Probleme mit Erweiterungen und veschlüsselter Platte

[KingB]

Hallo,

ich habe derzeit mein Nas4Free in der Version NAS4Free 9.2.0.1 (972) laufen. (Update mache ich demnächst).

Zur Zeit läuft nur eine WD Red 3TB Platte als Data Disk mit ZFS und Nas4free läuft vom USB Stick.

(Geplant sind noch 2 Weitere 3TB Platten und dann RaidZ1)

Die Platte ist verschlüsselt, da dort private Fotos und Videos drauf sind und ich alle Platten im Haus verschlüsselt habe, damit im Falle eines Einbruches keine privaten Dinge nach außen gelangen, wie Uni Arbeiten Fotos etc.

Jetzt läuft der Server derzeit 24/7, das soll sich aber ändern und er soll per Wake on Lan starten, da er doch nicht so extrem oft genutzt wird. (Owncloud schon, aber der Rest nicht, naja soll zumindest nicht 24/7 laufen.)

Leider muss ich jetzt nach jedem Neustart ins WebGUI, die Platte mit dem Password mounten, die TheBrig und MiniDLNA Erweiterung per ssh starten. Das nervt natürlich gewaltig.

Gibt es eine Möglichkeit das zu automatisieren? Einen USB Stick als Key oder sowas? Oder hilft es alles nichts und ich muss die Platte entschlüsseln?

Die Platten sollten halt nach Möglichkeit direkt voll starten, damit auch die Jails, MINIDLNA und der Plex server hochfahren.

Hoffe ihr könnt mir helfen.

Danke!

[Princo]

Gibt es eine Möglichkeit das zu automatisieren? Einen USB Stick als Key oder sowas? Oder hilft es alles nichts und ich muss die Platte entschlüsseln?

Ja, das kann man automatisieren, aber das hängt ein wenig von deinen Betriebssstemen ab. Mit Linux ist das gut machbar.

Allerdings sind da diverse Schritte durchzuführen. So sollte man den SSH-Zugang per Public-Keys einrichten, dann kann man die die "geli attach"-Befehle von "außen" auf das NAS schicken (auch per Script). Damit wäre das NAS verschlüsselt, und zum Entsperren bräuchte man zusätzlich deinen Rechner, auf dem das Skript liegt.

Meinst du so etwas in dieser Richtung?

Grüße
Princo

[b0ssman]

das prinzip der automatischen entschlüsselung ist konträt zum einsatz von verschlüsselung.

bei der automatischen entschlüsselung muss der key irgentwo abgelegt werden. wenn eingebrochen wird, so kann dieser schlüssel dann auch mitgeklaut werden.

du könntest natürlich auch was ganz individuelles bauen.
z.b. ein android telefon mit einenm ssh server. nas4free greift dann beim hochfahren auf per ssh auf das telefon zu und läd sich den schlüssel runter und entschlüsselt damit die platte. kein telefon da keine entschlüsselung.

[Princo]

@b0ssman,
"Automatisch" bedeutet für mich nicht zwangsläufig "vollautomatisch".
Man kann das Skript so schreiben, daß die Unlock-Keys der Platten manuell eingegeben werden müssen.
Man kann die Unlock-Keys aber auch direkt in das Skript schreiben.
Beides ist möglich.
Aber den KingB geht es ja auch darum, daß er die ganzen Dienste nicht mehr manuell starten muß, wenn die Platte verschlüsselt ist.
Und auch das kann das Skript leisten.
Grüße

Princo

[KingB]

Danke für eure Antworten.

Das mit dem automatischen USB-Key ist ein Widerspruch zur sicheren Verschlüsselung bei Einbruch, das ist mir klar, das wäre nicht wirklich suboptimal.

Ich hatte mir sowas in der Richtung schon gedacht, dass es per Script gehen würde, dass dey Key schickt, die Platten einhängt und die Dienste startet.


Wäre ich unterwegs und möchte auf meine Owncloud zugreifen, dann würde der Rechner bei Zugriff per WOL geweckt, aber der Rechner wäre aus auf dem das Script liegt. Genau so ist es mit dem Smartphone, unterwegs wäre ein automatisierter Zugriff ohne DynamicDNS aufs Handy wohl nicht möglich und das könnte kompliziert werden bzw dann Dauerhaft mein Handy damit zu belasten wäre auch nicht gewünscht.

Ich sehe schon, dass es wohl für meine Anforderungen keine wirklich praktikable Lösung gibt und ich die Platte wohl entschlüsseln muss.

Oder hat noch jemand die perfekte Idee, bzw habe ich irgendwas nicht korrekt verstanden?

[Princo]

Oder hat noch jemand die perfekte Idee, bzw habe ich irgendwas nicht korrekt verstanden?

Nicht korrekt verstanden

b0ssmann hat einen etwas anderen Ansatz beschrieben. Er sieht das mehr aus der Sicht des NAS, das, wenn man es einschaltet, selbst nach einem bestimmten Gerät sucht, um sich qausi "freischalten" zu lassen.

Mein Ansatz geht eher in die Richtung eines Anwenders, der mit einem einzigen Tap/Mausklick auf seinem Tablet/Handy/Laptop/PC, das NAS entweder im eigenen Netzwerk, oder per Internetverbindung, einfach startet, die Disk einbindet, und die weiteren Dienste startet (also alles in einem Rutsch).

Mein Hinweis, daß dabei auch eine manuelle Schlüsseleingabe sinnvoll sein kann, hat damit zu tun, wie stark diese anderen Geräte gesichert sind.
Oder möchtest du, daß jemand, der dein Handy in die Finger bekommt, damit dann dein NAS schrotten kann?

Grüße
Princo

[KingB]

OKay, verstanden .

Das Problem sehe ich, dass mein Handy auch im Mobilnetz "gefunden" werden muss. Andere Geräte sind nicht zwangsläufig auch an. Es sei denn man kann das Script nach einem Key auf dem Nas Speicher der Fritzbox suchen lassen? Sollte jemand den Rechner mitnehmen, wäre das ja egal, den Router nimmt sehr wahrscheinlich keiner mit.

Wäre sowas realisierbar?

Es sollte schon automatisch vom NAS ausgehen, da ich ja nicht immer bei jedem WOL mein Handy zücken will. Ich denke mit einer Freischaltung über die Fritzbox wird keiner rechnen. Die läuft hier eh 24/7. Das wäre für mich wohl die perfekte Lösung. Ein Keyfile dürfte ja nicht wirklich groß sein und die Fritzbox hat ein paar MB internen NAS Speicher.

Umsetzbar oder nicht?

[b0ssman]

wenn du es hinbekommst ein file auf der fritzbox abzulegen und z.b. per http bereit stellen kann, dann ist das machbar.

ein script um entschlüsseln der platten findest du z.b. hier
viewtopic.php?f=67&t=2165
dort kannst du auch das passwort direkt reinschreiben.

dann diese datei per post init runterladen und ausführen.

[KingB]

Okay, da bin ich jetzt nicht so extrem bewandert, aber ich werde es mal versuchen.

Meinst du mit der http bereit stellen, dass es auch über das Internet abfragbar ist?Ich kann per Fritznas die Freigabe einrichten per HTTPS, per DynamicDNS, aber geht das nicht auch local? Falls das Internet dann mal Probleme macht, kann ich es immerhin noch local entsperren.

Habe die Freigabe per Internet jetzt eingerichtet, könnte also theoretisch drauf zugreifen per https.

Ich brauche allerdings definitiv Hilfe bei dem script.

Was meinst du mit post init herunterladen? Sorry für die dummen Fragen .
Ist damit gemeint, dass ich das Skript runterladen soll, unter System|Erweitert|Befehlsskript den befehlt, also den Pfad dahin einstellen und als Typ post init?

Wie müsste das Skipt angepasst werden, bzw welches eig?

Code: Select all

#!/bin/sh

if [ -f /tmp/zfsmounted ]
then
        echo already mounted exists
        exit 1
fi

printf "\033]0;Enter ZFS Password\007"
echo enter password
read pword

echo $pword | /sbin/geli attach -j - /dev/da0
echo $pword | /sbin/geli attach -j - /dev/da1
echo $pword | /sbin/geli attach -j - /dev/da2
echo $pword | /sbin/geli attach -j - /dev/da3
echo $pword | /sbin/geli attach -j - /dev/da4
echo $pword | /sbin/geli attach -j - /dev/da5
echo $pword | /sbin/geli attach -j - /dev/da6
echo $pword | /sbin/geli attach -j - /dev/da7

/etc/rc.d/zfs stop
/etc/rc.d/zfs start
printf "\033]0;ZFS mounted\007"

touch /tmp/zfsmounted

Das hier?

Ich müsste die Festplattenzahl anpassen (Hab nur eine WD Red aktuell - Backup täglich über die Freigaben)

in der Zeile "echo enter password" müsste ich dann denke ich die Datei einlesen? Korrekt? Wie muss ich den link da einfügen? Habe es als Textdatei gespeichert.

Danach kommt ja noch ein weiterer Schritt und zwar das starten der Erweiterungen. Wie gehe ich das an?



Sorry für die vielen Fragen, ich hoffe ich stelle mich nicht zu dumm an

[b0ssman]

bei der fritzbox kann ich dir leider nicht weiterhelfe. ich setze die teile nicht ein, da ich kein grossen vertrauen in die geraete habe.
vor allem die tr-069 funktion.
und nein ich meine nicht ueber das internet bereitstellen. nur innerhalb des lans.
ich nutze einen selbst gebauten router mit ipfire der einen grsecurity kernel einsetzt mit eigenen angepassten configs fuer die zugriffsbeschraenkung.

das script ist dafuer gedacht einmal das password von der console als eingabe zu lesen und dann alle festplatten damit zu entschluesseln.

den mit enter passwort kannst du weglassen und echo $passwort durch das echo mit deinem passwort ersetzen.

[KingB]

Hi, danke für die Antwort.

Jetzt mal unabhängig davon, ob ich eine Fritzbox einsetze. Wie könnte ich das PW in dem Skript aus der Textdatei laden? Die Freigabe Adresse über das LAN könnte ich dort ja angeben.

[b0ssman]

wenn du eine text datei runterlaedst kannst du auch das script runterladen mit dem passwort drin.

aber um einen inhalt einer datei in eine variable zu laden machst du

#!/bin/sh
value=`cat config.txt`
echo "$value"

[KingB]

Okay,

es geht mir jetzt darum, dass ich das mit dem Skript korrekt hinbekomme.

Hier das wie ich mir das in etwa vorstelle. Vielleicht könnte das jemand geeignet verändern .
Also die Freigabe ist unter Windows und per Browser erreichbar.

Einmal im Windows Exploerer unter \\Fritz-nas\fritz.nas und unter
http://192.168.179.1/nas/cgi-bin/luacgi ... de=classic

Alles lokal also. Ich denke das per HTTP muss genutzt werden.

Code: Select all

#!/bin/sh

if [ -f /tmp/zfsmounted ]
then
        echo already mounted exists
        exit 1
fi

printf "Password wird geladen!"

#!/bin/sh
value=`cat http://192.168.179.1/nas/cgi-bin/luacgi_notimeout?sid=3410e71b1ce6469b&cmd=httpdownload&cmd_files=%2fNeues+Textdokument.txt:%2f%2f&script=%2fhttp_file_download.lua&site=files&dir=%2f&site_mode=classic`
echo "$value"

read pword

echo $pword | /sbin/geli attach -j - /dev/da0


/etc/rc.d/zfs stop
/etc/rc.d/zfs start
printf "\033]0;ZFS mounted\007"

touch /tmp/zfsmounted

Die Skripte für die Erweiterungen kommen dann danach.

So in etwa?

Das Problem ist der Link denke ich. Der ist zwar lokal, aber die Commandozeile kann damit zum Beispiel auch nichts anfangen, gibt nur errors wenn man fetch oder so probiert. Hab versucht den zu kürzen aber dann wirds nicht mehr erreichbar. Nur über den Browser komme ich so zum File. Wie könnte ich da einen vernünftigen vom NAS verwendbaren bekommen? Jemand eine Idee?

[b0ssman]

um eine datei ruterzuladen nutze das tool fetch

https://www.freebsd.org/cgi/man.cgi?query=fetch%281%29

[KingB]

Da bin ich ehrlich gesagt überfordert... ich habe es mit dem fetch und dann dem link zur datei probiert, aber das klappt natürlich nicht.

Leider ist es auch kein normaler downloadpfad wo einfach nur die IP und dann die Ordner und Unterordner kommen.

Ich wüsste nicht, wie ich das richtig anpassen soll, ich habs versucht, bin aber gescheitert. Kannst du mir da helfen?

Und sollte dann nicht nach dem entsperren die Datei auch wieder vom NAS Server gelöscht werden?

[b0ssman]

wenn du den empfohlene embedded esb install hast ist die datei nach einem neustart weg.

mach den download nicht in dem script sonder schreibe da das passwort rein.

dann mach als postinit script sowas wie

fetch "<url zur datei>" -o /tmp/enc.sh && chmod a+x /tmp/enc.sh && /tmp/enc.sh

ggf ist der volle pfad der commandos anzugeben

[KingB]

Das ist wäre natürlich die beste Lösung.

In welchem Format sollte die Datei dann abgespeichert sein? .sh?

Das Problem mit der URL besteht aber noch.

Ich bekomme keine normale url wie 192.168.179.1/nas/textdatei.txt, sondern nur diese weiter oben gepostete die nur vom Browser verarbeitet werden kann.

Eine Idee?

[b0ssman]

laut diesem artikel hat die fritzbox einen ftp server.

versuch es damit einmal

http://avm.de/nc/service/fritzbox/fritz ... freigeben/

[KingB]

Das sollte gehen, kann auf den FTP Server zugreifen per Filezilla z.b.

Geht das mit fetch und FTP?

[b0ssman]

fetch hat ftp support

[Ironcurtain86]

wenn du den empfohlene embedded esb install hast ist die datei nach einem neustart weg.

mach den download nicht in dem script sonder schreibe da das passwort rein.

dann mach als postinit script sowas wie

fetch "<url zur datei>" -o /tmp/enc.sh && chmod a+x /tmp/enc.sh && /tmp/enc.sh

ggf ist der volle pfad der commandos anzugeben

Kannst du mir den Befehl genauer erklären? Mit fetch wird das Passphrase aus der url zur Datei zwischengespeichert. Das Skript enc.sh enthält alle nötigen Kommandos um die Platten zu entschlüssel. Aber wie übergebe ich den ausgelesenen Schlüssel an enc.SH um ihn dort für die Entschlüsselung zu verwenden?

[b0ssman]

du laedst die datei enc.sh runter die schluessel und kommandos enthaelt.

[Ironcurtain86]

Ah ok und das enc.sh Skript ist dann im Prinzip das von dir gepostete:

viewtopic.php?f=67&t=2165

Nur das dort der schluessel im Klartext enthalten ist. Da ich die embedded Version von Nas4Free benutze ist die Datei enc.sh im tmp Ordner nach jedem Neustart auch nicht mehr vorhanden und muss erneut runtergeladen werden. Richtig verstanden?

[b0ssman]

ja