iPhone.cz - fórum

OK, ja by som tie disky nechal zašifrovať truecryptom, prípadne by som tie šifrované partície zaplnil balastom a poslal by som ich honza.mac nech mi vytiahne čo tam bolo.

Takže to funguje tak, že obsah na disku zašifruješ a potom zmažeš? A síce sa ti ho podarí obnoviť, ale nič z toho neprečítaš?
Ak je to tak, tak škoda že som o tom nevedel. Ja som disk už zmazal. Takže tento krok by sa vzťahoval už len na nové dáta? Alebo ho môžem zašifrovať aj teraz? Ale čo potom nový majiteľ? Dostane nepoužiteľné zariadenie, alebo ako to je?

Mohlo by byť riešením do budúcna, že zložku/y ktoré sú pre mňa cenné nastavím v NAS ako šifrované?

Zašifrovaný disk sa bez znalosti hesla tvári ako disk prázdny. T.j. si ho inicializuje/preformátuje a funguje.
Disk sa dá aj teraz zašifrovať, keď do toho niečo nahráš - len sa zvyšuje počet prepisov. Truecrypt pri kryptovaní kompletne disk prepisuje sektor po sektore. Pri veľkom disku to trvá niekoľko dní.

Tak sa s tým ešte skúsim pohrať.

Čo sa týka teraz môjho aktuálneho NAS. Keď som vytvoril šifrovanú zložku, tak po jej zmazaní z nej nebude možné obnoviť dáta. Správne? Resp. nebude to tak jednoduché, ako keby šifrovaná nebola.

no moj laicky pohlad, ak si mal na disku data nesifrovane, prepisal si ich hociaj sifrovanou kopiou, tak tie zmazane obnovit aj tak ide.

princip je v tom, ze uz novy disk zalozis ako sifrovany a zvysis si tym bezpecnost.

no moj nazor je, ze ten disk podla opisu obsahoval prakticky nezaujimave data a majitel disku mal len nie moc dobry napad zinkasovat peniaze za pouzity disk. Uz toto indikuje ze tie data mu nestali ani za tu sumu pouziteho disku ;-) ak by boli drahsie, disk rozbije alebo odlozi ako zalohu pri vypadku inych diskov.
Alebo inak, ta paranoja je dobra, len ju mal smerovat do rozhodnutia disk nepredavat :-)

No veď laicky sa už nebavme - aká je štatistika obnoviteľnosti po prvom, druhom, treťom kompletnom prepise dát?
Ja by som disk tiež nepredával.

Edit: Inak. Ak by to fungovalo tak, že po prvom prepise je úspešnosť 100%tná - prečo by som na 3 TB disku nemohol mať 2x3TB filmov?

dobra otazka :)

speedman: Zaujímavá úvaha

A tento môj dotaz? Je to teda takto správne?

mirmo80 píše:Čo sa týka teraz môjho aktuálneho NAS. Keď som vytvoril šifrovanú zložku, tak po jej zmazaní z nej nebude možné obnoviť dáta. Správne? Resp. nebude to tak jednoduché, ako keby šifrovaná nebola.

bude mozne obnovit zasifrovane data.

Áno, tak som to myslel, obnoviť pôjdu no budú šifrované.
Super, tak dík všetkým za reakcie.
m

No konečně !
Šifrovat šifrovat šifrovat !
Je to jako s routery, 90% jejich uživatelů má pro admin routeru username a password v defaultu.

Jj, pochopil som. Len asi tušíte, čo som urobil ešte skôr ako som vytvoril šifrovanú zložku . Samozrejme že som si všetky fotky nahral do bežnej a až teraz ich kopčím do šifrovanej . Takže som tam kde som bol. Ale neva, prišiel som zase na niečo nové.

Ešte predsa len jeden dotaz. V NAS je možné mať uložený šifrovací kľúč v správcovi kľúčov aby sa dalo nastaviť, že šifrovaná zložka sa má po reštarte NAS tiež pripojiť. Je to takto ok, alebo som potenciálnemu útočníkovi rovno dal "kľúče" od inak zamknutej časti? Teraz nemyslím napr. to, že formátujem disk a budem ho predávať (aj keď aj pri tomto by ma to zaujímalo). Ale napr. situácia, že disk niekto ukradne a pripojí k svojmu PC.

Teraz už netoretizujem aká je pravdepodobnosť, ale zaujíma ma ako to funguje.

https://www.synology.com/cs-cz/knowledg ... ey_manager

Jak silné máte heslo admin účtu NASu ?
Jak často jej měníte ?

Od té doby (a je tomu už několik let), co mám 1Password, používám hesla tak silná, jak je to jen možné.
Disk v Macu (i externí) zašifrované, disky v PC na firmě zašifrované ještě před naběhnutím systému http://tinyurl.com/y4lqo923
Někdy jsem asi trochu paranoidní, stojí to i nějaké peníze, ale každopádně jsem o něco klidnější.
edit: A Honza má naprostou pravdu - absolutní většinu uživatelů vůbec nenapadne si změnit přístupové údaje k routeru, alespoň z mé skromné zkušenosti v řádu desítek známých to potvrzuju, často na mě koukají, o čem že to vlastně melu.

honza.mac píše:Jak silné máte heslo admin účtu NASu ?

Veľké, malé písmená, čísla, znak

honza.mac píše:Jak často jej měníte ?

Heslo som nikdy nemenil.

honza.mac píše:https://www.synology.com/cs-cz/knowledgebase/DSM/help/DSM/AdminCenter/file_share_key_manager

Toto sa mi nejako nedarí. Nech hľadám ako hľadám, tak neviem vybrať iné umiestnenie úložiska kľúčov ako je systémový oddiel. Neviem to nijako zmeniť. Keď som úplne prvý krát vytváral šifrovanú zložku, tak mi to povedalo, že som ešte neinicializoval úložisko kľúčov. Tam som to zrejme nastavil, ale ja by som to teraz chcel zmeniť a neviem to nikde nájsť. Dá sa to? Aktuálne už môžem len ukladať kľúče a spravovať ich.

@mirmo80 : Pokud budete mít silné admin heslo které budete pravidelně měnit tak bych klíčenku nechal tam kde je.
On Synology DSM je silný “operační systém”.

Jasan, oki. Mňa skôr viac ako to, že to neviem zmeniť, štve že tú možnosť neviem nájsť.

Škoda, že vo svojom notebooku nemôžem mať 1Password. Ako píše Jirka_S bolo by to s heslami o dosť jednoduchšie.

tak to nie je “tvoj” laptop :)

Áno, správne . Spresním - užívateľsky môj . Ale opýtam sa na IT, možno nebudú proti.

Ale aby som nebol OT, tak doplňujúci dotaz k správcovi kľúčov. Keby som napr. HDD posúval ďalej (nemám v pláne ale bavme sa hypoteticky). Aktuálne mám *.key v správcovi kľúčov aby som vedel pripájať šifrované zložky po reštarte NAS. Keď pred predajom HDD kľúč zo správcu odstránim, formátujem disk, potenciálny užívateľ obnoví šifrované dáta, dokáže obnoviť aj *.key ktorý bol v správcovi kľúčov?

Edit: ak by niekto chcel vedieť ako spravovať úložisko správcu kľúčov tak support Synology poradil . USB kľúč, resp. externé úložisko, treba pripojiť do NASu. Ja som robil tú chybu, že som USB kľúč pripájal k ntb. Keď som ho zapojil do NASu tak sa objavil ako možnosť medzi možnosťami úložiska kľúčov. Vybral som ho, zahesloval a uložil na neho *.key k šifrovanej zložke. Teraz keď chcem konfigurovať správcu kľúčov tak prvé čo pýta je heslo - iné ako do šifrovanej zložky. Zároveň som tejto "USB zložke" nastavil že ju v sieti nevidno a zakázal som práva všetkých užívateľov.
Pre mňa dôležitá zložka je šifrovaná. Kľúč k nej nie je priamo v NAS no je dostupný v prípade reštartu a zároveň je chránený ďalším heslom. Myslím, že takto je celkom ok.

To šifrování složek v NASu mi stejně přijde zbytečně složité a uživatelsky nepříliš přívětivé. Hesla, klíče, systém, USB atd., proč to neudělat podobně jako v Macu?

Keď to teraz hodnotím spätne, tak vytvoriť šifrovanú zložku v podstate nie je problém. Skôr ma trošku potrápilo ako to funguje s kľúčom.

Neviem ako je to na Macu - nemáme zatiaľ

Na Macu se šifrování disku provede jedním zaškrtnutím.
Můžete mi prosím polopaticky vysvětlit, proč teda ten klíč má být na USB, co vlastně ten klíč dělá, co se stane, když to USB zařízení ztratím nebo se stane nečitelným?

Tak tu je to +/- o jeden klik na viac pri vytváraní zložky.

Ja riešim toto. Ak si NAS po reštarte vie sám pripojiť šifrovanú zložku, tak to znamená, že kľúč k "odomknutiu" je uložený niekde na tom istom disku. Inak by nešlo pristupovať do nej ihneď po zapnutí. Ak by som niekedy v budúcnosti disk zmazal a predával ho, tak len laicky uvažujem že pokiaľ si niekto obnoví moje zmazané šifrované zložky, tak si logicky obnoví aj key ktorý do nich odomykal prístup. Neviem či je to tak, uvažujem len logicky no zároveň laicky. Takže pre môj "kľud" mám "kľúče od zamknutého auta nie v zámku na parkovisku, ale u seba doma"
Teoreticky nepotrebujem aby bol key na disku. Ale problém je potom v tom, že sa šifrovaná zložka nepripojí automaticky po reštarte NASu. Ja chcem aby sa pripájala. Ak USB stratíte nič sa nedeje. Stále viete heslo k zložke a pripojíte ju ručne. Nový key si viete po prihlásení znovu vyexportovať. Čiže chcem aby sa zložka pripojila sama, no zároveň chcem aby bol key niekde mimo .

Prosím, neriešte ma, že to už preháňam a zbytočne riešim už nepodstatné detaily. Mňa to v prvom rade baví

Tak jak bych začal ...
Pokud je klíč uložený na systémovém oddíle DSM je chráněn a zašifrován systémem DSM OS.
Jde o to že si DSM vytvoří svůj vlastní oddíl na HDD, vždy na prvním, kam se nainstaluje. Myslím že do verze DSM 5 to byl ext4 a ve verzi DSM 6 už je to XFS, možná ReiserFS.
Tyto systémy jsou sami o sobě šifrované docela slušně, Linux OS.
Člověk který by do ruky dostal takový HDD by musel prolomit admin heslo aby získal přístup k struktuře FS.
Je to zdlouhavé a moc pracné. Certifikáty obecně se ukládají do šifrované části/adresáře, vychází to z filozofie unix systému.
Takže kroťte paranoiu.
Nejhorším zlem na Synology DSM je jejich Quick Connect.
Nejsem CEO Synology ani pracovník jejich podpory, zatím.

Mozes strucne ozrejmit ten Quick Connect? Ide len o zlo z podstaty veci ci sa este nieco pridalo?

@honza.mac: super, to su presne tie informacie ktore som nemal. Takze zaklad je najma silne admin heslo. Spravne?

Este dotaz prosim: ako sa tvari takto vybraty disk z NASu po pripojeni k PC? Da sa hned pristupovat do zloziek ktore su na nom?

Quick Connect nemam ani ja povolene. Jednak nepotrebujem a jednak presne preto ze je to z vonku cez niekoho. Netvrdim ze Synology nedoverujem ale kym nepotrebujem tak nepouzivam.

rony píše:Mozes strucne ozrejmit ten Quick Connect? Ide len o zlo z podstaty veci ci sa este nieco pridalo?

Ano, aby mi něco nad čím nemám kontrolu, protunelovalo síť za NATem bez nutnosti mít veřejnou IP od svého ISP je z principu špatně.
Další věc na QC je ta že v podmínkách musím odsouhlasit odesílání Synology diagnostická data a seznam uložených souborů, byť strohý ve formě nějakého xml souboru ale co je Synology do toho co mám na NASu uložené.

@mirmo : Ano silné heslo, u mě 15 znaků kombinace písmen, čísel a znaků.
Pokud disk připojím k PC (macOS, Windows) složky nebudou vidět a bude to chtít disk inicializovat jelikož to nebudou umět přečíst.
Jedná se totiž buď o ext4 nebo Btrfs, záleží jestli máte 1, 2 či více diskový NAS a jestli ho provozujete svazek na SHR nebo čistém RAID1.
Na stránkách Synology je seznam zařízení která Btrfs podporují, třeba moje DS218 ano, DS216play ne.
Pokud ale připojím hdd z NASu v linuxu tak abych se k file systému dostal potřebuji heslo admina.

No tak toto je super diskusia
Dakujem

mirmo, pokial chapem dobre QC, tak je to takto:

1. Synology robi hlavne sluzbu dynamickej DNS (paruje IP adresu tvojho NAS s domenovym menom)
2. akonahle das v prehliadaci domenovy nazov tvojho QC, tak uz nasledne to chodi priamo k tebe
3. pri tak rozvinutej paranoji je vhodne uz len skutocne VPN (nie tie srandy typu Nord)
4. ak sa s tym chces zabavat (akoze zabezpecovaniu), tak je asi lepsie nenechat to len na realizaciu toho, co ta napada ako spravne chovanie (v zmysle bezpecnosti) ale skusit nahladnut na security trosku odbornejsie. Vyhnes sa tomu, ze venujes cast viacmnej nedolezitym detailom, ktore povazujes za dolezite ale netusis o inych miestach :-) No je to vcelku narocny odbor :-) bezny poweruser robi najlepsie ak pocuvat odbornikov, ktori dokazu polopate vylozit zakladne zasady. ;-)

Sifrovanie je teda nie zamedzenie "ukradnutia" dat ako takych. Neviem to popisat nejako trefne ale povedzme, ze dom je NAS.
Sifrovanie je to, ze ked vlezies do izby, nevidis tam nic zrozumitelne, vsetko je pomlete na drobne casti.
Len majitel ma nejake zazracne tlacitko, ktore ked stlaci, tak sa tie dieliky usporiadaju.
Lenze sifrovanie neriesi to, kto sa do baraku dostane. To maju na starosti mur, dvere, alarmy, kamery a gulometne hniezdo na dvorku :-)
Preto ten sifrovaci par vlastne aj moze byt ulozeny v izbe. No heslo k nemu nesmie byt nakreslene na stene ;-)

Snad som to prikladom nezvrtal este viac ;-)

Dobry priklad rony Presne takto tomu rozumiem (zacinam rozumiet ). Ja skor neviem ako tie veci funguju technicky tj. napr. to pridelovanie IP a ze to potom ide priamo ku mne a pod.
VPN poznam, rozumiem tomu, pouzival som aj sukromne. Kedze aktualne QC neplanujem, zatial neriesim ani VPN.
Aktualne teda mozem byt kludny. Veci v mojej izbe vidim v celku iba ja a heslo k tlacitku mam silne.

to pridelovanie je relativne jednoducha finta a pomerne bezpecna. ide len o tvoju doveru prevadzkovatelovi dns
a tym je Synology. Klient posle totiz dotaz do dns aby mu k menu v URL povedal IP adresu.

No a potom uz ide komunikacia napriamo na tu IP adresu.

No a NAS raz za cas odosiela IP adresu do DNS servera firmy Synology - lebo tvoj provider ju meni raz za cas.

Na NAS bezi webserver s rozhranim.

QC pouzivam raz za cas napr na upgrade NAS (radsej vtedy ked nie som doma).
Da sa planovat kedy to bezi.
Vacsinou si NAS nahram subory, ktore potrebujem inde a cez QC si ich stiahnem.

Oki, dobre vediet ak budem niekedy potrebovat.

@mirmo80 : Věřte že nebudete. S vaší paranoiou nebudete, tak jako já.
Raději veřejnou IP a VPN Plus server na Synology routeru.

No tak toto znie ako velmi sikovne riesenie.

Akorát O2 už chce za veřejnou IP adresu přes 250,- měsíčně.

Ale zase VPN mam potom svoju, cize tam sa to moze vykompenzovat.

Tak som dnes do NASu šupol druhý disk. Chvíľku mi trvalo kým som prišiel na to ako ho pridať, no aktuálne mi to píše, že rozširuje zväzok 1 a prebieha kontrola parity. Tak by to asi malo byť ok nie?

Používám raději RAID 1.

Asi by som pouzil aj ja keby som od zaciatku mal do zvazku dva disky. Ale takto som rad ze som nemusel robit format a znovu copy paste obsah niekam.
Inak bezalo to celu noc a rano bolo vsetko hotove.
Mam radost

Ale vlastne preco radsej RAID ako SHR?