Gemeinsame Ordner verschlüsseln -> geplantes Aushängen möglich?

Status
Für weitere Antworten geschlossen.

The_Unknown

Benutzer
Mitglied seit
07. Nov 2018
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Hallo,

ich habe eine Frage zum Thema "Gemeinsame Ordner verschlüsseln". Und zwar habe ich es folgendermaßen verstanden:

Die Daten werden mit AES 256 Bit *auf Hardwareebene* verschlüsselt. An die Daten im unverschlüsselten Zustand kommt man nur noch über die Disktstation plus Schlüssel. Würde ich eine Platte aus der Diskstation herausnehmen, könnte man damit, wenn man sie direkt an einen PC anschließt, nichts anfangen können, richtig?

Kann man das Aushängen des entsprechenden verschlüsselten, gemeinsamen Ordners auch als geplante Aufgabe in der Nacht machen? Ich habe dazu keine Option im Aufgabenplaner gefunden.


Danke im Voraus.

Ciao The_Unknown
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.973
Punkte für Reaktionen
615
Punkte
484
Die Daten werden per encryptfs verschlüsselt. Du bist also auch in der Lage, die ausgebauten Platten auf diesem Wege wieder zu mounten an einem anderen Rechner. Mit Kenntnis des Passworts kannst du dann auch so auf die Daten zugreifen.

Zur Zeitsteuerung kann ich dir nichts sagen, ich meine aber, dass es keine vorkonfektionierte Lösung dazu im DSM gibt, Per Script ist das aber sicherlich lösbar.
 

The_Unknown

Benutzer
Mitglied seit
07. Nov 2018
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Ah ok. Interessant. Wenn ich aber das Passwort nicht habe, komme ich um die encryptfs-Verschlüsselung also nicht herum, richtig? Diebstahl wäre also kein Problem?

Bzgl. der Zeitsteuerung habe ich es jetzt so gelöst, dass 5 Uhr nachts die Station herunter- und 5 Minuten später wieder hochfährt. Das müsste den gleichen Effekt haben, oder?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.973
Punkte für Reaktionen
615
Punkte
484
Ja und ja.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Ein tägliches Runter- und Rauffahren würde ich vermeiden.

Der betreffende Ordner lässt sich per Scripteinzeiler aushängen:

Rich (BBCode):
synoshare --enc_unmount "GemeinsamerOrdner"

Das lässt sich auch bequem über den Aufgabenplaner innerhalb des DSM einfügen und planen.
 

The_Unknown

Benutzer
Mitglied seit
07. Nov 2018
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Jetzt brauchte ich nur noch eine Variante, die gemeinsamen Ordner per Smartphone zu entsperren. Dafür habe ich mir fix einen Siri-Shortcut ("Kurzbefehle App") auf meinem iPhone gebaut. Dafür musste ich die SSH-Verbindung per SSH-Key herstellen und die synoshare Commands mussten absolut angesprochen werden. Dann klappte es. Falls es jemand braucht:

Code:
/usr/syno/sbin/synoshare --enc_unmount Data
/usr/syno/sbin/synoshare --enc_mount Data '<password>'
 

The_Unknown

Benutzer
Mitglied seit
07. Nov 2018
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Das Passwort für die SSH-Verbindung ist durch das Schlüsselpaar abgedeckt. Das Passwort für das Mounting der verschlüsselten gemeinsamen Ordner liegt dann im Siri-Shortcut auf dem iPhone. Ein anderer Weg ist bei dem synoshare Command nicht möglich, oder? In jedem Fall ist das Passwort im iPhone relativ sicher, da dieses wiederum durch Passwort bzw. Face-ID geschützt ist.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
"Relativ sicher" ist nicht wirklich sicher.

Meine Frage zielte daraufhin ab, dass das Passwort irgendwo lesbar hinterlegt sein muss, wenn man über den Command "synoshare" einen verschlüsselten Ordner einhängen möchte. In deinem Fall liegt das Passwort irgendwo im Apfeluniversum.

Dieses Problem ist aber nicht neu und hier im Forum gibt es dazu mehrere Lösungsansätze:
  • Lösung 1: Versteckter USB-Stick am langen Kabel an die Syno hängen. Das Script holt sich bei Bedarf (Neustart/auf Kommando/usw.) das Passwort vom USB-Stick und mountet den "Gemeinsamen Ordner".
  • Lösung 2: USB-Stick steckt z.B. in der Fritzbox (NAS-Funktion). Das Script holt sich bei Bedarf (Neustart/auf Kommando/usw.) das Passwort über die NAS-Funktion der Fritzbox und mountet den "Gemeinsamen Ordner".
  • Lösung 3: Das Passwort wird gesplittet und die einzelnen Teile an verschiedenen Orten abgelegt (USB-Stick/Fritzbox/externerWebserver). Das Script holt sich bei Bedarf (Neustart/auf Kommando/usw.) nacheinander aus allen Quellen die Passwortteile, setzt es zusammen und mountet den "Gemeinsamen Ordner".
Bei diesen Varianten bleiben nach einem Diebstahl der DS die Ordner beim Neustart verschlüsselt, da die DS sich nicht mehr im eigenen Netzwerk befindet und damit das Passwort bzw. Teile davon nicht mehr findet.
 

The_Unknown

Benutzer
Mitglied seit
07. Nov 2018
Beiträge
20
Punkte für Reaktionen
0
Punkte
1
Ok, verstehe. Würde der Dieb allerdings alles klauen, käme er trotzdem ran ;-) Da ist es evtl. auf einem device, was ich immer bei mir trage und was dazu auch noch nicht unerheblich geschützt ist, sicherer.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Würde der Dieb allerdings alles klauen, käme er trotzdem ran
Nein, speziell bei Lösung 3 ist das auszuschließen. Ein Dieb müsste den USB-Stick an der DS entdecken, die Fritzbox auch noch einpacken, kann aber am Ende nicht den externen Webserver "mitnehmen". Und da kann man den 3.Teil vom Passwort löschen.
Auch ist dabei immer zu bedenken: Das Wissen (ob verschlüsselt, wie die Abläufe sind und wo überall Teile vom Passwort lagern) hat der Dieb nicht.

Da ist es evtl. auf einem device, was ich immer bei mir trage und was dazu auch noch nicht unerheblich geschützt ist, sicherer.
Dein Passwort liegt auf einem einzigen Gerät, dazu in fremden Händen, bei Systemen und Menschen, die du überhaupt nicht kennst.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat