Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Erwin1 op 22 september 2014, 17:09:53
-
Hallo,
Ik ontdekte zojuist dat de synology de mogelijkheid heeft tot het versleutelen van (gedeelde) mappen.
Ik heb zojuist ook de tutorial gelezen op de website van synology. Maar ik vroeg me af ook deze optie ook mogelijk is, wanneer je een gedeelde map ook gebruikt voor je kalender? Ik kan dat namelijk niet terug lezen op de website.
En is het mogelijk om de home map ook te versleutelen? aangezien daar de mails worden opgeslagen van m'n mailserver.
-
Maar ik vroeg me af ook deze optie ook mogelijk is, wanneer je een gedeelde map ook gebruikt voor je kalender?
Geen idee maar, dat zou je even kunnen testen met een nieuwe gedeelde map.
En is het mogelijk om de home map ook te versleutelen?
Dat denk ik niet omdat dit geen echte gedeelde map is en omdat deze optie alleen kan worden toegepast op nieuwe gedeelde mappen tijdens het aanmaken.
Home/Homes worden immers automatisch gemaakt.
-
Voor de inloggers maakt het geen verschil of die versleuteld is dus kun je er ook kalenders op staan. De enige beperking is de iets kortere maximum filenaam.
Qua home map: Dat staat volgens mij duidelijk bij de beperkingen van encryptie
-
En is er een mogelijkheid tot het veranderen van de map waarin de e-mails worden opgeslagen?
-
Ook versleutelen bedoel je ?
Als je dezelfde map wilt blijven gebruiken dan zal je die gedeelde map eerst moeten verwijderen (maak backup) en weer opnieuw maken en versleutelen, daarna backup terug.
-
Uuh, dat zal niet gaan aangezien de mails nu (standaard) staan in home: Die kan ik niet verwijderen...
Ik zou eigenlijk ergens een optie moeten vinden waar ik kan aangeven in welke gedeelde map de mailserver de mails deponeert.
-
Voor de inloggers maakt het geen verschil of die versleuteld is dus kun je er ook kalenders op staan. De enige beperking is de iets kortere maximum filenaam.
Qua home map: Dat staat volgens mij duidelijk bij de beperkingen van encryptie
Ik heb het een en ander zojuist getest, en wat denk je. Zodra de map versleutelt is (slotje is dicht) dan werkt de agenda niet. Krijg ik foutmeldingen. Zodra het slotje open staat heb ik nergens last van en werkt alles perfect.
Is mijn vraag, in hoeverre zijn m'n bestanden veilig wanneer het slotje open is?
-
Het is toch logisch dat niets er bij kan als hij op slot zit. En als hij open is, kan iedereen er bij. Ik zie het probleem niet.
Het versleutelen is er allen voor dat iemand die de nas steelt en de wachtwoorden reset, er nog steeds niet bij kan.
-
Maar wanneer het slotje open staat en iemand steelt de nas, kan hij wel bij de gegevens?
-
Als je automatisch laat koppelen bij opstarten, dan wel.
-
Verder zou het me logisch lijken dat een reset van het wachtwoord ook de mappen ontkoppeld. In de handleiding heb ik dat echter nooit expliciet kunnen vinden.
-
Lijkt mij niet logisch, je hebt immers de sleutel nodig van de versleutelde map.
Buiten dat, welk wachtwoord reset bedoel je ?
Kan het wel even testen.... ;)
-
Ik bedoel het admin wachtwoord.
Ik zou verwachten dat als je instelt dat de mappen weer automatisch moeten koppelen na stroomonderbreking, dit niet meer gebeurd als je het admin account reset. Maar of dat ook gebeurd?
-
Getest 1:
[attachimg=1]
[attachimg=2]
Reset gedaan: Het wachtwoord van de administrator en de netwerkinstellingen opnieuw instellen.
Als admin ingelogd zonder password.
Encrypted folder 2 is nog steeds op slot en kon met alleen de juiste sleutel weer mounten.
Test 2 volgt.
-
Test 2:
[attachimg=1]
2e reset wordt niet opgepakt.
Reboot gedaan, en gekeken naar map 2, die is van slotje af zoals verwacht.
Reset gedaan.
NAS uitgeschakeld en stroom er af (voor de zekerheid maar).
NAS opgestart.
Gekeken en slotje zit er op en vinkje automatisch mounten is weg.
