Verschlüsseltes Backup von Dateien und Ordnern auf (rsync) Remote-Server erstellen

[Tronde]

Guten Abend Gemeinschaft,

aktuell sehe ich den Wald vor lauter Bäumen nicht mehr und habe über die Suche noch kein passendes Thema gefunden. Daher hoffe ich auf eure Hilfe.

Ich möchte eine Datensicherungsaufgabe erstellen, welche Dateien und Ordner von meiner Diskstation auf einen Linux-Server (Ubuntu 16.04) sichert. Dabei soll das Backup verschlüsselt auf dem Linux-Server abgelegt werden.

Gibt es ein Paket, mit dem das bewerkstelligt werden kann?

LG
Tronde

 

[Tronde]

Seltsam, ich habe gestern eine E-Mail-Benachrichtigung zu diesem Thema erhalten, dass eine neue Antwort vorliege. Nun bin ich verwundert, dass ich keine Antwort auf meinen Beitrag hier im Forum finde. Kann dies geschehen, wenn der Antwortende seinen Beitrag anschließend gelöscht hat?

In der Antwort wurde erwähnt, dass Ultimate Backup evtl. meinen Anforderungen genügt, wenn ich auf dem Linux-Server den erforderlichen SSH-Schlüssel hinterlegen kann. Dies ist kein Problem. Ist Ultimate Backup denn in der Lage das Backup verschlüsselt zu speichern, so dass auf dem Linux-Server nur ein Bithaufen zu sehen ist?

 

[Tommes]

Sicherlich kann man seinen Beitrag auch wieder löschen. Ist zwar nicht "best practice" aber naja...

Zu Ultimate Backup.
Nun, wir können - in Gegenwart des vom DSM generierten Verschlüsselungs-Schlüssel (Key-File) verschlüsselte Ordner in der Quelle als auch im Ziel einhängen und trennen. Das geht jedoch nur, wenn es sich bei der Quelle und dem Ziel eine Synology-Diskstation handelt. Ist, wie in deinem Fall, das Ziel ein "rsync kompatibler Server" dann würde das so erstmal nicht funktionieren, da wir die verschlüsselten Ordner mit Synology-Mitteln !?! öffnen und schließen. Nichts desto trotz basiert die Verschlüsselung auf eCryptFS, welches unter fast allen Linux-Systemen nachgeschoben werden kann. Somit sollte es wohl auch möglich sein, solch einen Ordner im Ziel zu öffnen und zu schließen.

Ich muß das "intern" nochmal mit PsychoHH bequatschen, der sich hiermit auch wesentlich besser auskennt als ich. Gib uns daher bitte mal einen Moment um das zu checken und um zu sehen, ob wir das ermöglichen können.... und ob dir diese Option überhaupt zusagt.

Tommes

 

[Tronde]

Hallo Tommes,

danke für deine Antwort.

Nichts desto trotz basiert die Verschlüsselung auf eCryptFS, welches unter fast allen Linux-Systemen nachgeschoben werden kann. Somit sollte es wohl auch möglich sein, solch einen Ordner im Ziel zu öffnen und zu schließen.

Das kann ich mir noch nicht so ganz vorstellen. Dazu müsste ich ja zuerst das Dateisystem des Linux-Servers via SSHFS, NFSv4 o.ä. auf der Diskstation einhängen, um dann den mit eCryptFS verschlüsselten Ordner einhängen zu können. Habe ich das so richtig verstanden? Oder funktioniert das im Detail noch anders?

Ob mir diese Option zusagt, hängt wesentlich davon ab, wie sich das im Detail realisieren lässt. Mir ist wichtig, dass ich in meinem Heimrouter keine Ports öffnen muss, sondern die Verbindung von der Diskstation zum Linux-Server aufgebaut wird. Dort soll das Backup als verschlüsselter Bithaufen liegen, damit kein anderer Benutzer (auch nicht root) in meiner Datensicherung herumschnüffeln kann.

