Posts by habichthugo

    Naja, da hilft im Zweifelsfall auch absolut zuverlässig die Hammermethode. Ich rede hier von Otto-Normalverbraucher, für den ein NAS wie meines ja wohl primär gedacht ist. Da sollte die Sicherheit soweit als möglich ootb vorhanden sein, ohne kniefizlige Zusatzorgien. Nebenbei verringert Komplexität neben der Zuverlässigkeit auch die Sicherheit.

    Wie es ohne Zusatzbrimborium prinzipiell ginge habe ich ja schon geschrieben: Schlüssel über Hashes (+ Salt (+ Pepper)) der Passworte verschlüsselt ablegen. Dann noch über (Default) Passwortregeln sichere Passworte erzwingen. Fertig!

    Aber ist halt nicht so. Ich packe mein NAS jetzt entweder mit hinter die Kaminklappe in den Kaminschacht, den ich ohnehin für die Steigleitungen nutze, oder hänge einen Stick via USB im Nachbarraum daran. Da liegt noch eine USB-Verlängerung aus Zeiten, wo ich meine Heizungsanlage via USB-Karte und i386-Desktop aus dem Nachbarraum gesteuert habe...

    Wenn Du einen USB Stick als Speicher für den Schlüsselmanager definierst ist zumindest eine Anforderung erfüllt. Die Keys liegen nicht mehr intern auf der Synology.


    Folgendes grobes Vorgehen:

    ...

    Ehlich gesagt: Ich versteh kein Wort. Wo ist der Unterschied, ob die Schlüssel nun auf dem USB-Stick liegen oder der Platte, wenn ich bzw. der Dieb beides haben?

    Mein NAS dient nur zur Bereitstellung von Shares, u.a. um unsere Bilder auf mehrere Laptops zu synchronisieren. Terminalzugriffe, aus dem Internet u.ä. sollte nicht möglich sein. Aber bei meiner Blickung….

    ...also back to the roots...

    Daher als Rechnerschlüssel anlegen, diese funktionieren nur auf Deiner spezifischen Synology, dann auf einem USB Stick ablegen. Selbst wenn Du den Stick nun immer drin und vom Schlüsselmanager automatisch un-mounten lässt, muss jemand erstmal noch über Deine sicheren Zugangspasswörter zur Synology reinkommen.

    Das wäre jetzt eine Variante, wo das NAS ohne weiteres Zutun nach einem reboot (autoupdate, Stromausfall) wieder mit entschlüsselten Ordnern hochkommt und ein Dritter dennoch nur über reguläre Accounts (Passwörter) an die Daten kommt?

    Wenn ich den Schlüssel nehme und z.B. per xor mit einem Passwort falte und dann speichere, kann ich den Schlüssel dann daraus ohne das Passwort wiederherstellen (mit nochmal xor)? Und kann ich das prinzipiell für alle Schlüssel / Passworte (Accounts) des NAS tun? Ich sage ja nicht, dass es so gemacht wird. Nur das es möglich ist auf diese oder ähnliche Weise die Schlüssel so sicher direkt auf der Platte abzulegen, wie die Passworte sind. Vielleich haben die Dinger aber auch ein Stück spezielle Hardware dafür, dass Account bzw. Passwort - Schlüsselpaare annimmt und die Schlüssel nur gegen Passwort wieder herausgibt. Oder wer weiß was sonst.

    Mal sehen, ob sich der Support von Synology zu dem Thema bei mir noch rührt.

    Also m.E. legt man Schlüssel auf dem Gerät nur ab, wenn diese durch eine weitere Instanz (TPM), Eingabe (Passwort/PIN) oder Aktion (Einstecken USB Stick, Smartcard etc.) bei jedem Start freigeschaltet werden müssen.


    Eine Entschlüsselung ohne weitere schützende Abfrage der Keys kann nicht sicher sein, da kannst Du Dir die Arbeit auch direkt sparen, unabhängig davon ob Synology das genauer spezifiziert oder es Deiner Meinung nach sogar fehlerhaft implementiert/dokumentiert hat.


    Ich gehe sogar soweit zu sagen Du bist für den sicheren Betrieb Deines NAS verantwortlich, nicht der Hersteller. Wie auch ich für mein NAS, btw. auch eine Synology DS, meine PCs, meine Smartphones ...

    Aber das geht doch, wie ich schon mehrfach sagte. Du kannst die Schlüssel doch über die Passworte der Accounts falten. Ohne Kenntnis mindestens eines solchen Passworts kannst du dann den Schlüssel nicht wieder herstellen. Die Frage ist schlich, ob das auch so oder ähnlich gemacht ist. Nichts anderes möchte ich wissen. Denn dann kannst du dir allen weiteren Zinoba sparen.


    M.E. kann das gar nicht anders sein, weil dieses Feature sonst gar keinen Sinn macht bzw. es gerade zu fahrlässig wäre, sowas anzubieten, ohne dann eine dazugehörige Zusatzsicherung erzwungen oder auf deren Verwendung wenigstens explizit hingewiesen wird.


    Egal, lassen wir das rumspekulieren. Es weis hier offenbar keiner, wie es wirklich gemacht ist. Schon gar nicht mit hieb und stichfestem Quellenverweis.

    Ok, dass wird dann auch heftiges gebastel. Und die zunächst mal für mich interessanteste USB-Variante von Jansjö hat anscheinend einen Hotspot. Na mal gucken...

    Ok, aber nun siehst Du ja klar und wie Du es mit der vorhandenen DS116 umsetzen mußt :)

    Ne, klar ist das erst, wenn Synology klar sagt, wie die Schlüssel abgelegt sind. Oder das jemand reengineerd ;.)

    Ich unterstelle einfach mal die haben "Standard-Samba" drauf.

    Das mag sicher sein solange man davon ausgeht das ein Dieb nicht an das Betriebssystem rankommt. Ich weiß nicht wie schwer das auf so einer Synology wirklich ist aber ich unterstelle einfach mal das man mit nur etwas Wissen über Embedded-Linux recht einfach drankommt.

    Kurze Google-Suche hat zumindest schonmal bestätigt das die u-boot verwenden. Damit bekommt man ziemlich sicher einen Boot via TFTP hin und von da aus kann man dann auch das eMMC mounten.


    Kommt natürlich immer drauf an was du ablegen willst. Im Prinzip könntest du Daten ja auch schon auf deinem PC verschlüsseln und die verschlüsselte Datei auf das NAS legen.

    Wäre eigentlich egal, wie man sich reinhackt. Wenn die Schlüssel z.B. über die Passworte gefaltet abgelegt wären, dann wäre das etwa so sicher wie das schwächste Passwort.


    edit: Meine Laptops sind mit Bitlocker (ohne TPM) verschlüsselt (und haben ein Systempasswort). Wüsste nicht, wie ich die Daten direkt so verschlüsselt aufs NAS bekäme.

    Also ich verstehe Dich nicht, ...

    Was nicht? Dass ich zunächst mal wissen will, wie es denn nun wirklich ist?


    Es gibt ja durchaus auch die Meinung, dass es ohne weiteren Aufwand sicher ist, wenn man nicht an die Nutzerkonten kommt. Mal einen beliebigen Artickel dazu:

    Synology DSM 6.0: Verschlüsselte Ordner erstellen

    "Lasst ihr aber immer automatisch einhängen, so ist vielleicht das Nutzungsszenario „Gegen Diebstahl Daten sichern“ sinnlos, wenn der Angreifer vielleicht auch Zugriff auf euer Nutzerkonto oder einen PC hat. Solltet ihr mit einrechnen. Wenn schon sicher, dann bitte nicht nur das eine Gerät, sondern auch jenes, über welches zugegriffen wird."


    Schade, dass Synology das nicht explizit klar stellt.

    sind die Teile ja, kann man vielleicht nicht so genau sehen, aber vor den 1W LEDs sind dann solche Teile hier --> https://www.leds.de/ledil-satu…ert-fuer-osram-60611.html

    vorgesetzt. Ich habe solche Teile direkt über meinem Wohnzimmertisch, die beleuchten punktgenau nur den Tisch, alle die drumherum sitzen, bekommen somit kein Streulicht ab und können gut fernsehen.


    Du kannst aber auch sowas nehmen ;) --> https://www.light11.de/ares/spock-130-spot-led-20grad.html

    Letzteres kommt ja alleine von der Bauform her nicht in Frage. Wird wohl auf einen Eigenbau mit LEDs + Lise(n) hinauslaufen, wobei mir das ein bisserl voodoo scheint, welche Linsen zu welchen LED-Bauformen passen. 1W-LED-Module (3000K, 100lm, 120Grad, 350mA (3.2V)), habe ich einen ganzen Haufen rumfliegen. Vier davon mit passender Linse sollten reichen, um (jeweils einzeln) die ganze Couch 'dünn' auszuleuchten. Aber welche Linse...

    Bzgl. fertiger Leuchtmittel (primäer GU5.3 bzw. 12V) bin ich extra mal durch die Nachbarschaft gespeikt, habe aber keine Type gefunden, die halbwegs homogen und konzentiert abstrahlt. Dazu meist viel zu hell und meist nicht dimmbar...

    Vom Prinzip schon. Aber alle solche Leuchtmittel, die ich bisher finden konnte, haben schon mal keinen scharfen Lichtkegel. Sieht man eigentlich schon am Aufbau. Ich habe schon ein paar davon getestet. Das hier wäre dann auch noch viel zu hell, müsste also zusätzlich dimmbar sein. Die Farbwidergabe ist schon angegeben mau, der Preis ein Witz...

    suche mal nach passendem Leuchtmittel Spot 20° bsw. sowas --> https://www.amazon.de/OTL-Spot-GU10-3200K-Grad/dp/B008EHUDGC

    Dito.


    Es wird wohl eher was mit dezidierter Linse werden müssen, also Richtung Bühnenspot. Die sind aber viel zu fett für meine Anwendung und meist noch viel focussierter...

    Die typische Linux-Festplattenverschlüsselung arbeitet z.B. mit einem (relativ langen) Key der dann mit einem individuellen Passwort nochmal verschlüsselt ist. Du musst erst durch Eingabe deines Passworts den eigentlichen Key "entsperren".

    Ja eben, und so oder ähnlich hätte ich das erwartet: Der Schlüssel wird über die Passworte der autorisierten Benutzer gefaltet gespeichert, keinesfalls im Klartext.

    Der Schutz ist im Fall eines Diebstahls davon abhängig das dem Dieb etwas fehlt das er zum Entschlüsseln braucht.

    Wäre dann das Passwort mindestes eines autorisierten Accounts.

    Schade, dass das Synology nicht irgendwo mal klarstellt, wie es denn nun tatsächlich ist.

    In Firmen werden Ablagen eher selten verschlüsselt. Hier läuft alles über Zugangsberechtigungen. Der Admin kann aber meist alles lesen.


    Wovor soll dich die Verschlüsselung schützen? Wenn alles automatisch geht und jemand das ganze NAS klaut dann ist die Verschlüsselung für'n Arsch.


    Edit: Eigentlich doch ganz logisch: Der Schutz ist im Fall eines Diebstahls davon abhängig das dem Dieb etwas fehlt das er zum Entschlüsseln braucht. Der USB Stick bringt also auch nur dann was wenn er nicht direkt neben dem NAS liegt.

    Die Verschlüsselung soll davor schützen, dass jemand an die Daten kommt, der das NAS geklaut hat. Wozu sonst? Ok, nett noch, dass man die Platte dann auch einfach so reklamieren oder wegwerfen kann...

    Bei normalem Zugriff, über LAN, sollte alles ausreichend über die Zugangsberechtigungen geschützt sein. Es geht wirklich nur darum, das jemand die Platte(n) 'nackt' beackert. Wenn man so die Zugangsberechtigungen umgehen bzw. die Schlüssel direkt auslesen kann macht die Verschlüsselung keinen Sinn. Und genau deswegen will mir nicht in die Rübe, dass dem so sein soll.

    Leider krige ich von Synology selbst keine Antwort dazu.

    Also, mein NAS läuft 24/7 und wird auch von anderen Familienmitgliedern benutzt, die von diesem Zinoba keine Peilung haben. Letzlich ähnlich wie in einer Firma. Nach einem automatischen Update oder Stromausfall sollte das NAS bzw. die Shares also tunlichst ohne mein Zutun (USB-Stick anstecken) wieder verfügbar sein. Dafür muss es doch ein Lösung geben. Synology wirbt für die grösseren Modelle ja auch explizit mit Buisinesseinsatz. Da muss dann für jeden Reboot ein Admin an der Kiste sitzen und mit 'nem USB-Stick jonglieren? Es will mir einfach nicht eingehen, dass das nicht schlauer gelöst ist.

    Wenn sich das Ding "entschlüsselt" ohne das du einen Key manuell eingibst, dann kann der auch ausgelesen werden. Oder der "Dieb" nimmt das Ding einfach ganz mit, startet es und liest es über LAN aus.


    Die Windows-Verschlüsselung gibt es durchaus auch mit Passphrase. Muss dann beim Booten eingegeben werden. Ohne die ist es dann aber ähnlich. Alles was sich einfach so entschlüsselt kann nicht sicher sein.

    Ja, bei meinem Win10 habe ich das so eingerichtet, dass der Rechner nicht ohne so ein Passwort gestartet werden kann. Aber auch da müsste der eigentliche Schlüssel doch dann irgendwo auf der Platte gespeichert sein und sich auslesen lassen, wenn man diese ausbaut. Oder er ist halt über das Passwort gefaltet und damit ohne dieses nicht wieder herstellbar. Das gleiche hätte ich dann auch auf dem NAS erwartet, sonst macht die Verschlüsselung dort ja gar keinen Sinn.

    Ich habe jetzt wieder einen Beamer im Wohnzimmer und möchte bei beamen noch etwas Licht auf die Couch bringen, mit möglichst wenig Streulicht. Dazu bräuchte ich im ersten Ansatz Leuchten/Leuchtmittel an der Decke, mit einem Abstrahlwinkel von ca. 20 Grad, direkt von oben, auf den Sitzbereich. Ich habe das mal mit vorhandenen LED-Taschenlampen getestet und das wirkt schon ganz gut. Aber ich finde keine richtigen Leuchten/Leuchtmittel, die dafür geeignet sind, vorzugsweise noch mit Kleinspannung (12V) betrieben...

    Ich habe ein Synology DS116 und dort von Anfang an alle Ordner mit Verschlüsselung angelegt. Ein Bekannter meinte nun, das bringe nicht wirklich was, denn jeder mit etwas Ahnung, der das NAS in die Hand bekäme, könne dort die Schlüssel problemlos auslesen. Was ich dazu bisher ergoogelt habe scheint das zu bestätigen. Aber wozu wird das dann überhaupt angeboten?


    Win10 müsste ja das gleiche Problem mit auslesbaren Schlüsseln haben, bei (ohne TPM) verschlüsselter Systempartition. Hierzu kann ich aber nichts finden, was in diese Richtung weist...?!

    'Geholfen' hat bei mir letztlich, einen Film mit mp3-Ton unter Kodi abzuspielen und Kodi währendessen gen VDR zu verlassen. Das ist bei mir reproduzierbar: Gehe ich aus einem Film mit DTS zum VDR geht im VDR der PCM-Stereo-Ton nicht mehr (auch über Systemneustart hinaus). Sobald ich unter Kodi wieder einen mit mp3-Ton anspiele geht's im VDR wieder. Andere Ton-Folge-Kombies habe ich nicht getestet. Komisches Phänomen.

    Ich bin jetzt erst mal für 'ne Woche vermilchreist...

    Bei mir ist neuerdings auf allen TV-Kanälen und Aufzeichnungen mit PCM Stereo der Ton weg. DD (AC3), DTS usw. geht aber weiterhin wunderbar. M.E. ist das so, seid ich unter Kodi einen Film mit DTS geguckt habe. Die Tonausgabe im VDR bzw. WFE ist (nur) auf HDMI gestellt, unter Kodi dito. Ansonsten alles auf passthrough. Herunterfahren des VDR und Neustart hilft nicht. Woran könnte es liegen?