Asustor Dossier partagés chiffrés : Asustor en retard ?

shaks2022

Maître Jedi
22 Février 2022
590
168
113
bonjour
Existe-t-il un moyen de monter des dossiers partagés via la ligne de commande ?
Avec le mot de passe ... ( tant qu'a faire à demander .. :) )
L'idée est de se connecter en ssh sur le nas, donc de pouvoir automatiser le montage des dossiers partagés après un reboot depuis une machine de confiance ... Actuellement , c'est laborieux via ADM et impossible via aimaster ....

[edit 04-2024] : Je vais devenir un peu moins gentils : comme le constate l'auteur du lien que je viens de découvrir, et qui date de 2020 ( https://blog.elcomsoft.com/2020/03/attached-storage-forensics-security-analysis-of-asustor-nas/ ) , Asustor ne permet que de stocker la passphrase dans le disque lui même quand on active le montage au boot.
Donc soit on accepte par défaut de passer par l'interface Web pour remonter tous ses dossiers partagés chiffrés, soit on sacrifie la sécurité.

Et quand j'essaye de trouver une solution de contournement ( l'objet initial de ce topic ) , je suis bien seul....
 
Dernière édition:
Bonsoir,

Connais pas Asustor / ADM (commence bien ;))
Tu veux dire qu'il n'y a pas d'option sur tes dossiers partagés pour qu'ils restent partagés, même après un arrêt/relance ou un reboot du NAS ?
 
Bonsoir,

Connais pas Asustor / ADM (commence bien ;))
Tu veux dire qu'il n'y a pas d'option sur tes dossiers partagés pour qu'ils restent partagés, même après un arrêt/relance ou un reboot du NAS ?
bonjour
si . ya une option pour monter automatiquement les dossiers chiffrés , mais forcément , ya plus de sécurité autre que part l'accès utilisateur à ces dossiers .
Pas suffisant pour moi, en cas de vol du nas par exemple .
 
Bonjour,

OK. Peut-être une proposition alors ? :
- Tu laisses les montages en automatique
- Tu te connectes en SSH
- Tu passes la commande mount et tu repères tes dossiers et leurs options de montage
- tu reproduis dans un script en root les commandes mount pour chaque partitions / dossiers (chiffrés ou pas) qui t'intéresse avec les options qui vont bien (en regardant les specs de la commande mount)
- Tu lances ce script en root à chaque fois que tu veux monter tes dossiers
- tu fais un script dans l'autre sens avec umount

Je redis: connais pas Asustor et les éventuelles spécificités du bouzin et de son OS... :censored:
 
Bonjour,

OK. Peut-être une proposition alors ? :
- Tu laisses les montages en automatique
- Tu te connectes en SSH
- Tu passes la commande mount et tu repères tes dossiers et leurs options de montage
- tu reproduis dans un script en root les commandes mount pour chaque partitions / dossiers (chiffrés ou pas) qui t'intéresse avec les options qui vont bien (en regardant les specs de la commande mount)
- Tu lances ce script en root à chaque fois que tu veux monter tes dossiers
- tu fais un script dans l'autre sens avec umount

Je redis: connais pas Asustor et les éventuelles spécificités du bouzin et de son OS... :censored:
bonjour
C'est rusé :). Les dossiers chiffrés font effectivement l'objet d'un montage ( et même de 2 montages similaires ) , et dans le résultat de "mount", dans les options de montage, on y voit ce qui ressemble très fort à un code chiffré . Les dossiers non chiffrés n'apparaissent pas, mais c'est pas l'objet.
J'ai tout préparé, mais je ne peux pas tester en démontant / remontant des dossiers partagés chiffrés car ils sont pris par les process après leur montage. ça va devoir attendre le prochain reboot, mais je vais pas manquer de tester ça et de revenir en parler ici.
Merci pour l'astuce.
 
Hello bonjour,

Pourquoi attendre de rebooter ?
Tu te connectes en SSH sur le compte avec privilèges 'root', et tu joues avec tes scripts "Mes_umount.sh" et "Mes_mount.sh"...
Nan ?
 
Hello bonjour,

Pourquoi attendre de rebooter ?
Tu te connectes en SSH sur le compte avec privilèges 'root', et tu joues avec tes scripts "Mes_umount.sh" et "Mes_mount.sh"...
Nan ?
fs bloqués par les configurations. ici, c'est syncd ... donc ça veut dire retirer mon dossier de la config syncd ( une faiblesse asustor signalée il y a longtemps : stopper syncd ne suffit pas .)
 
de retour après un test : échec.
mount : No such file or directory sur la tentative de faire le 1er mount.
après avoir bien sur vérifié que les 2 répertoires source et destination existent ...
 
bonjour
Voici un 1er test plus ou moins réussi, inspiré du lien posé en début de discussion :
Code:
root@XXXX:/volume1/.@root # ecryptfs-add-passphrase --fnek
Passphrase: 
Inserted auth tok with sig [880c55cffd71392f] into the user session keyring
Inserted auth tok with sig [e700bb35d0f425d4] into the user session keyring
root@XXXX:/volume1/.@root #
root@XXXX:/volume1/.@root # mount.ecryptfs /volume2/.@encdir/test_chiffre /volume2/test_chiffre
Unable to find a list of options to parse, defaulting to interactive mount
Passphrase: 
Select cipher: 
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32
 2) blowfish: blocksize = 8; min keysize = 16; max keysize = 56
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24
 4) twofish: blocksize = 16; min keysize = 16; max keysize = 32
 5) cast6: blocksize = 16; min keysize = 16; max keysize = 32
 6) cast5: blocksize = 8; min keysize = 5; max keysize = 16
Selection [aes]: 1
Select key bytes: 
 1) 16
 2) 32
 3) 24
Selection [16]: 2
Enable plaintext passthrough (y/n) [n]: n
Enable filename encryption (y/n) [n]: y
Filename Encryption Key (FNEK) Signature [880c55cffd71392f]: 
Unable to find a list of options to parse, defaulting to interactive mount
Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_fnek_sig=880c55cffd71392f
  ecryptfs_key_bytes=32
  ecryptfs_cipher=aes
  ecryptfs_sig=880c55cffd71392f
WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key 
before. This could mean that you have typed your 
passphrase wrong.

Would you like to proceed with the mount (yes/no)? : yes
Would you like to append sig [880c55cffd71392f] to
[/root/.ecryptfs/sig-cache.txt] 
in order to avoid this warning in the future (yes/no)? : no
Not adding sig to user sig cache file; continuing with mount.
Mounted eCryptfs
root@XXXX:/volume1/.@root #

reste plus qu'à trouver comment automatiser tout ça, et à comprendre cette histoire de "keyring" et autres options, sachant que par exemple, j'ai ceci dans la log du NAS quand j'essaye certaines options:
Code:
ecryptfs_parse_options: eCryptfs: unrecognized option [key=passphrase]                                        
ecryptfs_parse_options: eCryptfs: unrecognized option [passphrase_passwd=q0b2guZVztOm8J0VNdjR]                
ecryptfs_parse_options: eCryptfs: unrecognized option [ecryptfs_passthrough=no]                               
ecryptfs_parse_options: eCryptfs: unrecognized option [ecryptfs_enable_filename_crypto=yes]