Gib uns daher bitte mal einen Moment um das zu checken und um zu sehen, ob wir das ermöglichen können.

Kein Problem. Ich warte auf eure Antwort.

Viele Grüße
Jörg

 

[PsychoHH]

Mit Ultimate Backup ist es möglich ein Backup von und auf einen Server zu machen. Somit müsstest du keine Ports im Heimrouter öffnen.

In der neuen Version wird es möglich sein vor/nach einem Backup benutzerdefinierte Scripte auszuführen. Theoretisch sollte dann dein Wunsch möglich sein.

Wenn ich bald mal ein wenig Zeit habe werde ich schauen ob ich sowas für eine nicht DS integriere, sodass das alles automatisch abläuft und man einen beliebigen Ordner verschlüsseln kann.

Du brauchst auch kein sshfs. Ultimate Backup verbindet sich mit dem Server per ssh als root und kann die Befehle ausführen. Wie das ablaufen kann steht z.B. hier https://wiki.ubuntuusers.de/ecryptfs

Vielleicht hast du ja Erfolg beim Erstellen, einhängen und kannst was dazu schreiben

 

[Tommes]

... und ich werde das auf meinem Raspberry Pi mal antesten... also das einrichten eines verschlüsselten Ordners mittels ecryptfs, sowie das einhängen und trennen über SSH von der Diskstation aus. Das könnte aber ein wenig Zeit in Anspruch nehmen. Nichts desto trotz finde ich diese Möglichkeit ziemlich spannend.

Tommes

 

[Tronde]

Ich finde die Möglichkeit ebenfalls spannend und warte gespannt auf den Erfahrungsbericht von Tommes. Parallel werde ich mich ebenfalls mal bei ecryptfs einlesen. Vielleicht lässt sich damit ja eine praktikable Lösung zusammenstellen.

 

[PsychoHH]

Also ich habe das ganze mal getestet.
Muss mir dann aber noch Gedanken machen ob man den Passphrase im Script schreibt und wie das mit dem erstellen vom Ziel aussieht, sprich ob das alles automatisch erstellt werden soll. Theoretisch ist das nur der eine mount Befehl und der umount. Was mich aber ein bisschen stört ist, dass es keinen Erfolg/Misserfolg beim mount gibt.

 

[Tommes]

Moin, Psycho!

Ich hab das grad auch mal "lokal" auf meinem Pi getestet indem ich einen verschlüsselten Ordner erstellt und diesen dann eingehängt und wieder getrennt habe. Das funktioniert soweit auch recht zuverlässig. Dann habe ich versucht, das einhängen durch absetzen eine Befehlezeile zu "automatisieren", damit man nicht jedes mal den Fragenkatalog durchlaufen muss. Rausgekommen ist dann das hier....

sudo mount -t ecryptfs /home/pi/@Secret@ /home/pi/Secret \-o key=passphrase:passphrase_passwd=PASSWORD,ecryptfs_cipher=aes,no_sig_cache,\ecryptfs_key_bytes=32,ecryptfs_passthrough=n,ecryptfs_enable_filename_crypto,ecryptfs_sig=daa8dae0cdecf593,ecryptfs_fnek_sig=daa8dae0cdecf593

Jetzt müssten wir doch theoretisch in der GUI nur noch zwei Eingabefelder für passphrase_passwd= sowie für ecryptfs_sig= bzw. ecryptfs_fnek_sig= anlegen, die der Benutzer mit den entsprechenden Daten füllen muss. Dann sollten wir den Ordner auch per SSH öffen und schließen können. Das sollte doch reichen, oder?

Denn um einen verschlüsselten Ordner auf einen "rsync-kompatiblen Server" erstellen zu können, muß ja erstmal das Paket ecryptfs-utils installiert sein, das heißt, der Benutzer muß sich eh mit dem System auskennen um einen verschlüsselten Ordner erstellen zu können. Ergo kennt der Benutzer dann auch oben aufgeführte Werte um diese in die GUI von UB einzutragen.

Am Ende soll es ja so sein, das wir ein Backup von einer lokalen DS auslösen, dazu einen verschlüsselten Ordner eines entfernten "rsnc-kompatiblen Server" einhängen um dann alle Daten in diesen abzulegen und im Anschluss wieder zu trennen. Oder hab ich da jetzt einen Denkfehler?

Das einzig doofe ist, das wir selber das Passwort für den verschlüsselten Ordner nur im Klartext auf der DS ablegen können.

Tommes

 

[Tronde]

Guten Morgen.

Am Ende soll es ja so sein, das wir ein Backup von einer lokalen DS auslösen, dazu einen verschlüsselten Ordner eines entfernten "rsnc-kompatiblen Server" einhängen um dann alle Daten in diesen abzulegen und im Anschluss wieder zu trennen. Oder hab ich da jetzt einen Denkfehler?

Das ist genau die Idee. So wünsche ich mir das, da es mir von meiner Diskstation daheim ein verschlüsseltes Cloud-Backup auf einen eigenen Remote-Server ermöglicht.

Das einzig doofe ist, das wir selber das Passwort für den verschlüsselten Ordner nur im Klartext auf der DS ablegen können.

Für den SOHO-Bereich kann man das in meinen Augen verschmerzen. Das Passwort ist im Klartext ja nur auf der DS hinterlegt und nicht auf dem entfernten Server in der Cloud.

LG
Tronde

 

[Tommes]

PsychoHH hat mir vorhin eine Videosequenz gezeigt, wo das bereits alles über Ultimate Backup läuft. Der Typ ist irgendwie nicht zu bremsen, wenn es um eine neue Herausforderung geht. Ich würde mich jetzt mal ein wenig aus dem Fenster lehnen und mal behaupten, das wir das mit dem nächsten Update raushauen. Wann das genau ist, kann ich aber noch nicht sagen, da wir das alles noch verfeinern und ausgiebig testen müssen. Für den Moment sieht das aber alles schonmal ziemlich cool aus.

Tommes

 

[Tronde]

Hab vielen Dank für eure Arbeit. Ich freue mich bereits auf die neue Version. Ich bin auch bereit beim Test zu helfen, wenn ihr mir erklärt, wie ich dies am besten tun kann.

 

[PsychoHH]

SSH Verbindung von der DS zum Server herstellen als root.
Daten einmal von der DS irgendwie extern sichern.

Und wenn es so weitergehen sollte. Folgt sicher bald eine Version zum testen

 

[Tommes]

Kurzer Statusbericht:
Die Ordnerverschlüsselung von Synology wurde von Ultimate Backup bereits seit eh und je unterstützt, PsychoHH hat diese Funktion in der GUI jetzt aber noch benutzerfreundlicher verankert, auch wenn wir noch interne Detailfragen klären müssen. Unterm Strich funktioniert das verschlüsselte Sichern von und zu einer weiteren Diskstation also. Jetzt müssen wir noch eine Lösung erarbeiten, das das alles auch mit einem rsync-kompatiblen Server funktioniert. Hier müssen wir noch ein paar Probleme lösen, aber wir sind guter Dinge, das wir auch das hinbekommen. Es wird wohl noch ein wenig dauern, aber wir arbeiten da mit Hochdruck dran...

Es bleibt also spannend

Tommes

 

[Tronde]

SSH Verbindung von der DS zum Server herstellen als root.

Warum muss die Verbindung unbedingt als root hergestellt werden? Reicht hier nicht auch ein unprivilegierter Benutzer aus, wenn ich sicherstelle, dass dieser sein verschlüsseltes Verzeichnis einhängen kann?

Fühlt euch nicht gehetzt. Ich warte gern auf eine gut getestete und funktionierende Lösung.

