Hallo QNAP Freunde,
mal eine gute Frage an Euch. Was ist eine gute Lösung die SSD/HDD am besten verschlüsseln.
Ich weiß das man nach dem Neustart immer das PW eingeben müsste um die Platten zu entschlüsseln, da ich aber jeden Tag das QNAP morgens automatisch an machen und abends wieder aus. Aber nach dem anmachen möchte ich mich eigentlich wieder einloggen um das Platten PW einzugeben.
Hat jemand eine Lösung wo das automatisch geht und das PW auf einen USB am Proxmox oder so hat.
Happy Sonntag
Hat jemand eine Lösung wo das automatisch geht und das PW auf einen USB am Proxmox oder so hat.
Hallo,
geht schon, dann ist das Passwort aber auf dem NAS gespeichert.
Punkt 18
Optional: Wählen Sie Beim Starten automatisch entsperren.
Diese Einstellung ermöglicht es dem System, den SED-Pool automatisch zu entsperren und zu mounten, sobald das NAS startet, ohne dass der Benutzer das Verschlüsselungspasswort eingeben muss.
Warnung:Die Aktivierung dieser Einstellung kann zu unberechtigtem Datenzugriff führen, wenn unbefugtes Personal physisch auf den NAS zugreifen kann.
Oder auch ein einzelnes Volumen
Alles anzeigenOptional: Verschlüsseln Sie das Volume.
QTS verschlüsselt alle Daten auf dem Volume mit der 256-Bit-AES-Verschlüsselung.
Optional: Wählen Sie Beim Starten automatisch entsperren.
Diese Einstellung ermöglicht es dem System, das verschlüsselte Volume bei jedem Start des NAS automatisch zu entsperren und einzubinden, ohne dass der Benutzer das Verschlüsselungspasswort oder die Verschlüsselungsschlüsseldatei eingeben muss.
Warnung:
Die Aktivierung dieser Einstellung kann zu unbefugtem Zugriff auf die Daten führen, wenn unbefugte Personen physisch auf das NAS zugreifen können.
Wenn ich das Volume Verschlüssel und es Speicher und die SSD/HDD geklaut wird nur kommt der jenige auch drauf richtig?
Wenn das Passwort auf dem NAS gespeichert ist
und der Cloud Key auf dem Gehäuse steht
und der 3-Sek-Reset nicht deaktiviert ist,
kommt der Dieb des NAs an deine Daten.
Das Cloud Key Ding ist der Online Zugang? Den nutze ich Risiko zu groß finde ich.
Den 3 Sekunden Knopf soll man ja nicht deaktivieren schreibe viele hier aus Sicherheitsgründen.
Also gibt es so keine gute Lösung nur Verschlüsseln und das PW Morgens über die Web GUI eingeben?
Auch nicht per App entsperren möglich oder so 
Das Cloud Key Ding ist der Online Zugang?
Nein.
Ist das Standardpasswort seit QTS 5.2
Wie lautet das Standardpasswort für den Systemadministrator meines NAS? | QNAP
Es gab auch eine ausführliche Diskussion im Forum
Den 3 Sekunden Knopf soll man ja nicht deaktivieren schreibe viele hier aus Sicherheitsgründen.
Wenn Du dann dein Passwort vergessen hast oder es ein anderes Problem gab, kannst Du es nur über einen 3/10-Sek-Reset zurücksetzen.
Wenn der Reset-Knopf deaktiviert ist, bleibt nur das Neuaufsetzen des NAS.
Hohe Sicherheit -> hohe Anforderungen an den Nutzer
Also gibt es so keine gute Lösung nur Verschlüsseln und das PW Morgens über die Web GUI eingeben?
Du kannst das NAS einfach 24 Stunden laufen lassen. 
Der Strommehrverbrauch dürfte nicht besonders groß sein.
Bleibt aber noch der Reset Button wenn den jemand drückt kommt der weiterhin an die Daten
Den Button kann man doch deaktivieren:
Die Frage ist, ob das eine gute Idee ist, falls man ihn selber mal brauchen sollte.
Ich habe ein ähnliches Anwendungsszenario für meine NAS. Ich nutze die SED-Verschlüsselung meiner M.2-SSDs hauptsächlich weil sie nichts an Performance kostet und man eine defekte SSD bedenkenlos zurückgeben/umtauschen kann. Ein Diebstahlschutz wäre nett, aber die Komforteinbußen und ungewollte Nebeneffekte (wie z.B. das erneutes Scannen der Medienordner) mag ich nicht haben.
Hat jemand eine Lösung wo das automatisch geht und das PW auf einen USB am Proxmox oder so hat.
Bei mir steht das NAS im Keller. Das Diebstahlrisiko ist da etwas erhöht, da der Keller schon mal vergessen wird abzuschließen und man hört auch nicht, wenn jemand im Keller ist.
Ich habe mir ein Skript gebastelt, das beim NAS-Start (in autorun.sh) von einer alten Fritzbox im zweiten Stock die SMB-Freigabe mountet, und mit der dort befindlichen Schlüsseldatei die NAS-Laufwerke aufsperrt. Das geschieht automatisch. Und ein Dieb müsste neben dem NAS auch die Fritzbox ein paar Stockwerke höher klauen um an die NAS-Daten zu kommen, was ich für sehr unwahrscheinlich halte.
Ich hatte das Skript wohl schon mal im Forum gepostet, kann das bei Interesse aber noch einmal machen.
Leider habe ich keine Fritz.Box im Einsatz
Muss keine FB sein. Gebraucht wird nur irgendein Gerät, das ständig läuft und ein Verzeichis per SMB freigeben kann. Bei mir bot sich die FB an, weil die als Repeater für Festnetztelefon ohnehin benötigt wird.
Das Script müsste im Forum sein, aber ob man es finden kann, ist eine andere Frage.
Hier ist es noch einmal:
mkdir /tmp/tmpmnt
mount.cifs //IP.der.FB.Freigabe/FB-Freigabe /tmp/tmpmnt -o ro,noserverino,username=Freigabe-User,password=Freigabe-Passwort
cryptsetup -v luksOpen /dev/mapper/cachedev1 ce_cachedev1 --key-slot 0 </tmp/tmpmnt/Dokumente/NAS/Schlüsseldatei.key
mkdir /share/CE_CACHEDEV1_DATA
mount -t ext4 /dev/mapper/ce_cachedev1 /share/CE_CACHEDEV1_DATA/ -o rw,usrjquota=aquota.user,jqfmt=vfsv0,user_xattr,data=ordered,data_err=abort,delalloc,nopriv,nodiscard,noacl
/etc/init.d/init_lvm.sh
umount /tmp/tmpmntEin paar Parameter musst du bei dir passend ersetzen.
Die FB-Freigabe ist bei mir die Freigabe auf der Fritzbox, die nur die Schlüsseldatei enthalten muss. (Zeile 2)
Der Pfad zur Schlüsseldatei (Zeile 3) kann beliebig variieren.
Statt cachedev1 kann es auch eine andere Nummer sein, muss halt die sein, die qts normal für das Volume vergibt.
Bei mehreren Volumes müssen die Zeilen 3 bis 5 entsprechend wiederholt werden.
Der Aufruf erfolgt aus autorun.sh.