Beiträge von phoneo

    Der Kollege ist auf der Suche nach VPN-Dienstleistern, mit denen man das Surven im Internet verschlüsseln kann. Dabei wird der gesamte Traffic über eine VPN-Verbindung des VPN-Dienstleisters abgewickelt. Das kann man mit "Fritzbox"-VPN nicht realisieren.

    nachdem ich bis heute leider irgendwie der einzige bin der das Versucht, habe ich die Installation mal so gestartet wie beschrieben.

    Nein, bist du nicht. Neben mir haben auch andere User erfolgreich das System auf SSDs verlagert, ohne vorhandene Volumen neu aufsetzen zu müssen. Zu diesem Thema gibt es auch einen Diskussionsverlauf/Erfahrungsaustausch hier im Forum.

    Meine Vorstellung wäre, dass es einen Freigabeordner gibt, für den ein NAS-Benutzer das Passwort festlegt und damit auch nur der eine Nutzer die Zugriffsrechte verwalten und nutzen kann.

    Der Nutzer kann zwar das Passwort festlegen oder auch ändern, allerdings hat er nicht die Hoheit über die Zugriffsrechte. Diese hat der Admin und natürlich auch andere User mit Admin-Rechten. In der Praxis ist das dann so: in dem Moment wo der User das Passwort eingibt und damit den Freigabeordner entschlüsselt, könnte sich die oben genannte Admin-Gruppe auch Zugriff verschaffen. Darüber hinaus müsste man mit Scripten arbeiten, die während eines automatisierten Backup-Prozesses zuerst den Freigabeordner freischaltet, dann das Backup durchführt und abschließend wieder den Freigabeordner sperrt. Über das GUI wird das wohl nichts.


    Alternativ könnt ihr besser im QNAPclub Store stöbern. Duplicati (WEBdav, SFTP,...) wäre ein Stichwort, da sind die Dateinamen nicht am Ziel lesbar.


    Wer NAS-Systeme über das Internet miteinander verbindet, sollte gut wissen was er tut: Sicherheit bitte ernst nehmen.

    Man könnte Snapshots von Volumen extern sichern. Da kenne ich mich aber nicht mit aus.


    Für WebDAV gibt es hier eine Anleitung. Ich würde in Schritten arbeiten. Am Ziel-NAS WebDAV einrichten und dann erst versuchen von extern per PC darauf zuzugreifen. Wenn das klappt, dann die Verbindung per Hybrid Backup Sync einrichten. Da gibt es auch ein Tutorial zu.

    Ich will ein Verschlüsseltes abspeichern und glaube dass es nicht reicht einfach die Festplatte des Sender-NAS zu verschlüsseln.

    So ist es.


    Wenn nur die Cloudbackup-Funktionen die Möglichkeit einer client-seitigen Verschlüsselung bieten, würde ich es über WebDAV probieren. Also auf dem Ziel-Nas eine WebDAV-Freigabe einrichten und mit Cloudbackup darauf zugreifen.

    You must restore (or unlock) the system volume to a normal state.

    Falls du seinerzeit ein verschlüsseltes Volume angelegt hast, musst du nach einem Neustart das Volume mit dem Passwort unter Speicher & Snapshots wieder freigeben.

    Meinst Du den Key oder die Passphrase (um bei meiner Wortwahl zu bleiben).

    Ich meinte, bzw. dachte es wäre der Key, nachdem ich mir aber den verlinkten Artikel noch einmal durchgelesen habe, bin ich unsicher. Vielleicht ist es doch nur die Passphrase?



    Ich glaube ich werde mich mal mit diesem verschlüsseln doch etwas näher Beschäftigen - habe ja eh gerade eine TS-253Be zum spielen da.

    Wenn du auf dem Test-System mit dem LVM arbeitest, kannst du dir mehrere Volumes je nach Belieben verschlüsselt/unverschlüsselt anlegen und damit herumprobieren.




    Ich beschreibe jetzt noch eine Situation, wo ich mich einmal richtig angeschmiert haben. Anderen Usern hier im Forum ist das auch schon passiert. Der Grund: Wenn du dein System 24/7 laufen hast, gerät die Verschlüsselung in Vergessenheit, du bekommst nämlich außer beim Passworteingeben nichts mehr davon mit. Und das ist bei einem 24/7 Betrieb sehr selten. Nun kommt der Tag an dem du das Gerät bootest, weil du z.B. ein neues Update eingespielt hast und du grad nicht mehr an die Verschlüsselung denkst. Das Gerät bootet mit Fehlermeldungen und du denkst "F...ck!" das Update ist fehlgeschlagen und begibst dich auf die Fehlersuche. Aber eigentlich erwartet das System nur die Passphrase, um das Volumen freizugeben. Die Fehlermeldungen beziehen sich nämlich nur auf den gescheiterten Versuch auf das Dateisystem den verschlüsselten Volumes zuzugreifen.

    Wäre es dann nicht doch so, das man mit dem Passwort dann doch zugriff auf die Platten bekommt, da der besagte Schlüssel zum entschlüsseln nur durch das Passwort(schwächstes Glied in der Kette) geschützt ist.

    Ja, richtig erkannt. Das Passwort ist wohl das schwächste Glied in der Kette. Besser als MatthiasJ hätte ich es nicht erklären können. Vielleicht noch ein kleiner Exkurs, was passiert, wenn du bei QNAP ein verschlüsseltes Volumen anlegst. Zuerst wird dabei ein zufälliger Schlüssel angelegt. D.h. wenn du bei dem Beispiel Produktiv - und Backup-NAS auf den beiden Geräten verschlüsselte Volumes anlegst, sind diese Schlüssel voneinander unabhängig. Oder andersherum ausgedrückt, das Passwort/die Passphrase hat mit der Schlüsselgenerierung nichts gemein. Wie bereits geschrieben, bei QNAP ist das ganze Handling sehr vereinfacht, was jetzt nicht als Nachteil gedeutet werden muss. Du musst ja lediglich bei jedem Neustart des Gerätes das verschlüsselte Volume mit dem Passwort freigeben. Ansonsten merkst du von der Verschlüsselung gar nichts. Wer allerdings regelmäßig sein NAS herunterfährt, kann das ständige Neueingeben als lästig empfinden. Es gibt auch Lösungen, die Passphrase außerhalb des Systems, z.B. im Router abzuspeichern. Beim Booten des NAS würde sich das System dann die Passphrase dort automatisch abholen. Wer übrigens nicht dem Passphrase-Schutz des Schlüssels vertraut, kann den Schlüssel auch auf einem USB-Stick ablegen. Der USB-Stick muss dann während des Boot-Vorgangs im NAS stecken und kann, wenn das System hochgelaufen ist, abgezogen werden. Man kann den Schlüssel auf dem Stick sogar vor neugierigen Schnüfflern verstecken, indem man den Schlüssel im freien Bereich des Sticks zwischen MBR und der ersten Partition unterbringt.

    Hallo Friis,


    vorab: Ich will auch niemanden dazu bekehren seine Systeme zu verschlüsseln. Das soll jeder für sich selbst entscheiden. Ich habe auch über einen längeren Zeitraum Vorbehalte gegen das Verschlüsseln gehabt. Dazu gehörte auch die Angst, von seinen Daten ausgesperrt zu werden. Das waren aber Vorbehalte aus Unkenntnis. Aus heutiger Sicht gibt es für mich privat nur einen Grund, die Dateisysteme nicht zu verschlüsseln, nämlich wenn das System durch die Verschlüsselung zu sehr ausgebremst wird. Ansonsten sehe ich ausschließlich den Vorteil, dass bei Diebstahl oder Reklamation von Datenträgern/Geräten meine Daten für Dritte nicht lesbar sind.


    Du meinst, dass man mit entsprechendem zeitlichen Einsatz vielleicht doch an meine Daten kommen könnte? Ja, vielleicht ist das so, aber ich glaube kaum, dass jemand diese Zeit investieren würde. Ich bin der Meinung, dass es wahrscheinlicher ist, dass ein Dieb es eher schafft die besten Einbruchschutzmaßnahmen zu überwinden und dann auch noch genau das NAS mitnimmt. Ok, dass ist jetzt Ansichtssache, kommen wir zurück zu den Fakten.

    Ich hoffe du kennst dann den Schlüssel

    Hier kann ich ein Verständnisproblem erahnen, welches ich kurz aufklären möchte. Nehmen wir an, wir haben ein Produktiv-NAS und ein Backup-NAS. Beide sind verschlüsselt. Nun tritt an unserem Produktivsystem irgend ein Problem bei der Entschlüsselung auf. Sagen wir mal es wäre so wie du es konstruierst: Ich würde den Schlüssel nicht mehr kennen. Oder das verschlüsselte System hätte ein anderes Problem. Ein typischer Fall, wie er zum Beispiel nach einem missratenem Firmware-Update auftreten könnte. Das Backup-System bleibt davon aber unberührt, da dieses System "eigene Schlüssel" hat und in Bezug auf die Verschlüsselung des Produktivsystems völlig unabhängig ist. Ein Backup-Vorgang läuft also so: Das Produktiv-Nas entschlüsselt die für das Backup erforderlichen Daten und überträgt diese dann unverschlüsselt zum Backup-Nas. Es sei denn, du hast für den Übertragungsweg ein verschlüsseltes NEtzwerkprotokoll wie ssh gewählt. Beim Backup-NAS würde dann die Transportverschlüsselung dekodiert und danach die Daten mit dem Schlüssel der Festplattenverschlüsselung auf das Dateisystem abgelegt werden.


    Wobei im Bereich der Verschlüsselung QNAP nicht das Machbare ausnutzt, was LUKS eigentlich bietet. Man muss nämlich grundsätzlich zwischen einem Passwort und dem Schlüssel unterscheiden. Bei QTS bekommt man letzteres nicht zu Gesicht. Das Passwort was man im QTS eingibt, ist lediglich dafür da den Schlüssel freizuschalten. Streichung und Korrektur vom 26.06.2019: Der Schlüssel liegt zwar auch im System, per GUI kann man ihn aber nicht sichern. Auch bei QNAP Systemen kann man sich über die GUI im Volumenmanager eine Kopie des Schlüssels herunterladen. In anderen NAS-Systemen wie z.B. FreeNAS wir man beim Erststellen eines verschlüsselten Volumes dazu aufgefordert, sich von dem passwortgeschützten Schlüssel eine Kopie zu speichern.


    Gruß phoneo

    Wenn man nichts vor der Justiz zu verbergen hat warum verschlüsselt man dann sein NAS?

    Bei manchem Einwand "gegen" eine Verschlüsselung kann ich mich nur wundern, Datenschützer verzweifeln.

    Verschlüsselung von Daten wird ja nicht nur für NAS-Systeme, sondern auch für alle anderen Betriebssysteme angeboten. Warum? Gerade im Business-Umfeld wird empfohlen die Systeme zu verschlüsseln. Es geht dabei um den Schutz von personenbezogenen Daten nach der DSGVO oder einfach auch den Schutz vor Industriespionage. Letzteres wäre aber nur eine Maßnahme unter vielen.


    Im übrigen ist beispielsweise bei den moderneren Android Smartphones die Verschlüsselung grundsätzlich aktiviert. Um die nicht zu wollen, musst du sie abwählen.


    Puh, noch so eine naive Frage:


    Eine Frage in die Runde was macht ihr, wenn ihr keinen Zugang mehr zum Schlüssel habt und an die Daten wollt/müsst? Ich werde dieses Problem nie bekommen!

    Auf das (natürlich verschlüsselte) Backup zugreifen. Ich hoffe, du hast auch eines. Denn solltest du mal keinen Zugang zu deinem Dateisystem haben, ist die Lösung auch keine andere!


    Nachtrag: Lesenswert!

    Man muss eine Verbindung zwischen dem Docker SABnzb und deinen Freigabeverzeichnissen einrichten. Sonst werden deine Downloads innerhalb des Docker-Images gespeichert und du kommst da nur schwer ran. Grundsätzlich sollte man sich angewöhnen auch die Config-Files außerhalb der Images zu speichern. So kann man bei einer Neuinstallation immer wieder darauf zugreifen. Folgende Konfiguration ist nur ein Vorschlag:


    Erstelle ein Freigabeverzeichnis "ContainerConfig". Erstelle in diesem Freigabeverzeichnis für die Configs von SABnzb einen Ordner "SABnzbConfig".


    Erstelle ein Freigabeverzeichnis "DLTransfer". Erstelle in dem Freigabeverzeichnis die beiden Ordner "incomplete" und "complete".


    Soweit ich das weiß, kann man die notwendigen Verknüpfungen nur bei einer Neuerstellung eines Docker-Images machen.


    Dort unter "Erweiterte Einstellungen".




    Es wird auch empfohlen unter "Umgebung" folgende Umgebungsvariablen einzutragen.

    PUID --> 1000

    PGID --> 1000


    Nun unter Freigabe --> "Volume vom Host" folgende Verknüpfungen einrichten:


    /share/DLTransfer/incomplete --> /incomplete-downloads

    /share/DLTransfer/complete --> /downloads

    /share/ContainerConfig/SABnzbdConfig -->/config


    Wenn die eigentliche Installationsroutine von SABnzb durchlaufen wird, müsssen die freigegebenen Verzeichnisse noch zugewiesen werden.


    So sollte es funktionieren...

    Ich habe extra dieses Thema mal laufen lassen, um verschiedene Meinungen zu lesen. Ehrlichgesagt war ich doch überrascht, dass es hier mal einigermassen sachlich zugeht. ;) Ich hoffe das bleibt so.

    Den Eindruck habe ich auch. Dann hake ich die Troll-Vorwürfe als gescheiterten Versuch ab, die Diskussion bewusst aus dem Ruder laufen zu lassen. ;)

    Ich sehe schon, die Fronten hier sind verhärtet. Wer gute Erfahrungen mit QNAP gemacht hat schwärmt davon. Für diejenigen die schlechte Erfahrung gemacht haben ist QNAP keine Alternative mehr, verständlicher weise.

    Die Bandbreite an Erfahrungen zwischen diesen beiden Positionen sind natürlich auch wichtig. In einem gut funktionierendem Qualitätsmanagment ist übrigens das Feedback der Kunden an den Hersteller eine sehr wichtige Komponente, die zur Verbesserung der Produkte beitragen soll. Ich habe den Eindruck, das wird allzu oft vergessen. Ich möchte auch daran erinneren, dass christian bereits häufiger deutlich gemacht, dass er sich mit dem Club als Schnittstelle zwischen User und QNAP sieht. Also Anlaufstelle für Kritik ist. Vielleicht ist es auch eine Frage der neutraleren Moderation, solche Diskussionen nicht ausufern zu lassen. Oder direkt zu schreiben: Nö, habe ich kein Bock drauf, wendet euch direkt an QNAP.


    Dass es sonst in Diskussionen wie hier zwischen den kritischeren Usern auf der einen Seite und den eher toleranteren auf der anderen Seite zu einer Lagerbildung kommt, ist auch üblich. So verhält es sich übrigens auch regelmäßig in politischen Diskussionen wie beim Tagesspiegel. Zwischen den Lagern kommt es dort ebenfalls selten zu einem Konsens. Allerdings werden dort die User nicht als Trolle bezeichnet, nur weil sie nicht die Meinung der Moderation vertreten. ;)