MfG\\
Tronde

 

[Tommes]

Sich als root zu verbinden macht halt vieles einfacher. Nichts desto trotz kannst du dich auch als eingeschränkter Benutzer verbinden, so wie ich das auf meinen Raspberry Pi 3 als Benutzer pi tue. Unter diesem Benutzer teste ich zur Zeit eCryptfs und manuell klappt das auch schon alles, also das erstellen und einhängen eines verschlüsselten Ordners, das Erstellen eines Key-Files und die Steuerung per SSH von meiner Diskstation aus. Jetzt müssen wir das alles noch in die GUI einpflanzen und mit den Eigenarten von Synologys Methoden mixen.

Wir fühlen uns auch keineswegs von dir gehetzt, wir haben halt nur einen hohen Anspruch an uns selbst. Wie immer arbeiten wir aber nach dem Motto: it’s done when it’s done!

Tommes

 

[Tommes]

Kurzer Statusbericht, denn wir haben dich natürlich nicht vergessen.

Der Typ, der mit mir an diesem Projekt arbeitet... na, wie heißt er doch gleich... ach ja, dieser PsychoHH, der hat bereits einiges aus dem Boden gestampft und das sieht bereits alles sehr, sehr gut aus. Wir können jetzt auf einem rsync-kompatiblen Server, auf welchem sich natürlich das eCryptFS-Paket befinden muss, Ordner nach belieben ver- und entschlüsseln und das über die GUI von Ultimate Backup, aber...

Warum muss die Verbindung unbedingt als root hergestellt werden? Reicht hier nicht auch ein unprivilegierter Benutzer aus...

... ein unprivilegierter Benutzer reicht in unserem Universum leider nicht dazu aus. Wir benötigen aus verschiedenen Gründen "root"-Rechte, ohne die wird das nicht funktionieren. Wir haben das natürlich getestet und sind (mal wieder) zu dem Schluss gekommen, das es für uns nur diesen einen Weg gibt, nämlich als root zu agieren. Ich hoffe, das stellt kein größeres Problem für dich da.

Zum Release-Termin kann ich noch nichts sagen, es wird aber wohl noch ein paar Tage dauern. Aber das Warten wird sich lohnen... ganz bestimmt...

Tommes

 

[Tronde]

Hallo Tommes,

vielen Dank für das Statusupdate und dafür, dass ihr mit so viel Elan entwickelt.

Kannst du die Gründe zur zwingenden Verwendung des root-Benutzers näher erläutern? Im Notfall lässt sich hier sicher ein Zugriff freischalten. Nur wird der SSH-Login für den Benutzer root ja häufig deaktiviert. Lässt sich der Login denn mit einem SSH-Schlüssel bewerkstelligen, oder muss ein Passwort verwendet werden? Denn der root-Login mit Passwort über SSH ist bei uns aus Sicherheitsgründen deaktiviert und darf nicht freigeschaltet werden.

LG
Tronde

 

[PsychoHH]

Hallo,

der root Login erfolgt per Key.

Es gibt ein paar Schritte im Script, die nur root ausführen kann.
Teilweise gab es auch rsync errors, wenn man keinen root Zugang hatte.

Ein Problem ist auch der mount Befehl, dieser geht nur als root.

Wahrscheinlich würde es direkt auch als normaler Nutzer gehen, dann müsste man aber die Rechte in der sudoers dafür manuell festlegen.

 

[jensi71]

Leeutteeee ihr seit echt einfach nur der Hammer

Ich find ja UB eh schon Superklasse, mit den ganzen Möglichkeiten! Freue mich auch auf die kommende Version!

Hmm.. was mir so allgemein auffällt... man sollte vielleicht irgendwo ein "HowTo" mit den ganzen Möglichkeiten verfassen. Das kommt leider nicht so richtig rüber: alleine schon die Sache mit dem automatischen USB-Backup per Automount (USB Platte anstecken, Backaup startet automatisch, und dann bekommt man per PIEPS/Grüner Status LED die erfolgreiche Aktion quittiert). Das hab ich auch nur zufällig gefunden. War aber genau das was ich ewig suchte.
Wenn mehr User von den ganzen Möglichkeiten von UB wissen, wird es sicher noch mehr genutzt!