DSM 6.x und darunter Verschlüsselung mit Key auf USB Stick

[consequtor]

Hallo!

Ich habe eine DS-409+ und würde gerne die Verschlüsselungsfunktion der DS nutzen. Ist es möglich das ganze so einzurichten, dass die DS die Ordner automatisch mounted wenn ein USB Stick mit einem Keyfile eingesteckt ist?
Das würde mir die Sache deutlich vereinfachen und somit das lästige Key eingeben bei jedem Start sparen.

Danke für alle Tips.

 

[itari]

Schau dir mal an, wie man einen verschlüsselten Ordner der DS (aus datenrettungstechnischer Sicht) auf einem Linux-PC auslesen würde, also Kommandozeile usw. So ein Skript könnte man dann auch auf der DS verwenden. Per Service oder crontab müsste man dann die Existenz der Schlüsseldatei auf dem Stick alleweil prüfen und wenn dann diese Datei vorhanden ist, den/die verschlüsselten Ordner mounten. Das gleiche müsste man dann umgekehrt auch fürs Abziehen des USB-Stick veranstalten: wenn er weg ist, dann halt den Ordner wieder umounten.

Itari

 

[consequtor]

Hört sich schonmal an, als wenns im Bereich des machbaren liegt.
Welche Linux-Funktion wird denn für die Verschlüsselung genutzt?

 

[Merthos]

eCryptfs, Ansätze zum manuellen Mounten finden sich z.B. hier. Die Keys liegen glaube irgendwo unter /usr/syno/... (müsste ich nochmal nachschauen), sollte also prinzipiell mit nem Script gehen.

 

[matthiaslink77]

Hallo,

genau die Frage stelle ich mir gerade: Wo liegen die Keyfiles, damit ich die auf den USB-Stick schieben und dann verlinken kann.

Bin für jeden Hinweis dankbar.

Viele Grüße,
Matthias.

 

[Merthos]

(Ich mach mal hier weiter und nicht in dem anderen Thread.)

Unter "/usr/syno/etc/.encrypt" liegt was, aber hab jetzt nicht geschaut, ob das alles ist. Hinweise zu Starten wenn USB dran gibt es hier oder eben wie oben beschrieben mittels cron/Dienst pollen.

Wäre schön, wenn Du eine Rückmeldung gibst, falls Du die ganzen Puzzelteile zusammenkriegst.

 

[matthiaslink77]

So - habe einfach den Ordner

/usr/syno/etc/.encrypt

auf den USB-Stick kopiert, den alten Ordner umbenannt und .encrypt mittels eines symbolischen Links auf den USB-Stick verweisen lassen.

Danach habe ich die DS neu gestartet mit USB Stick angeschlossen. Die shared Folder werden wie geplant entschlüsselt.

Nun aber der Versuch OHNE USB-Stick: Genau das Gleiche... Die shared Folder werden entschlüsselt, obwohl der symbolische Link jetzt ins Leere verweist.

Ich werde das Gefühl nicht los, dass dieser Ordner alleine nicht ausreicht. Es muss noch einen anderen Ort geben, wo die Keys liegen.

Ich konnte allerdings beobachten, dass, nachdem ich den Key in der GUI für die Ordner zum automatischen Mounten beim Boot eingegeben haben, sich der Inhalt der Dateien unter /usr/syno/etc/.encrypt geändert hat.

Also weiterhin die Frage: Wo liegen die Keys für die encrypted Folders auf der DS?

Viele Grüße, Matthias.

 

[Wankster]

Bin auch wirklich an der Lösung des Problems interessiert. Der User Amarthius meinte, dass der Synology Support dort vielleicht weiterhelfen könnte.

 

[amarthius]

Meine Aussage war darauf bezogen:

Also weiterhin die Frage: Wo liegen die Keys für die encrypted Folders auf der DS?

Der Support sollte sicherlich wissen wo diese liegen und kann einem somit sicherlich weiterhelfen.
Dachte da an eine Anfrage an den Support, falls hier niemand mehr weiter weiß.

 

[Merthos]

Tja, wenn die Keys alleine nicht reichen, dann kann wohl nur der Support helfen. Immerhin stehen diese Verzeichnisse ja auch nicht in der fstab, das mounten muss also woanders passieren. In den Startskripten konnte ich nichts finden, von daher wird es wohl in einer der Binärdateien drin sein.

 

[peter1234]

Gibt es schon Neuigkeiten?!

Bin auch an dieser Lösung interessiert...

Gruß

 

[consequtor]

komme leider auch nicht weiter, da die Syno scheinbar immer entschlüsselt und wenn die Keys noch sonstwo liegen ist das auch keine Sicherheit, dann kann ich mir das verschlüsseln auch sparen

 

[sc0pe]

also ich habe einen verschlüsselten ordner <musik> mit dem webinterface erstellt. passwort habe ich in eine datei auf den usbstick kopiert. mounten tuh ich diese dann per script und zwar auch so, dass sie auf music linkt. d.h. der itunes server etc. sollte dann auch aus dem verschlüsselten bereich lesen.

#!/bin/sh
pw=`cat /volumeUSB1/usbshare/musik`
r=`echo $?`
ok=0

if [ "$r" = "$ok" ]; then

        echo Mount Crypted File Container
		/usr/syno/sbin/ecryptfs-unwrap-passphrase /usr/syno/etc/.encrypt/musik "\n" > /dev/null
		/usr/syno/sbin/mount.ecryptfs /volume1/@musik@ /volume1/musik -o key=passphrase:passphrase_passwd=$pw,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=n,no_sig_cache,ecryptfs_enable_filename_crypto > /dev/null

        echo Mount other Directories
        mount --bind /volume1/musik /volume1/music > /dev/null

else
        echo Could not find Keyfile
fi

Verbesserungen, welche ich noch vornehmen will:

- Klartext passwort auf USB-Stick ist nicht so toll.
- Automatischer Start (Muss schauen welches Runlevel)

Vielleicht hilfts es ja dem ein oder anderem...

Gruß

 

[itari]

- Klartext passwort auf USB-Stick ist nicht so toll.
- Automatischer Start (Muss schauen welches Runlevel)

Du könntest auch das Klartext-Password in einer großen Textdatei verstecken und z.B. per awk/sed herausfiltern im Skript. Dann ist es nicht mehr ganz so offensichtlich.

zum automatischen Start des USB-Sticks ... das wird irgendwie über einen Hotplug-Mechanismus geregelt ... ich meine, dazu gab es schon mal
Beiträge hier im Forum (in jedem Fall im internationalen Forum).

Itari

 

[sc0pe]

ja gute idee, werd ich wohl so machen. mit dem runlevel usb muss ich mal schauen, ob ich zeit dafür finde

mal hier nen performance vergleich crypted vs. noncrypted

DS110j

[R] 150 Opening BINARY mode data connection for 'de_office_2003_project_pro.iso'.
[R] 226 Transfer complete.
Transferred: de_office_2003_project_pro.iso 145,67 MB in 5,04 seconds (28,91 MB/s)

[R] 150 Opening BINARY mode data connection for 'de_office_2003_project_pro.iso'.
[R] 226 Transfer complete.
Transferred: de_office_2003_project_pro.iso 145,67 MB in 22,98 seconds (6,34 MB/s)

0,22 Prozent also um 80% langsamer deckt sich also mit den andern angaben.

 

[tiron]

Ich habe die Zeilen zum mounten des verschlüsselten Verzeichnisses mal direkt per SSH versucht. Komme aber weder mit dem Passwort noch mit der im Exportschlüssel hinterlegten Zeichenfolge zum Erfolg.
Steh auf dem Schlauch was ich falsch mache.

Fehlermeldung:
Error: Unwrapping passphrase failed [-5]
Info: Check the system log for more information from libecryptfs

Wo finde ich denn eigentlich das system log?

Gruß

 

[tiron]

Warum geht der mount Befehl nicht?

Hallo sc0pe,

per SSH funktioniert der mount Befehl

/usr/syno/sbin/mount.ecryptfs /volume1/@musik@ /volume1/musik -o key=passphrase:passphrase_passwd=$pw,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=n,no_sig_cache,ecryptfs_enable_filename_crypto

solange nicht bis ich auch vorher ein Verzeichnis musik angelegt habe.

Das mounten funktioniert dann zwar, wird aber weder im DSM als "angehängt" gezeigt, noch als share für die zugreifenden Rechner angezeigt. Ich bin ratlos.

 

[Wankster]

Heyho,

wollt mal fragen, ob sich in die Richtung was neues ergeben hat.
Bin immernoch brennend an einer Lösung des Problems interessiert!

Gruß

 

[Blueberry]

Hi

würde mich auch interssieren!

Wie man das gesichert key-File zum automatischen einbinden verwenden kann, wenn man einen USB-Stick in die NAS einsteckt.
Möchte das ganze nur dafür wenn die NAS hochgefahren wird, dann USB-Stick rein Entschlüüselung startet, danach USB-Stick raus, Verzeichnis bleibt entschlüüselt solange NAS läuft.

Gruß
Blue

 

[Merthos]

siehe http://www.synology-forum.de/showthread.html?28498-Verschlüsselte-Ordner-über-USB-Stick-steuern

Wenn es entschlüsselt bleiben soll, dann die untere Hälfte weglassen.