[attachimg=2]
M.a.w., als je de reset uitvoert dan wordt het vinkje automatisch mounten ook weggehaald en is map 2 niet te mounten zonder sleutel.
Conclusie, wordt je NAS gejat dan heeft de dief geen toegang to encrypted mappen, tenzij de dief ook de <map>.key heeft b.v. je PC is ook gejat waarop de key staat, key(s) dus opslaan op een stick of SD-kaartje en veilig opbergen.
-
Grote dank Birdy voor de test. 👍
Dit punt baarde me nog een beetje zorgen omdat het nergens in de handleidingen vermeld werd. Dit zou wel het meest gewenste gedrag zijn, maar dat is geen garantie dat Synology dat ook zo geïmplementeerd heeft.
Het geeft me een rustig gevoel als ik die auto-mount feature aan laat. Bij een reguliere stroomstoring worden ze dan in elk geval weer automatisch gemount.
Dus nu moet de dief, de nas inclusief UPS jatten en zorgen dat hij constant onder stroom blijft. :P
(Of hij moet een administrator naam kennen en het bijbehorende wachtwoord kraken)
-
Encrypted folder 2 is nog steeds op slot en kon met alleen de juiste sleutel weer mounten.
Kun je beschrijven hoe je de sleutel toepast om hem weer te mounten?
Of bedoel je alleen het WW?
Ik heb namelijk geen beeld wat je moet doen als je data kopieert vanuit een versleutelde map (die data is dan encrypt neem ik aan) en dat je die data dan op een andere gedeelde map op dezelfde en/of andere NAS kunt zetten om deze weer te kunnen gebruiken (decrypt).
De ge-exporteerde sleutel en WW zijn dus beschikbaar.
-
@Robbedoes: Voor het kopiëren van data uit een versleutelde map hoef je niets te doen. Als gebruiker merk je niets van de versleuteling en gebruik je de shares als elke andere share. Vergelijk het met de harde schijf versleuteling op de mac via FileVault. Daar merk je als gebruiker ook niets van. Zeker als je de versleutelde shares weer automatisch laat mounten na een stroomonderbreking, heb je nooit meer echt door dat het er is.
Het gaat wel iets ten koste van de snelheid zodat je dit alleen wilt doen op 'gevoelige' shares en niet op video of muziek shares. En het is hogelijk jammer dat je niet de homefolder kunt encrypten, terwijl daar wel al je mail in terecht komt.
Op de mac kun je zelfs Filevault2 activeren en terwijl de harde schijf gecodeerd wordt, gewoon verder werken op je mac. Op de nas kun je niet achteraf een share coderen en dat zal wel de reden zijn dat de homefolder uitgesloten is. (Misschien ooit bij DSM 6.0 of 7.0 ? )
Dit soort versleuteling is er alleen om te zorgen dat als iemand fysiek toegang tot de nas heeft, hij nog niet bij de data kan. Als je de harde schijven uit de nas haalt en rechtstreeks via een PC uitleest, omzeil je alle beveiligingen van de nas. Ook kun je het admin wachtwoord resetten en kan elke dief ook bij de data van gewone shares.
-
Briolet, als ik je goed begrijp heeft de encryptie alleen invloed op de data in de ge-en-crypte map op de ene schijf.
Dus als ik de NAS daarvan een back-up laat doen naar een andere NAS dan wordt die data door de 1e NAS ge-de-crypt en dan verzonden naar de 2e NAS. Eventueel moet ik die naar een en-crypte map op de 2e NAS laten kopiëren als ik ze daar ook en-crypt wil hebben staan.
De encryptie sleutel en WW heb je dus alleen voor die specifieke map op de betreffende fysieke schijf nodig.
Begrijp ik dat allemaal zo goed?
-
Met een externe backup heb ik geen ervaring. Ik begreep wel van anderen dat het Synology backup programma de files in gecodeerde vorm backupped. Dus blijft dat wel encrypted.
-
Klopt, net even getest:
[attachimg=1]
[attachimg=2]
-
Bedakt voor de uitgebreide testen.
Inderdaad vervelend dat je de map waarin de mails bewaart worden niet kunt encrypte.. kan Synology hiervoor niets maken?
-
Dat moet je aan Synology vragen.
-
Klopt, net even getest
En wat met versleutelde mappen syncen via CloudStation?
