NAS - Sicherer Zugriff auf Dateien nur für bestimmte Personen (mit Cryptomator?)

[Hellblazer]

Hallo zusammen,

ich hab seit einigen Tagen ein NAS (QNAP TS431P3). Genutzt werden soll es als Backup-Speicher, Datenablage und Tauschmedium in einem Mehrbewohnerhaushalt.
Jeder Nutzer bekommt eigene Ordner für Backups und Datenablage auf die nur der Nutzer selbst zugreifen darf. Nutzer A soll keine Dateien von Nutzer B sehen können usw.
Die Zugriffsberechtigungen einzurichten ist kein Problem. Nutzer A kann nur auf seine Ordner zugreifen, Nutzer B entsprechend nur auf seine.
Jetzt kommt da der Admin-User des NAS ins Spiel. Zwar kann ich auf jedem Ordner den Zugriff für andere beschränken und auch den Admin aus der Zugriffsliste rausnehmen, genausogut kann ich aber bei jedem beliebigen Ordner den Admin-Account auch wieder Zugriff gewähren...
Für Backups ist das egal. Die Backup-Software (Macrium Reflect Home) kann die selbst verschlüsseln, aber für die Dateiablagen nicht. Der Admin könnte die so jederzeit einsehen.

Ich hab schon damit herumgespielt, auf dem Netzlaufwerk in Windows einen Ordner zu erstellen und dort die Zugriffsrechte zu entziehen, aber das lässt sich direkt auf dem NAS mit dem Admin-Account auch wieder überschreiben.

Der Admin kann sich also irgendwie immer Zugriff besorgen. Am liebsten wäre mir es, wenn man das sperren könnte. Also zum Beispiel kann Nutzer A die Berechtigungen selbst setzen und jedem anderen Nutzer inkl. Admin verbieten, die Berechtigungen zu ändern.
Das scheint aber nicht möglich zu sein, oder ich mach dabei was falsch/übersehe was...

Jetzt würde ich folgenden Workaround vorschlagen:
Cryptomator nutzen.
Dabei stellt sich mir aber die Frage, was zum Beispiel passiert, wenn die Netzwerkverbindung bei einer Übertragung abbricht.
Bekomme ich da eine Rückmeldung von Windows, dass die Übertragung nicht geklappt hat oder wird die zu übertragende Datei möglicherweise korrumpiert ohne, dass man es mitbekommt?

Bei einem VeraCrypt-Container würde dabei ja möglicherweise der ganze Container kaputt gehen. Beim Einsatz von Cryptomator in einem Clouddienst (Dropbox, OneDrive...) ist ja die Software des Cloud-Anbieters zuständig, dass die Dateien bei einem Übertragungsfehler synchron gehalten werden (Neuversuch, Hinweis auf Konflikte usw.). Wie ist das aber bei einem Netzlaufwerk? Hat da jemand Erfahrungen? Eigentlich müsste ja Windows eine Fehlermeldung werfen, wenn das Netzwerk weg ist? Was anderes als ein eigenes Laufwerk ist ein Cryptomator-Container ja auch nicht für Windows... lieg ich da richtig?

Gibts andere Möglichkeiten, das was ich will umzusetzen?

Danke schonmal für alle Tipps und Anregungen!

EDIT: Ich hab das ganze mal kurz getestet:

• Crpytomator-Tresor auf dem Netzlaufwerk erstellt
• Datei angelegt und im Texteditor geöffnet
• Netzwerkkabel gezogen

Cryptomator erkennt, dass das Netzlaufwerk nicht mehr verfügbar ist, dementsprechend ist auch das eingebundene Tresor-Laufwerk nicht mehr verfügbar. Soweit sieht das also schonmal gut aus, ist nur die Frage, ob der Zwischenlayer von Cryptomator auch zuverlässig bei "Schluckauf" des Netzwerks ist...

 

[Tunguska]

Gibts andere Möglichkeiten, das was ich will umzusetzen?

Ja, jeder kauft sich ein eigenes NAS.
Mal im Ernst, diese Systeme sind geschaffen worden, um (zentral) durch einen Admin verwaltet zu werden. Wenn jetzt die große Panik ausbricht (Datengeheimnisse etc.), dann dezentralisiert das Ganze -> jeder seine eigene Lösung.

 

[foofoobar]

Dabei stellt sich mir aber die Frage, was zum Beispiel passiert, wenn die Netzwerkverbindung bei einer Übertragung abbricht.

ecryptfs dürfte robuster sein.

 

[T3Kila]

Ihr könntet alternativ den Admin Account mit einem geteilten Passwort einrichten. Also User 1 gibt Teil 1 des Passworts ein, User 2 Teil 2, usw.
Dann kann man auch administrativen Zugriff haben, falls das mal nötig sein sollte

 

[Hellblazer]

@foofoobar ecryptfs bekomme ich aber nicht unter Windows zum Laufen?

@T3Kila das ist eine Interessante Idee, hat was von den Atomwaffenstarts in Filmen
Erschwert die Administration allerdings etwas, da man immer die andere Person benötigt.

@Tunguska Ist eher keine Option. Eher leben wir damit, dass der Admin die Dateien sehen könnte. Wäre auch so, dass ich bei jedem weiteren NAS mangels Fachwissen der anderen Nutzer auch dort der Admin wäre.



Anscheinend gibts wohl keinen einfachen Weg, das umzusetzen. Cryptomator würde es wohl tun, aber ich hab da etwas bedenken, wegen der Datenintegrität. Da müsste ich wohl mal direkt im Cryptomator-Forum nachfragen. Meine bisherige Recherche ergab da keine klare Antwort.

 

[T3Kila]

Erschwert die Administration allerdings etwas, da man immer die andere Person benötigt.

Das war doch Sinn der Anfrage? Wenn man dem Admin dauerhaft Rechte entziehen könnte wäre die Administration gar nicht mehr möglich.
Und es soll doch kein dauerhafter Zugriff mit Admin stattfinden?
Also Deinen User einfach mit erhöhten Rechten einrichten, damit Du die "normale" administrativen Sachen mit Deinem User machen kannst und der bekommt einfach keinen Zugriff auf die anderen Shares.
Dann benötigt man den Admin Account wirklich nur im Extremfall

 

[foofoobar]

@foofoobar ecryptfs bekomme ich aber nicht unter Windows zum Laufen?

Fuse gibt es IMHO auch unter Windows.

 

[calippo]

Das war doch Sinn der Anfrage? Wenn man dem Admin dauerhaft Rechte entziehen könnte wäre die Administration gar nicht mehr möglich.

Je wichtiger Datensicherheit wird, desto stärker müssen auch die Rechte von Administratoren begrenzt werden. Man könnte schon Funktionalitäten einbauen, die einen gesicherten Bereich schaffen, die den Admin auch vor Zugriff begrenzen. Damit der Admin im Notfall handlungsfähig bleibt, könnte man einen Notfallschlüssel generieren. Je nach Vertraulichkeit und Vertrauensstufe liegt der dann z.B. in einem versiegelten Umschlag oder nur der Nutzer hat ihn (und damit die volle Verantwortung und keinen rettenden Admin mehr, der alles richten kann)

@Hellblazer

Cryptomator plane ich auch auf meinem QNAP NAS einzusetzen, allerdings aus anderen Gründen:
- Die clientseitige Verschlüsselung beim Backup belässt die Dateinamen. Ich schiebe Teile meines NAS in die Cloud als Offsite Backup, dort kann man die Klarnamen lesen. Cryptomator verschlüsselt alles.

- Ich habe ein Notfall Tool aus dem QNAP Forum (Java Frontend), mit dem ich die clientseitige Verschlüsselung der Dateien (z.b. in der Cloud oder auf externen Festplatten) ohne NAS aufheben kann (Schlüssel braucht man natürlich). Das funktioniert komischerweise problemlos mit den Clouddaten, aber die auf Festplatte gesicherten Daten kann man nicht entschlüsseln.

- Meine Platten im QNAP sind grundverschlüsselt und müssen bei jedem Start manuell entsperrt werden. Ich fahre mein NAS nur ab und zu hoch bei Bedarf, das dauert dann jedes Mal bis zu 10 Minuten, bis alles bereit ist. Mit Cryptomator könnte ich mir die Grundverschlüsselung sparen.

- Macrium Reflect bietet zwar Verschlüsselung an (in der Freeversion imho aber nicht), aber eigentlich werden mir das zu viele verschiedene Verschlüsselungsysteme, die teilweise mehrstufig auf einzelne Dateien angewendet werden. Eine einheitliche Verschlüsselung wäre mir lieber, so dass es nur zwei Zustände gibt: Verschlüsselt (z.B. mit Cryptomator) und entschlüsselt.


Die Datenintegrität ist ein wichtiges Thema, ich werde mal ähnliche Tests starten, z.B. während einer großen Übertragung das Kabel ziehen.

 

[Hellblazer]

@calippo Danke für deine Eindrücke!

Macrium Reflect hab ich mir die letzten Tage im Angebot gekauft, Verschlüsselung ist also möglich. Wie es da mit Dateinamen aussieht, weiß ich aber nicht...

Die HDDs im Nas hab ich jetzt noch nicht verschlüsselt, will ich eigentlich auch nicht. Theoretisch würde ich so unabhängig der Nutzerberechtigungen an die Daten kommen, aber das ist deutlich komplizierter, als nur ein paar Klick im Nas-System zu tätigen, um an die Daten zu kommen

Daher wäre eine clientseitige Verschlüsselung eigentlich am besten, wie du schon sagst.

Ich frag Mal die Tage im Cryptomator-Forum, ob es da belastbare Daten gibt, bezüglich Datenintegrität, Fehlertoleranz usw. Bei Verwendung auf Netzwerkspeichern.

 

[calippo]

@Hellblazer

Fast ein Jahr vorbei, wie sind Deine Erfahrungen mit Cryptomator auf dem NAS? Oder hast Du eine andere Lösung bevorzugt?

 

[chrigu]

Das wäre recht unintelligent, wenn das Admin Konto der nas gelöscht oder lese-/schreibberechtigung geändert würde.

oha. Reingefallen … alter Beitrag aus dem Grabe getragen.

 

[Hellblazer]

@calippo ich hab die Sache bleiben lassen. Vertrauen ist die Lösung

Wobei ich per Raspberry Pi noch SeaFile einherichtet habe und da könnte ich mit Verschlüsselung arbeiten, hab mir da aber die Mühe auch nicht gemacht.

Setzt du Cryptomator ein bei dir?

 

[calippo]

Setzt du Cryptomator ein bei dir?

Bisher nur auf meinen PC zur Verschlüsselung meiner wichtigsten Daten (Banken, Versicherungen, etc) Die Vault wird per Onedrive Client zu Onedrive gesynct, das funktioniert sehr gut, das sind aber keine großen Datenmengen.

Allerdings Ich bin gerade dabei, mein NAS und Backupkonzept zu überarbeiten.
Ich suche eine möglichst einheitliche Lösung für die Verschlüsselung der Daten und Backups.

Meine Daten (insbesondere Fotos) liegen auf dem NAS und eigentlich sollten sie dort schon verschlüsselt sein. (falls mal ein Einbrecher das NAS mitnimmt, will ich mir nicht auch noch Gedanken darüber machen, was er mit den Fotos anstellen könnte)
Bisher hatte ich die Platten im NAS systemseitig verschlüsselt, allerdings dauert die Bereitstellung des NAS beim Hochfahren (mache ich nur ab und zu) deutlich länger.

Spätestens, wenn ich sie als Offsite Backup in die Cloud lade (onedrive), brauche ich eine Verschlüsselung und die muss eigentlich auch Dateinamen beinhalten. Meine Fotos z.B. sind chronologisch in Jahresordnern mit "sprechenden Unterordnern" strukturiert und bilden 40 Jahre meines Lebens ab. Wer diese Ordnernamen sieht, der kann fast lückenlos nachvollziehen, wann ich wo war. Ich bin kein Geheimagent, aber trotzdem würde ich diese Liste nicht einfach so veröffentlichen.
Bei QNAP kann man den Datei- und Ordnernamen nicht verschlüsseln. Das stört mich.

Ich habe jetzt ein paar Tests mit Cryptomator auf dem NAS gemacht, bekomme aber Fehlermeldungen bei der Erstellung des Containers auf dem NAS, als auch Fehler beim Kopieren von Dateien in den Container (Pfadlänge angebl. zu lang. den Container habe ich lokal erstellt und dann aufs NAS kopiert)
Keine Ahnung, ob das mit der neuen Version zusammenhängt.

Wie auch immer, so richtig glücklich bin ich mit den Möglichkeiten nicht.

 

[Hellblazer]

@calippo hab mir schon gedacht, dass Cryptomator nicht so einfach auf einem NAS funktioniert, deshalb ja auch mein Thread hier.

Ich weiß jetzt gar nicht ob SeaFile eine integrierte Verschlüsselung anbietet, aber mit SeaFile funktioniert Cryptomator eigentlich problemlos. Aber ist für mich auch keine optimale Lösung. Ich will meine Daten nicht per SeaFile aufs NAS packen müssen...

 

[calippo]

@Hellblazer

Vor ein paar Wochen hatte es noch funktioniert mit ein paar Testordnern, seither habe ich das NAS aber neu aufgesetzt und Cryptomator aktualisiert. Aber selbst wenn ich das wieder hinbekomme, das Vertrauen ist jetzt erst mal weg, das muss ja 100% funktionieren, auch in Zukunft.

Mit Seafile auf dem Raspi habe ich auch schon mal rumgespielt. Das funktionierte mit ein paar Dateien ganz gut, aber ich habe zigtausende Fotos und Dateien im Terabytebereich, da kam der Raspi an seine Grenzen.