hey Tommes,

kann dir noch nicht ganz folgen.
Soweit ich gesehen habe, kann man auf das mountpoint-laufwerk auch nur mit den rechten zugreifen.
Weiter lege ich die Daten ja nicht "unverschlüsselter" aber ab als sie ohnehin schon sind.

Hängt man den Schlüssel nicht an, findet man die Daten nur verschlüsselt im @<verzeichnis>@.
Sobald man den Schlüssel anhängt, findet man die Daten unverschlüsselt im <verzeichnis> - bei mir gibt es halt dann noch ein <verzeichnis 2> welches dann die gleichen daten anzeigt.
bleibt der schlüssel zu, zeigen beide laufwerke gar nichts an.

das mit dem Diebstahl ist mir schon klar - und ja, meine Daten liegen alle grundsätzlich nur auf der NAS.

Den ersten Punkt verstehe ich auch nicht ganz.
Was meinst du mit es spielt keine ROlle?

Wenn jemand die NAS stehlen sollte und sie vom STrom nimmt und der Schlüssel nicht automatisch beim STartup angehängt wird, bleibt das drive erstmals verschlüsselt zu.

Und was genau meinst du mit Internethack?


Wie gesagt, ich verstehe noch nicht wirklich den Unterschied zwischen der Standardverschlüsselung und einen weiteren Mount-Link.

Bzw. muss man eines auch nochmals festhalten....normal werden /photo drives gar nicht verschlüsselt und liegen daher ohnehin offen.
So sind sie zumindest auf gleicher Ebene geschützt wie andere verschlüsselte Laufwerke.
 
Soblad du einen "verschlüsselten" Ordner ins System einbindest liegen die Daten "unverschlüsselt" auf deiner DS. Daher kann erstmal jeder regulär berechtigte Benutzer auf deiner DS darauf zureifen. Er muß also den Schlüssel nicht kennen. Glückt es aber einem unberechtigten, nennen wir ihn Hacker, root-Zugriff auf die DS zu erhalten (wie auch immer er das anstellen mag und von wo aus, also aus deinem Netzwerk heraus oder übers Internet) so werden auch ihm die verschlüsselten Daten unverschlüsselt angezeigt, da ja eingebunden. Von daher gehört ein verschlüsselter Ordner bei Nichtverwendung geschlossen und dümpelt nicht offen irgendwo rum.

Bis hierhin hab ich auch kein Problem mit deinem Vorgehen, da ich es ja genauso praktiziere. Man muß halt nur im Hinterkopf haben, das ein verschlüsselter Ordner nur solange verschlüsselt ist, solange er nicht eingebunden wird. Daher sollte man auch das automatische Einbinden beim Start der DS unterlassen und ihn nur, bei Bedarf manuel einbinden. Dann steht einem Diebstahl nichts mehr im Weg, die Daten sind sicher. Wird automatisch beim Start eingebunden liegt der Schlüssel auf der DS und diesen Schlüssel kann ein findiger Mensch sehr leicht auf der ausgebauten Platte ausfindig machen und über z.B. ein Live-Linux System zur Anwendung bringen.

Jetzt aber kommt dein mounten ins Spiel. Du mountest einmal in einen DLNA gestützen Ordner und laut der Überschrift deines Beitrages in einen CloudStation gestützen Ordner. Und hier verschwimmt mir das Bild. DLNA kennt keine Berechtigung, also ist es noch einfacher als unberechtigter auf die Daten zuzugreifen und die CloudStation arbeitet bekanntlich so, das Dateien zwischen Server und Client synchron gehalten werden und das natürlich auch unverschlüsselt. Daher versteh ich jetzt nicht, warum du sagst, das alle deine Daten zentral auf der DS liegen.

Ich verstehe schon, was du bezwecken willst mit deinem Vorgehen, jedoch ist es nicht wirklich sicher. Vor Diebstahl der DS (unter bestimmten Voraussetzungen) bestimmt. Im laufenden System jedoch keinesfalls. Und es muß ja nicht immer gleich die DS an sich geklaut werden um an deine Daten zu kommen. Kein System ist perfekt und hat immer Sicherheitslücken, Paradebeispiel wäre da der heartbleed - Bug oder der Fritzbox-Fernwartungs-Bug! Also sollte man die Gefahren nicht unterschätzen die sonst noch so lauern. Und da ist ein geöffneter, verschlüsselter Ordner ein gefundenes Fressen.

Tommes
 
Und nochwas. Das der Systemordner /photo, wie auch /music und /video unverschlüsselte Ordner sind und auch nicht verschlüsselt werden können oder sollten, liegt an den UPnP/DLNA-Eigenschaften. Und DLNA kennt auch kein Rechtesystem. Also würde ich dort eh nur Daten reinlegen, die ich guten Gewissens auf die "Öffentlichkeit" loslassen kann und will. Ansonsten gehören solche Daten nicht in diese Ordner. Fotos, Musik und Videos kann man sich auch auf andere Art und Weise zugänglich machen, das muß nicht zwangsläufig über DLNA erfolgen.

Und genau hier habe ich ein Problem mit deinem Vorgehen. Endweder gehören meine Daten verschlüsselt und somit der Öffentlichkeit verborgen, oder sie sind so unwichtig das sie jeder sehen kann. Daten jedoch zu verschlüsseln die auf o.a. Wegen unverschlüsselt betrachtet werden können, entzieht sich meinem Verständnis von Verschlüsselung.

Das wäre in meinen Augen so, als wenn du bei herufgezogener Rollade ein Bild an die Fensterscheibe deiner Wohnung klebst das von außen jeder sehen und kopieren bzw. fotografieren kann. Bricht aber jemand in deine Wohnung ein, bekommt er das Foto nicht von der Fensterscheibe, da ja festgeklebt.

