Gemeinsame Ordner verschlüsseln

PeterPanther

Benutzer
Mitglied seit
12. Jun 2014
Beiträge
314
Punkte für Reaktionen
3
Punkte
18
Guten Tag zusammen,

ich muß hier nochmal ein altes Thema wieder neu einbringen.

Ich möchte gern bestimmte gemeinsame Ordner verschlüsseln, um die Daten bei physischen Diebstahl der Hardware gegen unbefugten Zugriff zu schützen.

Die Möglichkeit, den Schlüsselmanager auf einen USB-Stick auszulagern ist mir bekannt.

Bei mir ist die Situation aber so, dass die Synology abends automatisiert herunterfährt und mittags wieder startet.
Dabei sollten die verschlüsselten verzeichnisse automatisch bereitgestellt werden, was es erforderlich machte, den USB-Stick immer im Gerät zu belassen, was die ganze Sache ziemlich sinnlos machen würde.

Schon länger hoffe ich darauf, Synology könnte eine Möglichkeit implementieren, den Schlüssel an einem anderen Ort im Netzwerk abzurufen, leider bislang vergeblich.

Meine Idee wäre, den USB Stick zum Beispiel in einem Raspberry unterzubringen und dann beim Start ein Skript auszuführen, mit dem sich die Syno den Schlüssel für den jeweiligen Ordner dort abholt.

Geht sowas?
 

mcm57

Benutzer
Mitglied seit
26. Nov 2011
Beiträge
43
Punkte für Reaktionen
9
Punkte
8
Ich schließe mich hier mal an - da mich das auch interessiert:
An sich würde es doch ausreichen, wenn der Schlüsselmanager bei einem HARD RESET der Box nicht mehr aktiv ist und die einzelnen shares neu freigegeben werden müssen.

Sollte das Admin Passwort hinreichend stark sein so hat der Diesb 2 Möglichkeiten an die Daten zu kommen:
a) Ausbau der Platten -> wenn verschlüsselt ist das sinnlos
b) HW Reset (Knopferl drücken) der Syno um das Admin Passwort zu löschen

Ich konnte bisher nicht rausfinden ob nun ein HW Reset den Schlüsselmanager "vernichtet", sprich man nach einem HW Reset problemlos auf die verschlüsselten Ordner zugreifen kann - oder nicht.

Hat das schon mal jemand getestet?

McM
 

swooto

Benutzer
Mitglied seit
09. Mrz 2013
Beiträge
24
Punkte für Reaktionen
7
Punkte
3
Das Thema interessiert mich auch schon lange. Bei Gelegenheit werde ich einmal die hier beschriebene Lösung von @peterhoffmann versuchen umzusetzen.
 

Black_Rider

Benutzer
Mitglied seit
08. Okt 2012
Beiträge
56
Punkte für Reaktionen
10
Punkte
8
Hallo zusammen

Bin auch an dem Thema dran. Wenn nach Hardwarereset der Schlüsselmanager geresetet wird, könnte man ja, falls das Adminpw genügend stark ist, Problemlos die Passwörter auf der Syno gespeichert haben. Falls ich das richtig verstanden habe.

Ansonsten kam mir gerade spontan in den Sinn einfach mittels Script die Mac Adresse eines im Netzwerk befindenden Gerätes als Passwort zu nehmen, oder diese mit einem zusätzlichen (wie im von Swooto verlinkten Thread beschriebenen) Passwort zusammen zu setzten.

Werde mich am Weekend mal um eine Lösung für mich kümmern. Einen USB Stick fähigen Router habe ich leider nicht.

Gruss

Black
 
  • Like
Reaktionen: PeterPanther

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
spielt doch keine Rolle wie stark das admin pass ist, das wird ohnehin gelöscht und die Ordner kann man nur noch von Hand mounten, automatisch geht nicht mehr.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Mac Adresse eines im Netzwerk befindenden Gerätes als Passwort zu nehmen
Dieser Querdenkergedanke gefällt mir. (y);)
Bei dieser Art würde ich aber sicherstellen, dass man die MAC-Adresse ohne Auslesen auch bekommt. Das betreffende Gerät könnte ja mal kaputtgehen.

Noch ein paar Hinweise, die mir gerade noch einfallen:
  • Die einzelnen Passwortsegmente sollten nicht zu kurz sein. Je nach Anzahl der Segmente dürfen sie aber auch nicht zu lang sein, da es eine Maximallänge beim NAS gibt.
  • Mindestens ein Passwortsegment muss (wenn möglich) im eigenen Netzwerk liegen (nicht auf dem NAS selber). So schließt man aus, dass das NAS im fremden Netzwerk entschlüsselt.
 

NocTec

Moderator
Teammitglied
Lösungspartner
Mitglied seit
21. Jan 2007
Beiträge
182
Punkte für Reaktionen
175
Punkte
93
Wenn nach Hardwarereset der Schlüsselmanager geresetet wird, könnte man ja, falls das Adminpw genügend stark ist, Problemlos die Passwörter auf der Syno gespeichert haben

Das wäre nicht besonders sicher. Wenn man Zugriff auf die Platten hat gibt es andere Möglichkeiten auf das System zu kommen, man braucht den Reset nicht.

Die einzelnen Passwortsegmente sollten nicht zu kurz sein.

Wo liegt der Vorteil von der Verwendung von Segmenten? Das NAS braucht Zugriff auf alle Segmente, ob die nun verteilt sind oder nicht spielt doch keine Rolle? Der Ort muß nur so gewählt sein, dass das NAS im Falle des Falles keinen Zugriff mehr drauf hat.

Am besten speichert man die Passworte gar nicht und gibt sie im seltenen Fall eines Stromausfalls manuell neu ein.

Die Idee mit der MAC Adresse ist nicht schlecht. Man muss aber sicher stellen, dass der ARP Cache nicht irgendwo Spuren hinterläßt und dass die Mac Adresse nicht in irgendeinem Log oder Dump steht. Ganz verlassen würde ich mich da auch nicht drauf.

Wie wäre es denn mit folgender Lösung: Man legt das Passwort auf eine andere Maschine z.B. einen Raspberry Pi, ODroid, anderes NAS etc, die nur aus dem privaten Netz zu erreichen ist und lädt es per SSH in sein Mountscript. Die Maschine könnte im Extremfall sogar aus sein und per WOL vom NAS gestartet und nach dem mounten wieder runtergefahren werden.
 
  • Like
Reaktionen: PeterPanther

mcm57

Benutzer
Mitglied seit
26. Nov 2011
Beiträge
43
Punkte für Reaktionen
9
Punkte
8
Ich habe das hier gefunden:
https://www.synology.com/de-de/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS
Wenn ich das richtig lese gibt es nach einem Reset der Box KEIN automount mehr. Und für ein manuelles Mount müsste man ja die Passwörter der verschlüsselten Shares oder deren Keys kennen - alternativ das Passwort des Keymanagers. Habe ich nichts davon, kann ich nicht entschlüsseln.
Oder überseh ich da was?

Das wäre nicht besonders sicher. Wenn man Zugriff auf die Platten hat gibt es andere Möglichkeiten auf das System zu kommen, man braucht den Reset nicht.

Ich versteh das jetzt nicht sicher. Die verschlüsselten Oderner sind ja auch bei Ausbau der Platten verschlüsselt.

Meinst du, dass man durch physikalischen Zugriff auf die Platten die Kennwörter von Accounts umsetzen kann? Tja, das sollte gehen und wär dann allerdings eine Möglichkeit an alles ran zu kommen. Im Prinzip würde es dann ja wohl ausreichen irgendeinen Account der Zugriffsrechte auf die Ordner hat mittels direktem Zugriff zu öffnen - admin Zugang bräuchte ich da dann gar nicht.

Wenn meine letzten Überlegungen stimmen, dann ist jede Form von Automount (d.h. decrypt) basierend auf Daten die auf bzw. an der DS liegen als unsicher einzustufen und hilft wahrscheinlich gegen Gelegenheitsdiebe die nur die HW interessiert und max schnall mal reinschaun - nicht aber gegen jemand der an die Daten wirklich ran will.

McM
 
  • Like
Reaktionen: PeterPanther

NocTec

Moderator
Teammitglied
Lösungspartner
Mitglied seit
21. Jan 2007
Beiträge
182
Punkte für Reaktionen
175
Punkte
93
Meinst du, dass man durch physikalischen Zugriff auf die Platten die Kennwörter von Accounts umsetzen kann?
Wenn meine letzten Überlegungen stimmen, dann ist jede Form von Automount (d.h. decrypt) basierend auf Daten die auf bzw. an der DS liegen als unsicher einzustufen

Genau so ist es! Schlüssel und Daten müssen getrennt werden.

Das oben angesprochene segmentieren des Passworts macht in sofern Sinn, wenn man davon ausgeht, dass jemand phyiskalischen Zugriff auf das NAS und das zweite Gerät, auf dem der Schlüssel liegt, bekommt. Bei einem segmentierten Passwort könnte man dann nachträglich den Zugriff auf eines der Segmente sperren, z.B. vom Webserver im Rechenzentrum löschen, wenn man schnell genug ist.
 
  • Like
Reaktionen: PeterPanther

PeterPanther

Benutzer
Mitglied seit
12. Jun 2014
Beiträge
314
Punkte für Reaktionen
3
Punkte
18
(...)

Wie wäre es denn mit folgender Lösung: Man legt das Passwort auf eine andere Maschine z.B. einen Raspberry Pi, ODroid, anderes NAS etc, die nur aus dem privaten Netz zu erreichen ist und lädt es per SSH in sein Mountscript. Die Maschine könnte im Extremfall sogar aus sein und per WOL vom NAS gestartet und nach dem mounten wieder runtergefahren werden.
Das wäre ja genau die Lösung, die mir vorschwebt. Die Frage ist nur, wie man das anstellt...
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Wo liegt der Vorteil von der Verwendung von Segmenten? Das NAS braucht Zugriff auf alle Segmente, ob die nun verteilt sind oder nicht spielt doch keine Rolle? Der Ort muß nur so gewählt sein, dass das NAS im Falle des Falles keinen Zugriff mehr drauf hat.
Du hast dir ja selber schon die Antwort gegeben. Ein Segment muss intern und eins extern liegen um es dem Dieb so schwer wie möglich zu machen. Ich halte es für gefährlich das Passwort nur in einem Gerät zu speichern.

Die Idee mit der MAC Adresse ist nicht schlecht. Man muss aber sicher stellen, dass der ARP Cache nicht irgendwo Spuren hinterläßt und dass die Mac Adresse nicht in irgendeinem Log oder Dump steht.
Ich fand die Idee auch zu Anfang super. Der Einwand mit dem Cache, Log oder Dump ist aber auch gut und macht diese Idee zunichte. Danke für den Input. :)

Wie wäre es denn mit folgender Lösung: Man legt das Passwort auf eine andere Maschine z.B. einen Raspberry Pi, ODroid, anderes NAS
Das sind alles Geräte, die eventuell auch mitgenommen werden (wenn sie nicht gut versteckt sind).
Es gibt aber noch andere Alternativen, z.B. eine smarte Steckdose, die im WLAN hängt.

Die Frage ist nur, wie man das anstellt...
Mit einem Script... das sind nur ein paar Zeilen.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
Das sind alles Geräte, die eventuell auch mitgenommen werden (wenn sie nicht gut versteckt sind).


ich erinnere mich momentan nicht wer das hier im Forum so eingerichtet hat, aber jemand hat den Schlüssel in einem USB Stick abgelegt, dieser ist zwar mit der DS per Kabel verbunden, jedoch ist der Stick selber mit einem Epoxy Klebstoff so an der Wand oder so was befestigt, dass es bei jedem Versuch es mitzunehmen physisch zerstört wird.
 

PeterPanther

Benutzer
Mitglied seit
12. Jun 2014
Beiträge
314
Punkte für Reaktionen
3
Punkte
18
(...)


Mit einem Script... das sind nur ein paar Zeilen.

OK. Ich will ja nicht frech sein, aber wie muß das aussehen?

Also Beispiel:

Die gemeinsamen Ordner "Peter" und "Petra" sollen beim Systemstart automatisch geöffnet werden. Der Schlüssel dazu soll auf einem im Heimnetz liegenden Raspi mit der IP 192.192.192.92 abgespeichert werden. Bzw. auf einem daran angeschlossenen Stick.

Wie müßte so ein Script aussehen?
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
In den Tiefen dieses Forums ist ein Grundgerüst von mir, irgendwo in einem Verschlüsselungsthread. Da musst du ein wenig suchen.

Das Einhängen/Entschlüsseln ist ein "Einzeiler"
Code:
synoshare --enc_mount "GemeinsamerORDNER" PASSWORD

Das "Holen" vom Passwort kann auf vielen Wegen geschehen (SSH, SMB, Webserver, usw.). Es sollte darauf geachtet werden, dass der Weg vom Passwort vom Raspi zum NAS verschlüsselt ist. Das gilt speziell dann, wenn man das Passwort nicht teilt.
 
  • Like
Reaktionen: PeterPanther

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Ich habe einen Schnipsel gefunden.

Code:
## Abwarten (30s)
sleep 30

## Passwort holen
......................

## Array
meinarray=(Peter Petra)

## Schleife
for i in ${meinarray[@]}; do
synoshare --enc_mount $i PASSWORT
sleep 10
done

Wichtig ist der Sleep-Befehl (30s) direkt am Anfang. Der verhindert, dass das Script bei einem Neustart vom NAS zu früh anfängt. Auch sollte der Sleep-Befehl (10s) in der Schleife verbleiben. Ich habe die Erfahrung gemacht, dass sich ohne diese 10s Wartezeit manchmal das NAS beim Mounten verschluckt und einen Ordner vergisst.

Jetzt musst du nur noch schauen, dass du das Passwort im Script einbaust (siehe Punktlinie), sprich das Holen vom Passwort (z.B. mittels curl von dem Webserver des Raspi).

Das Script kann in den Aufgabenplaner vom NAS. Dort so einstellen, dass es beim Neustart gestartet wird.
 
  • Like
Reaktionen: PeterPanther

PeterPanther

Benutzer
Mitglied seit
12. Jun 2014
Beiträge
314
Punkte für Reaktionen
3
Punkte
18
Erst mal Danke für Deine Mühe. Ist sicher nicht einfach, einem Blinden was von Farben zu erklären.

Wenn ich das richtig im Kopf habe, ist jede Zeile, die mit einer Raute beginnt, nur Kommentar und wird nicht bearbeitet, richtig?

Das mit dem Array verstehe ich nicht ganz. Wenn Du
Code:
meinarray=(Peter Petra)
schreibst, bedeutet das dann, das ein Array mit zwei Variablen erstellt wird, also einer Variablen Peter und einer Petra?

Wäre das gleichbedeutend für einen Ordner dann:

Code:
## Schleife
for i in Peter; do
 synoshare --enc_mount $i PASSWORT
 sleep 10
done

?
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Alles was hinter einer Raute steht, ist ein Kommentar. Ich (und viele andere) nutzen das gerne um Scripte übersichtlicher zu gestalten und sich auch in 1-2 Jahren schnell wieder rein zu finden.

Salopp gesagt, ist ein Array eine Variabel, in die man mehrere Werte legen kann. Die Schleife in meinem Script ruft die Inhalte aus dem Array ab und arbeitet sie ab, sprich einmal den Mount mit Peter und einmal mit Petra. Der Array hat den Vorteil, dass du leicht einen dritten Ordner hinzufügen kannst (Peter Petra Rolf). Und schon wird Rolf auch gemountet (wenn das Passwort gleich ist).

Du kannst den Mountbefehl auch ohne Array und ohne Schleife benutzen. Das sieht dann so aus:

Code:
## Abwarten (30s)
sleep 30

## Passwort holen
......................

## Mount für Peter
synoshare --enc_mount Peter PASSWORT
sleep 10

## Mount für Petra
synoshare --enc_mount Petra PASSWORT
sleep 10

## Mount für Rolf
synoshare --enc_mount Rolf PASSWORT
So könntest du auch für die Ordner verschiedene Passwörter nutzen (Peter => PASSWORT1, Petra => PASSWORT2, Rolf => PASSWORT3).

Hinweis: Falls der "Gemeinsame Ordner" ein Leerzeichen beeinhaltet, muss man ihn in Anführungsstriche setzen. Bei Peter, Petra und Rolf ist das nicht nötig.

Zur allgemeinen Vorgehensweise:
Taste dich Stück für Stück heran. Lege einen verschlüsselten Testordner an, pack ein paar Testdaten rein und hänge ihn über das DSM wieder aus. Dann probierst du ihn über die Konsole als "root" mit
Code:
synoshare --enc_mount TESTORDNER PASSWORT
zu mounten. Wenn das klappt, kannst du weiter scripten. ;)

Um auf die Konsole deines NAS zu kommen, musst du in den Einstellungen (DSM) SSH freischalten. Dann besorgst du dir Putty, loggst dich als "admin" ein (Passwort vom admin des DSM) und loggst dich mit "sudo -i" zu root um.
 
Zuletzt bearbeitet:

PeterPanther

Benutzer
Mitglied seit
12. Jun 2014
Beiträge
314
Punkte für Reaktionen
3
Punkte
18
OK. Hoffentlich kann der auch mit Umlauten in Scripts umgehen.... (ein Ordner enthält einen).

Woher weiß er in der Befehlzeile, dass "PASSWORT" das hier

(...)
Code:
## Passwort holen
......................
(...)
geholte Passwort ist? Und wie hole ich das?

Ich vermute mal, ich muß auf dem Raspberry irgendeine Art von Webserver aufsetzen?

Womit ich bei der nächsten Frage wäre:
1. Möglichkeit: Vorhandenes Raspberry (pi hole, NUT-Server) nutzen. Das liegt allerdings direkt neben der Syno und das hätte nur sinn, wenn man den Schlüsel auf dem Pi mit Passwort sichern könnte, das man wiederum nach jedem Pi-Start manuell eingeben müsste.
2. Möglichkeit: Ein Pi ausschließlich für diesen Zweck kaufen und an anderer Stelle im Haus unterbringen.

Schöner wäre Möglichkeit 1, das Pi läuft eh 24/7....
 

mb01

Benutzer
Mitglied seit
13. Mrz 2016
Beiträge
485
Punkte für Reaktionen
56
Punkte
28
ich erinnere mich momentan nicht wer das hier im Forum so eingerichtet hat, aber jemand hat den Schlüssel in einem USB Stick abgelegt, dieser ist zwar mit der DS per Kabel verbunden, jedoch ist der Stick selber mit einem Epoxy Klebstoff so an der Wand oder so was befestigt, dass es bei jedem Versuch es mitzunehmen physisch zerstört wird.
Genau die Idee hatte ich auch neulich, bzw. vielleicht nur den Stick über ein Kilo Epoxydharz dauerhaft an ein stabiles/schweres/großes Möbelstück binden ... ist halt letztendlich die Frage, gegen wen man seine Daten schützen will: Diebstahl oder Staatsanwaltschaft ;) ... gegen Ersteres sollten solche Stick-Lösungen schon 99,99% sicher sein. ?
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
auf dem Raspberry irgendeine Art von Webserver aufsetzen
Das wäre eine Möglichkeit. Wenn der Raspi aber direkt daneben steht, ist das irgendwie kontraproduktiv. Ein Dieb (oder der Staatsanwalt) nimmt den ja auch mit.
## Passwort holen
......................
Das würde z.B. so aussehen:
Code:
## Passwort holen
PASSWORT=$(curl http://IPvomRASPI/meineTextdateimitPasswort.txt)
Das kannst du auf der Konsole ausprobieren. Lege ins Webverzeichnis vom Webserver des Raspi eine Textdatei und rufe sie so auf:
Code:
curl http://IPvomRASPI/meineTextdateimitPasswort.txt
http wäre dann aber unverschlüsselt bei der Übertragung.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: PeterPanther


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat