Chiffrement Du Dossier Home Et En Particulier Le Dossier Cloudstation

[smike2809]

Bonjour,

Je suis en possession d'un NAS Synology DS214 play et je souhaiterais chiffrer tous mes dossiers.

Pourquoi chiffrer? Simplement pour des raisons de sécurité. Admettons que je me fasse voler mon NAS. Ce qui pourrait arriver à chacun. Cette petite boîte est si petite et même si elle n'est pas mise en évidence elle n'est pas verrouillé ou enfermé dans un local.

Le nouveau possesseur aurait simplement à prendre un trombone à papier et à appuyer sur la touche Reset à l'arrière du NAS pour réinitialiser le mot de passe administrateur et accéder à tous les fichiers.

Pour l'instant j'ai créé des dossiers et attribué les droits d'accès en fonction de à qui ceux-ci appartiennent.

Il reste cependant le dossier CloudStation qui est lié au service CloudStation et il faudrait le déplacer vers un dossier crypté pour que les données soient chiffrés. Comment faire ça tout en laissant ce service en état de marche?

Merci pour votre aide

smike

[Einsteinium]

Bonjour,

Via un mount tout simplement ;-)

[smike2809]

Bonjour,

Via un mount tout simplement ;-)

Bonjour,

Comment exactement via un mount ? Comment Cloud Station saura t-il où est le nouvelle emplacement nécessaire au programme ?

La commande mount ne serait-elle pas juste a monter un disque au démarrage pour le rendre accessible?

[Einsteinium]

Bonjour,

Comment exactement via un mount ? Comment Cloud Station saura t-il où est le nouvelle emplacement nécessaire au programme ?

La commande mount ne serait-elle pas juste a monter un disque au démarrage pour le rendre accessible?

Tu ne monte pas uniquement que des disques avec mount, grosso modo tu viens dire que l'emplacement crypté que tu voudras sera monté dans le dossier de cloudstation.

Ensuite tu script ça pour que le montage ce fasse au démarrage et voilà, je te colle un script ce soir ;-)

Édit :

S99mount.sh

#!/bin/sh

Target=/volume1/dossiercrypte/cloudstation

while [ 1 ];
do
	if [ -d "$Target" ]; then
		/bin/mount -o bind $Target /volume1/cloudstation
		return 0
	fi
	sleep 30
done

return 0

Tu place le script dans /user/syno/etc/rc.d/ :

cp /volume1/dossierscript/S99mount.sh /user/syno/etc/rc.d/

et tu lui fais un chmod 755 :

chmod 755 /user/syno/etc/rc.d/S99mount.sh

Une seule condition, mettre en pause le paquet à chaque reboot le temps que tu déverrouille le dossier crypté, le script mis plus haut, tu adaptes le chemin et celui-ci tournera en boucle jusqu'à avoir accès au dossier crypté pour le montage et s'arrêtera.

Tu devras remettre le script après chaque update majeure.

Ah oui ce qui ce trouve dans le dossier original ne sera plus accessible après montage, donc avant application, paquet en pause, tu déplace le contenu (copie pas tu va perdre de la place inutilement)

Modifié le 29 décembre 2014 par Einsteinium

[smike2809]

Merci Einsteinium,

J'étais déjà tombé sur ton script sur ce forum mais maintenant c'est un peu plus clair.

Lorsqu'un dossier est crypté le chemin ainsi que le nom sont limités à 43 caractères. C'est vraiment peu et pas très pratique si les répertoires sont déjà existant et il faut les déplacer.

Comment contourner cette limite?

Ce modèle de NAS (DS214 play) a pourtant une puce de décryptage et je trouve que c'est bien compliqué et limité. Ca aurait été beaucoup plus simple de crypter l'ensemble du disque.

Il y avait ce malware (Synolocker) qui cryptais l'ensemble du disque, n'existe-il pas un paquet incluant des fonctionnalités complémentaires (tel que Coreutils sur les QNAP)?

[Einsteinium]

Merci Einsteinium,

J'étais déjà tombé sur ton script sur ce forum mais maintenant c'est un peu plus clair.

Lorsqu'un dossier est crypté le chemin ainsi que le nom sont limités à 43 caractères. C'est vraiment peu et pas très pratique si les répertoires sont déjà existant et il faut les déplacer.

Comment contourner cette limite?

Ce modèle de NAS (DS214 play) a pourtant une puce de décryptage et je trouve que c'est bien compliqué et limité. Ca aurait été beaucoup plus simple de crypter l'ensemble du disque.

Il y avait ce malware (Synolocker) qui cryptais l'ensemble du disque, n'existe-il pas un paquet incluant des fonctionnalités complémentaires (tel que Coreutils sur les QNAP)?

J'ai la quasi totalité de mes dossiers cryptés (hormis web, surveillance déporté sur hdd externe et un dossier partagé),

Je n'ai jamais ressenti cette limitation encore (et je peux te dire que je l'ai largement dépassée avec les sous dossiers et certains noms)

Si c'était un cryptage du volume, cela entraînerait beaucoup de contrainte, je trouve plus sympa le cryptage des dossiers, je ressent pas de limitation particulière (genre la partie multimédia crypté, la seule contrainte c'est la re indexation quand je reboot suite à une MAJ)

Synolocker crypté un part un les fichiers, la on est sur du cryptage/décryptage à la volée, bien mieux en terme de délai et rapidité d'accès.

[smike2809]

J'ai fait des tests de vitesse (aucune tâche tourne en arrière-plan):

Sans cryptage : 95 Mb/s (en moyenne)

Avec cryptage : 18 Mb/s (en moyenne pour le même dossier)

Ca correspond à peu de chose près à ce qu'ils ont annoncés mais ça reste très faible...

https://www.synology.com/fr-fr/products/performance#2_bay

Je vais suivre ta méthode mais ça serait bien que Synology intègre le cryptage en options pour le dossier home. Pour moi c'est le seul dossier qui à une raison d'être chiffré.

Sinon il y a un moyen de désactiver la réinitialisation du mot de passe admin avec la touche reset?

[Einsteinium]

J'ai fait des tests de vitesse (aucune tâche tourne en arrière-plan):

Sans cryptage : 95 Mb/s (en moyenne)

Avec cryptage : 18 Mb/s (en moyenne pour le même dossier)

Ca correspond à peu de chose près à ce qu'ils ont annoncés mais ça reste très faible...

https://www.synology.com/fr-fr/products/performance#2_bay

Je vais suivre ta méthode mais ça serait bien que Synology intègre le cryptage en options pour le dossier home. Pour moi c'est le seul dossier qui à une raison d'être chiffré.

Sinon il y a un moyen de désactiver la réinitialisation du mot de passe admin avec la touche reset?

Oui le débit chute pas mal, mais je me plaint pas je stream du HD sans soucis sur mon modèle.

Tu peux faire aussi du mount pour les dossiers home sans soucis

Un reset du compte admin démonte les dossiers cryptés et si tu avait mis le montage automatique il saute, moi perso j'active pas le montage auto, la clef bien longue reste dans ma tête, car dans le cas d'une extration des disques, après montage sur PC, l'on peut modifier les pass des sessions...

Modifié le 29 décembre 2014 par Einsteinium

[smike2809]

Merci pour les réponses:

J'ai quelques questions cependant...

1. Dois-je créer un dossier partagé crypté (depuis l'interface web bien sûr) pour chaque utilisateur ou puis-je créer un dossier partagé crypté unique avec des sous-dossiers ayant chacun des droits d'accès précis pour les utilisateurs?

2.

Une seule condition, mettre en pause le paquet à chaque reboot le temps que tu déverrouille le dossier crypté  

Duquel paquet parle-on et pour quel raison fait-on cela ?

3.

Ah oui ce qui ce trouve dans le dossier original ne sera plus accessible après montage, donc avant application, paquet en pause, tu déplace le contenu (copie pas tu va perdre de la place inutilement)

Quel contenu exactement ne sera plus accessible après montage ?

Merci pour les infos

salutations

Modifié le 9 janvier 2015 par smike2809