Tommes
 
Zuletzt bearbeitet:
naja, ich sehe das ganz ein bischen anders....

grundsätzlich mal zum dem Thema mit der Verschlüsselung, ich würde sagen wir lassen das hier mal weg - den das hat ja nichts mit dem mounts zu tun.

Bezüglich CS, das stimmt schon, die Daten liegen natürlich noch auf einem PC - aber nicht auf dem lokalen sondern auf einen weit entfernten (und sind grundsätzlich nicht wirklich gefährliche daten)...
Dennoch will ich nicht, wenn zB jemand meine platten rauszieht oder die USB-Backups bekommt dass er sieh einfachst lesen kann - und hier kommt meine verschlüsselung ins spiel.
Ich meine, machen wir uns nichts vor, wennjemand unsere daten wirklich haben will bekommt er diese auch.

Aber ich will halt nicht, dass sie ein dofer Dieb einfachst bekommt.
und mit den Fotos (privat oder öffentlich) sehe ich auch nicht so.
Denn es sollte auch wege geben, Daten sicher anderen bereitstellen zu können.

Ich denke, ihr stellt wenn dann eure daten auch nicht über Google anderen bereit...

Das mit dem mount teste ich noch, aber soweit ich bis jetzt gesehen habe, hat der <drive unverschlsselt> exakt die gleichen berechtigungseinschränkung wie der <drive verschlüsselt>.

Und sollte jemand während eine laufenden NAS OS-Zugriff bekommen -so hat dies nichts mit diesem thread zu tun ;)
 
ein doofer Dieb :D ... find ich gut! Ein doofer Dieb wüsste bestimmt noch nicht mal was das für eine komisch blinkende weiße oder schwarze kleine Kiste ist, aber lassen wir das.

Ich denke, wir zwei kommen da auf keinen gemeinsamen Nenner, da wir wohl unterschiedlicher Ansicht sind und bleiben, was mit verschlüsselten Daten geschehen und wie damit umgegangen werden sollte. Und wie gesagt, ich versteh schon was du vor hast und das mag so ja auch problemlos funktionieren, aber einen wirklichen Sinn ergibt das für mich nicht. Muß es aber auch nicht, schließlich musst du dir bei deinem Vorgehen sicher sein und das scheind ja so zu sein.

Ich beende jetzt mal für mich dieses Thema für mich und hoffe, das der "doofe Dieb" der da kommen mag, real oder virtuell, bei dir nur auf verschlüsselte und damit gesicherte Daten stoßen wird.

In diesem Sinne nochmals viel Glück und Erfolg mit deinem Vorgehen.

Tommes
 
Hey Tommes,

ja denke auch, dass wir hier ein bischen aneinander vorbeireden bzw. verschiedenes anstreben ;)
Danke dennoch für deine Tipps, werde mal über alles nachdenke u ein paar tests anstarten.

Darf ich nochmals kurz zu deiner Strategie kommen.
Dh du hast die NAS 24/7 und den Schlüssel gibst du immer manuell beim restart ein oder?

Das werde ich denke ich auch noch abändern.

LG
 
Meine Strategie!

Auf meiner im 24/7 Betrieb laufenden Produkitv-DS liegt u.a. ein verschlüsselter Ordner, den ich manuel eingebunden habe. Und ja, dieser Ordner ist und bleibt i.d.R. auch eingebunden. Auch habe ich ich diesen Ordner im Windows-Explorer als Netzlaufwerk eingebunden. Ich muß dazu sagen, das in diesem Ordner zwar meine persönlichen Daten liegen (Konotauszüge, Versicherungsunterlagen, etc. was man halt so hat) die jedoch auch in den Aktenordnern nebenan im Schrank zu finden sind. Und da ich nicht glaube, das ein Dieb einen Aktenschrank klaut... ! Aber ok.

Natürlich habe ich auch noch den ein oder anderen verschlüsselten Ordner oder auch TrueCrypt-Container auf der DS liegen, der nur bei Bedarf und auch nur für die Zeit wo er benötigt wird, manuel eingebunden wird. Der erstgenannte Ordner ist also die Ausnahme und ist nur gegen Diebstahl der DS geschützt, nichts weiter.

Alle Daten landen dann regelmäßig über einen automatisierten Sicherungsjob, wiederum verschlüsselt, auf einer weiteren DS in meinem Haushalt.

Da ich jedoch zu oft "Murphys Gesetz" zum Opfer gefallen bin, sichere ich für den Fall des "worst case scenario" nochmals alle Daten der DS unverschlüsselt auf einer USB-Festplatte, die ich jedoch außerhalb meines Haushaltes, an einem sicheren Ort deponiere. Und wenn ich sage sicher, dann meine ich auch sicher :o

Tommes
 
hört sich gut an, vielen Dank dafür.
Hoff du bist mir nicht "böse" wegen einer teils hitzigen Diskussion und ich kann weiter auf deine gute Hilfe bauen ;)
 
cpam schrieb:
Hoff du bist mir nicht "böse" wegen einer teils hitzigen Diskussion...
Zum Vergrößern anklicken....

Ähm... das ist doch ein Forum hier, oder? In einem Forum werden doch (teils hitzige) Diskussionen geführt. Und grade dieses Forum zeichnet sich durch seinen "guten Umgangston" aus. Warum sollte ich dir also böse sein? Weil ich eine andere Meinung von dem Thema habe also du? Ich bitte dich.

Ob du auch weiterhin auf meine gute Hilfe bauen kannst? Naja, wenn du meine Hilfe als gut empfunden hast, dann sag ich mal ja, kein Problem. Ob die beim nächsten Mal auch so gut ist, kann ich aber nicht versprechen ;)

Tommes
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten