USB Festplatte über DISKSTATION verschlüsseln - [Anleitung]

syn29238

Benutzer
Mitglied seit
09. Okt 2014
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Wenn ich den Symlink gesetzt habe und versuche, den Verschlüsselten Ordner wieder einzuhängen bekomme ich die Meldung: "Passwort ungültig". Unter 4.3 hat es noch funktioniert.

Hat jemand dazu schon eine Lösung gefunden? Ich habe genau dasselbe Problem. Außerdem ist nach einem Neustart der Diskstation der verschlüsselte Ordner in der Shared Folder Liste gar nicht mehr zu sehen. Den Symlink kann man per SSH jedoch noch in dem Volume1-Verzeichnis sehen.

Ich bin wirklich überrascht, wie schwer es mit einem Synology-NAS ist, ein komplett verschlüsseltes Backup zu erstellen.
 

MC_Bergsteiger

Benutzer
Mitglied seit
29. Jul 2012
Beiträge
53
Punkte für Reaktionen
0
Punkte
6
Das Problem mit dem "Passwort ungültig" kann ich leider nur bestätigen.

Hat jemand schon einen Workaround gefunden oder gibt es eine alternative praktikable Methode, eine externe USB-Festplatte zu verschlüsseln?

Viele Grüße


Matthias
 

MC_Bergsteiger

Benutzer
Mitglied seit
29. Jul 2012
Beiträge
53
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,

ich gebe hiermit mal selbst die Antwort, da ich die Lösung über folgenden Beitrag aus dem englischsprachigen Forum gefunden habe: http://forum.synology.com/enu/viewtopic.php?f=160&t=41568

Ich gehe davon aus, dass - wie in der ursprünglichen Anleitung beschrieben - die Daten über einen Ordner "usbdaten1" auf die externe USB-Festplatte geschrieben wurden und auch entsprechende Backup-Tasks bestehen und weiter genutzt werden sollen.

Hier meine Schritt-für-Schritt-Anleitung, wie Ihr auf die verschlüsselten Daten der externen Festplatte auch unter DSM 5.x wieder zugreifen könnt und auch die bestehenden Backup-Tasks weiter nutzen könnt:

1. Neuen unverschlüsselten Ordner „usbdaten1“ im DSM unter "Systemsteuerung" → "Gemeinsame Ordner" anlegen und die Lese-/Schreibrechte für „admin“ setzen. [Ggf. alten Ordner vorher löschen.]
2. Jetzt z.B. mit Putty per SSH auf der Diskstation als root einloggen.
3. In das Verzeichnis auf der externen Festplatte wechseln, in dem die verschlüsselten Daten liegen:
Rich (BBCode):
Synology> cd /volumeUSB1/usbshare
4. Dort ein Verzeichnis „@usbdaten1@“ anlegen, das die verschlüsselten Daten enthalten soll und später mit dem unverschlüsselten Ordner „usbdaten1“ verbunden wird:
Rich (BBCode):
Synology> mkdir @usbdaten1@
5.Die verschlüsselten Daten in den neuen Ordner verschieben ("[...]" steht für den Rest des langen Verzeichnisnamens. Die "Tabulator"-Taste erleichtert die Vervollständigung des Ordnernamens bei der Eingabe.):
Rich (BBCode):
Synology> mv ECRYPTFS_FNEK_ENCRYPTED.FXaJ[...] @usbdaten1@/
6. Jetzt die beiden Ordner per EcryptFS verbinden [anstelle von GEHEIM ist die Passphrase anzugeben]:
Rich (BBCode):
Synology> mount.ecryptfs /volumeUSB1/usbshare/@usbdaten1@ /volume1/usbdaten1 -o \key=passphrase:passphrase_passwd=GEHEIM,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,\ecryptfs_passthrough=n,no_sig_cache,ecryptfs_enable_filename_crypto=y

Auf die verschlüsselten Daten der externen USB-Festplatte kann nun wie früher über den Ordner „usbdaten1“ unverschlüsselt zugegriffen werden. Auch die Backup-Tasks, die diesen Ordner verwendet haben, funktionieren wieder.

Für spätere Zugriffe reicht die Ausführung des Befehls „mount.ecryptfs“ mit den oben angegebenen Parametern.

Entfernen der Festplatte

Wenn die externe Festplatte per Kommandozeile mittels „mount.ecryptfs“ eingebunden wurde, muss sie auch per Kommandozeile zunächst unmounted werden:
Rich (BBCode):
Synology> umount /volumeUSB1/usbshare/@usbdaten1@

Dann über „Externe Geräte“ im DSM die externe Festplatte „trennen“.
 

TantGerda

Benutzer
Mitglied seit
13. Okt 2016
Beiträge
68
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen, der letzte Beitrag in diesem Thread ist zwar schon ein paar jahre her, aber ich mochte trotzdem einfach mal hier nachfragen, ohne einen neuen Thread aufzumachen:
0. Erstmal vielen Dank für die tolle Anleitung!!!
1. Gibt es mittlerweile immernoch keine von Synology empfohlene Vorgehensweise USB Platten zu verschlüsseln bzw. ist das immer noch nicht vorgesehen und wenn nicht, warum nur?
2. Wenn ich die USB Platten nach dieser Anleitung verschlüssele und meine DS kaputt geht - kann ich die USB Platte dann an einen normalen Windows PC hängen und meine Daten, die ich zuvor mittels Hyper backup dort hin gesichert habe, mit dem Hyper Backup Explorer für Windows zurück holen?
Vielen Dank.
 

MC_Bergsteiger

Benutzer
Mitglied seit
29. Jul 2012
Beiträge
53
Punkte für Reaktionen
0
Punkte
6
Ich habe es selbst noch nicht ausprobiert, da ich weiterhin meinen oben beschriebenen Weg für verschlüsselte Backups auf meine externe Festplatte wähle.

Aber ich würde erwarten, dass bei der Datensicherungsaufgabe "Lokaler freigegebener Ordner und externer Speicher" und beim Setzen der "Client-seitigen Verschlüsselung" das Backup auf der USB-Festplatte verschlüsselt abgelegt wird.
Wenn es einen Hyper-Backup-Explorer für Windows gibt, sollte der doch auch mit dem Entschlüsseln eines solchen Backups klarkommen. Aber wie gesagt, ausprobiert habe ich es noch nicht.
 

TantGerda

Benutzer
Mitglied seit
13. Okt 2016
Beiträge
68
Punkte für Reaktionen
0
Punkte
6
Aber ich würde erwarten, dass bei der Datensicherungsaufgabe "Lokaler freigegebener Ordner und externer Speicher" und beim Setzen der "Client-seitigen Verschlüsselung" das Backup auf der USB-Festplatte verschlüsselt abgelegt wird.
Wenn es einen Hyper-Backup-Explorer für Windows gibt, sollte der doch auch mit dem Entschlüsseln eines solchen Backups klarkommen. Aber wie gesagt, ausprobiert habe ich es noch nicht.

Ahahahhhaaaaaa..... :D
Das hatte ich ja gar nicht auf dem Schirm dass ich ja quasi während des Hyper Backups die Daten verschlüsseln kann. Dann brauche ich ja die externe Platte (auf der in meinem Fall lediglich Backups liegen sollen) gar nicht separat verschlüsseln sondern es reicht die Clientseitige Verschlüsselung in Hyper Backup, dass der gemeine Klaudieb nichts mit den Daten auf der externen Platte anfangen kann.

Danke für die Antwort!!!
 

MC_Bergsteiger

Benutzer
Mitglied seit
29. Jul 2012
Beiträge
53
Punkte für Reaktionen
0
Punkte
6
Ich habe es heute mal ausprobiert: meine 4TB WD MyBook "Disaster-Recovery" USB 3.0 Festplatte an den USB 2.0 Port meiner 812+ Rackstation, um eine neue Vollsicherung zu machen.

Ergebnisse:
- Im Modus "Externer Speicher" und mit "Client-seitiger Verschlüsselung":
Backup hätte 2 Wochen gedauert und dabei die Rackstation fast vollständig lahmgelegt. Selbst DSM und SSH-Zugriffe funktionierten kaum noch, da das System komplett mit sich selbst beschäftigt war. Daher habe ich das Backup nach ein paar Stunden abgebrochen. Die CPU-Auslastung zeitgt sehr hohe "IO Warten" Werte:
Synology_CPU-Auslastung_ExternerSpeicher.jpg

- Im Modus "Lokale Kopie" unter Verwendung der von mir oben beschriebenen Variante, die USB-Festplatte mit einem verschlüsselten Ordner einzubinden:
Mag auch noch 2 Tage dauern, legt aber nicht die ganze Diskstation lahm:
Synology_CPU-Auslastung_LokaleKopie.jpg

- Letzte Woche habe ich übrigens den gleichen Datenbestand (ca. 3 TB netto) im Modus "Remote Synology NAS" auf eine weitere Diskstation kopiert. Das hat zwar auch 3 Tage gedauert, jedoch konnte ich in der Zeit normal mit der Rackstation weiterarbeiten. Einen Screenshot der CPU-Auslastung habe ich damals leider nicht gemacht.

Jetzt frage ich mich:
Hat jemand schon Erfolg gehabt mit dem Backup auf eine externe USB-Festplatte unter Verwendung von "Externer Speicher" und "Client-seitiger Verschlüsselung"?
Mag ja an dem Alter meiner Rackstation und der Limitierung auf USB2.0 liegen, dass das bei mir nicht praktikabel ist.
 

WallyGER

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hallo,
nach recht langer Suche nach einer Möglichkeit ein oder mehrere Verzeichnisse auf einem USB Storage, dieses an die DS716+II angebunden ist zu verschlüsseln, bin ich auf diese intressante Anleitung gestossen.
Vielen Dank dafür!

Ich bin noch recht neu bei der DS.
Mit der DSM 6.1.4-15217 Update 1 Version erscheint aber nach dem Mounten leider ein Fehler:
Attempting to mount with the following options:
ecryptfs_unlink_sigs
ecryptfs_fnek_sig=65d7ce3434b4524b

ecryptfs_key_bytes=32
ecryptfs_cipher=aes
ecryptfs_sig=65d7ce3434b4524b
Error mounting eCryptfs: [-2] No such file or directory
Check your system logs; visit <http://ecryptfs.org/support.html>

Alle Verzeichnisse sind da und heissen auch gleich wie hier.
Ich kann auch in diese wechseln.
Was mich verwundert ist das in /volume1 das usbdaten1 Verzeichnis keine weiteren Berechtigungen hat:
18-11-_2017_18-56-41.png
Ich kann auch keine mit chmod setzen, auch nicht als root.

Was mache ich falsch?

Vorab danke für eure Mühen!
 

MC_Bergsteiger

Benutzer
Mitglied seit
29. Jul 2012
Beiträge
53
Punkte für Reaktionen
0
Punkte
6
Hallo WallyGER,

also, wenn ich wie oben beschrieben, den Ordner "usbdaten1" über "Systemsteuerung" → "Gemeinsame Ordner" anlege und für den Admin mit Schreib-/Leserechten ausstatte, erhalte ich ein ganz anderes Berechtigungsbild auf der Kommandozeile:
Berechtigungen_usbdaten1_DSM.jpg
Berechtigungen_usbdaten1.jpg

Viele Grüße
 

WallyGER

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
hallo MC_Bergsteiger,
vielen Dank für die schnelle Antwort!

Es ist schon verwunderlich,denn ich habe die gleichen Einstellungen.
Bis ich rausgefunden habe, dass es keinen root Zugang sondern den reinen admin Zugang gibt, hat schon ein bisschen Zeit in Anspruch genommen.
Erst mit dem sudo -i hat man dann die root Rechte.
Dann sollte auf dieses Verzeichnis ein chmod -r 777 möglich sein.
Aber das System sagt mir dann, keine Datei oder Verzeichnis.
Linux wird nicht einfacher sondern immer komplizierter.
Ich bin wirklich ratlos.

Leider bietet Synology nichts von der Stange an, um mobile Geräte oder bestimmte Verzeichnisse wie z.B. vergleichbar mit Veracrypt, verschlüsseln zu können.
Warum eigentlich nicht?
Die Funktion ist ja da, aber nur auf Volume1 beschränkt.

Jetzt muss ich weiter rumsuchen um herauszufinden, warum (bei mir) etwas angezeigt wird, was es eigentlich nicht gibt? :)
Falls jemand Tipps hat, so sind diese gerne willkommen.
 

WallyGER

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,
ich habe recht intensiv versucht das Problem zu erkennen, leider erfolglos.

Selbst auf dem /volume1 erhalte ich bei dem Versuch zu verschlüsseln den Hinweis, dass er ein Verzeichnis nicht finden kann, obwohl diese da sind:
Rich (BBCode):
Error mounting eCryptfs: [-2] No such file or directory

Falls niemand mehr Tipps hat, so werde ich wohl gezwungenermassen in die Windowswelt und Veracrypt zurückkehren müssen.
Da ist das Einrichten von Veschlüsselten Daten mehr als einfach.
Hier (Linux) scheitert es schon an vernünftiger Darstellung der Probleme.

Schade, Schade, schade.... wieder viel Lehrgeld gezahlt.
 

PsychoHH

Benutzer
Mitglied seit
03. Jul 2013
Beiträge
2.967
Punkte für Reaktionen
1
Punkte
78
Beide Ordner vor dem mounten erstellen und Rechte gesetzt?

Habe sowas schon vor einiger Zeit in Ultimate Backup eingebaut, was auch Funktionert. Soweit ich damit fertig bin, kannst du es dir ja mal anschauen.

Wenn ich dazu komme, kann ich dir auch den Code geben.
 

WallyGER

Benutzer
Mitglied seit
18. Nov 2017
Beiträge
5
Punkte für Reaktionen
0
Punkte
1

NilsenMatser

Benutzer
Mitglied seit
05. Nov 2018
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Hallo!
Gibt es aktuell eine Möglichkeit die Daten über die Diskstation auf externen Festplatten zu verschlüsseln?
Soweit ich verstanden habe sind hier die Anleitungen outdated oder?
Hat jemand eine Möglichkeit gefunden und mag eine kurze knackige Anleitung schreiben?
Vielen Dank im Voraus!
 

Minotaurus007

Benutzer
Mitglied seit
24. Okt 2009
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
@NilsenMaster

Doch, man kann sie via Hyper Backup auf der externen Festplatte verschlüsseln. Das Problem ist, dass das Restore extrem lange braucht (viele Tage, ggf. Wochen.). Will man statt dessen das Lokale Backup als Einzelversion anlegen, um schneller im Bedarfsfall an die Daten heranzukommen, geht die Verschlüsselung nicht.