Wordt de data - naast een ssl versleuteling op de verbinding - ook versleuteld over het internet verstuurd?
-
De clienten kunnen niets met versleutelde data, dus dat zal onversleuteld gaan. Alleen de ssl versleuteling van de verbinding als die aan staat.
De gebruiker zal de versleuteling, normaal gesproken,noot zien. Met als uitzondering dus de backup software, en waarschijnlijk ook de terminal.
Edit, even getest: De terminal ziet de files ook versleuteld.
-
Korte vraag tussendoor als het mag ?
Kun je 1 back-up taak op 2 verschillende locaties zetten?
Bijvoorbeeld back-up van de map photo's, op back-upbestemming volume 2 en een andere nas?
Met nee of ja ben ik al tevreden :)
-
Nee. ;)
-
Klopt, net even getest:
Ah, ze blijven dus toch ge-encrypt. Dat is wel mooi.
Maar hoe hier dan mee om te gaan als je ze wilt recoveren vanuit de 2e NAS nadat je NAS 1 hebt moeten vervangen?
P.S., Heb het zelf even geprobeerd naar de andere NAS te back-uppen, maar ik kreeg het niet voor elkaar een en-crypte map te back-uppen naar de andere NAS. de geen crypte map werd met melding de-geselecteerd.
-
Als je dan je restore van de backup hebt gedaan dan moet je de <map>.key (zie « Reactie #14 Gepost op: 27 september 2014, 13:22:11 » (http://www.synology-forum.nl/firmware-algemeen/mappen-versleutelen/msg126764/#msg126764)) importeren op de nieuwe NAS in Configuratiesscherm > Gedeelde Mappen (uit mijn hoofd).
P.S., Heb het zelf even geprobeerd naar de andere NAS te back-uppen, maar ik kreeg het niet voor elkaar een en-crypte map te back-uppen naar de andere NAS. de geen crypte map werd met melding de-geselecteerd.
Die begrijp ik niet, wat gaat er fout dan ?
-
Dat moet je aan Synology vragen.
Done :)
-
Als je dan je restore van de backup hebt gedaan dan moet je de <map>.key (zie « Reactie #14 Gepost op: 27 september 2014, 13:22:11 » (http://www.synology-forum.nl/firmware-algemeen/mappen-versleutelen/msg126764/#msg126764)) importeren op de nieuwe NAS in Configuratiesscherm > Gedeelde Mappen (uit mijn hoofd).
Heb je dan de key wel nodig, of alleen het WW? Je kunt namelijk alleen het WW invoeren als je een nieuwe en-crypte map maakt. Een andere key toepassen zodat de versleuteling van de oude map erop komt (en dus zou matchen met de data) werkt niet.
Ik heb om te testen een nieuwe map aangemaakt met een ander WW, ontkoppeld en de oude key geïmporteerd. Dan krijg je de melding dat het WW niet klopt. Het lijkt erop dat de key alleen een methode is om een WW aan iemand te geven zonder het WW zelf kenbaar te maken.
Als je dus het WW weet hoef je de key helemaal niet te hebben?
En hoe pas je dat dan op de te restore data toe? Ontkoppeld is de map niet beschikbaar en gekoppeld zal hij opnieuw de nieuwe encryptie op de geencrypte data toepassen. Echt duidelijk is het niet en het is wel zaak om te weten of je überhaupt iets aan de gekopieerde geencrypte data hebt.
P.S., Heb het zelf even geprobeerd naar de andere NAS te back-uppen, maar ik kreeg het niet voor elkaar een en-crypte map te back-uppen naar de andere NAS. de geencrypte map werd met melding de-geselecteerd.
Die begrijp ik niet, wat gaat er fout dan ?
Misschien onvoldoende aandacht bij het maken van de taak gegeven. Ik ga van de week nog even testen en kom er dan op terug.
-
Ik heb getest op m'n TEST DS111:
1 - Back-up gemaakt.
2 - Standaardinstellingen herstellen gedaan.
3 - DSM 5.1 geinstalleerd.
4 - Back-up herstellen gedaan incl. Systeem Configuratie herstellen.
5 - Gecodeerde Map koppelen met coderingssleutel (zonder importeren), de Map is open.
Dus, dat werkt zonder het importeren van de coderingssleutel.
Zal het nog eens testen maar dan zonder Systeem Configuratie herstellen om te zien of die coderingssleutel meegenomen wordt in de Systeem Configuratie backup-up.
-
De punten 2,3,4 (zonder Systeem Configuratie herstellen.) en 5.
Map is open.
Dus, dat werkt ook zonder Systeem Configuratie herstellen en het importeren van de coderingssleutel.
Nu ontgaat het mij dus ook eigenlijk (op dit moment) waarom je die <map>.key zo goed moet bewaren. ::)
Als je de sleutel weet is het eigenlijk al voldoende.
-
Ik heb dat van die key ook nooit zo goed begrepen. Het is waarschijnlijk de 'ge-hashte' versie van het wachtwoord. Voor het mounten heb ik altijd gewoon het wachtwoord gebruikt en niet de key. Ook kun je elke keer weer de key exporteren als je het wachtwoord opgeeft.
Tenzij die hash anders wordt als je de schijven ooit in een nieuwe nas stopt. Alleen dan kan ik me voorstellen dat de sleutel wel belangrijk wordt.
-
Ik heb het ineens door ::) waarvoor die <map>.key is en het is eigenlijk heel simpel (achteraf).
Je kunt n.l. mounten met die <map>.key (importeren) wanneer je de coderingssleutel (dus password in feite) niet meer weet. (GETEST) 8)
Dus, je kunt op 2 manieren mounten:
1 - Ingeven de key
2 - Import de key
:lol:
-
Staat verdorie ook nog eens vermeld (niet al te duidelijk misschien) in de help ::)
Note:
It is very important to remember the encryption key. It is strongly recommended that you export and save the encryption key. If you forget or lose the key, there is no way to rescue the encrypted data.
RTFM :lol:
;)
-
Dat moet je aan Synology vragen.
Done :)
There is an answer
Dear,
First of all, I would like to thank you for your interest in our products.
That's correct that the mails are in the map "home" as it's for private use.
Therefore, the mailserver don't allow you to change the destination folder.
I will forward your request to our R&D. They will gather and document all requests, and take them into consideration while developing the next version of DSM.
If you have any further questions please do not hesitate to contact us.
Kind regards,
Ar
-
De punten 2,3,4 (zonder Systeem Configuratie herstellen.) en 5.
Map is open.
Bedankt voor het testen. Kun je nu de eerder ge-encrypte data uit de back-up weer normaal beschikbaar krijgen? Dat is the burning question. ;)
-
Als eenmaal ooit een map encrypted is en of deze nu van een backup af komt of niet, de map blijft altijd encrypted (als je niet encryped, normaal bedoelt).
Dus, het antwoord op the burning question is, nee.
-
Sorry als ik onduidelijk was.
In de 2e foto van je post (http://www.synology-forum.nl/firmware-algemeen/mappen-versleutelen/msg126906/#msg126906) liet je zien een back-up uit een ge-encrypte map zien in een gewone map op een andere NAS. Het gaat erom die data weer beschikbaar te krijgen.
-
Encrypted data in de backup map dus, @2@ kun je niet beschikbaar krijgen zonder eerst een restore te doen en daarna weer te koppelen m.b.v. de key.
-
Ah, via restore. Dat heb ik net getest (intern op de zelfde NAS) en dat werkt inderdaad.
De gewiste en-crypte map wordt weer aangemaakt en je kunt via het WW de map weer open maken waardoor de data bereikaar is.
Even voor de zekerheid:
Wil je ook een restore testen uit een (2e) NAS vanuit een geheel nieuwe NAS?
Zoals bijvoorbeeld je nu bron NAS geheel vers is en er geen back-up taken gedefinieerd zijn of referenties van eerdere back-up's aanwezig zijn?
-
Wil je ook een restore testen uit een (2e) NAS vanuit een geheel nieuwe NAS?
Volgens mij heb ik dat toch 2x gedaan ?
Die "nieuwe" is dan m'n DS111 en de restore doe ik vanaf de DS111.
Of begrijp ik je weer niet ;)
-
Ik had niet door dat je met een restore en back-up herstellen hetzelfde zei.
Dat komt waarschijnlijk omdat ik het beeld had om de back-up met de hand terug te zetten en dat gaat niet als je die vanuit een en-crypte map back-upt
Nooit meer aan de ingebouwde functie gedacht om het terug te zetten.
Nou, weer iets geleerd om nooit meer te vergeten. :P
Bedankt.
Morgen nog eens kijken waarom die remote back-up niet lukte.