Synology Fonctionnement du cryptage des dossiers partagés

ngoisao

Nouveau membre
30 Août 2018
14
0
0
Bonjour,
en fait je recherche à connaitre et comprendre un peu mieux le fonctionnement du cryptage d'un dossier partagé sur le nas.
Voilà en fait je voudrais appliquer de bonnes pratiques dès le départ.
1. est-ce que tous les fichiers qu'on place dans un dossier crypté ,sont automatiquement cryptés ?
à distance le décryptage de l'accès au fichier se fait à la volée par le nas (Synology ds718+ )
2. est-ce que le fait que ce dossier en question soit monté (donc cadenas ouvert pour être accessible à distance à priori) enlève cette sécurité de cryptage ,
au dossier et son contenu?
Merci bcp pour votre aide & bonne journée à vous ! ;)
 
Bonjour,

La bienvenue à toi. Un petit tour du côté de la présentation est toujours appréciée.

Concernant tes questions :
Quand tu crées un dossier “chiffre” (on ne dit pas crypté, c’est un abus de langage), c’est le dossier et son contenu qui sont chiffrés.
Lorsqu’il est monté, il ne l’est plus... il devient un dossier (et son contenu) presque comme les autres puisque accessible.
Pour une question de sécurité (plus pour le vol du Nas finalement ou une lecture ponctuelle des données du dossier en question), il est conseillé de crée un tel dossier.
les seules recommandations que je donne :
- Ne pas sauvegarder la clef sur le Nas...ca parait évident mais pas pour tous
- Ne pas faire monter en automatique un dossier chiffre lors du démarrage du Nas.

S’il y a un vol du Nas, un simple reset + log par défaut permettrait d accéder aux données du dossier chiffré qui aura été monté automatiquement.

Si tu veux vraiment «  sécuriser » les données, crée un dossier chiffre avec une bonne clef, pas de montage au démarrage, et quand tu veux accéder à un fichier, tu te déconnecte du monde extérieur, tu déverrouilles, tu accèdes à tes fichiers, puis un verrouillage derrière. [emoji6]





Via Tapatalk
 
Bonjour,
Merci pour cet accueil et réponse très rapide! :)
ça confirme en partie ma compréhension, mais il me reste quelques interrogations en suspend..
Donc pour que des fichiers se trouvant dans le dossier chiffré soient accessibles , il faut que ce dossier soit monté.
Est-ce que cette opération de montage/démontage de dossier se fait uniquement depuis l'interface DSM avec un compte administrateur ?
je comprends maintenant qu'il faut distinguer l'Accès aux données (sur le DSM création des utilisateurs avec des droits précis) et le Chiffrage qui sont 2 choses distinctes.
Comment déterminer où est sauvegardée la clef? Au moment de chiffrer un dossier , dans le menu déroulant Sélectionner un chiffre pour la clef , il apparaît un choix unique : "Clé machine".
avec une petite info bulle : "Phrase de passe: la clé peut être déchiffrée par toute personne connaissant la phrase de passe."
"Clé machine: la clé ne peut être déchiffrée que sur ce Synology NAS"
Ne devrais-je pas avoir dans le menu déroulant le choix entre Phrase de passe ou clé machine ?
Je reconnais que mes questions débordent un peu du sujet initial et qu'il conviendrait que je poste un nouveau message, je verrai par la suite
Je vais continuer à lire les documentations dès que possible.
Merci encore pour vos précieuses réponses!
 
ngoisao a dit:
Est-ce que cette opération de montage/démontage de dossier se fait uniquement depuis l'interface DSM avec un compte administrateur ?
Oui à ma connaissance. Peut etre via SSH, à voir...

ngoisao a dit:
Comment déterminer où est sauvegardée la clef? Au moment de chiffrer un dossier , dans le menu déroulant Sélectionner un chiffre pour la clef , il apparaît un choix unique : "Clé machine".
avec une petite info bulle : "Phrase de passe: la clé peut être déchiffrée par toute personne connaissant la phrase de passe."
"Clé machine: la clé ne peut être déchiffrée que sur ce Synology NAS"
Ne devrais-je pas avoir dans le menu déroulant le choix entre Phrase de passe ou clé machine ?
Je n'utilise pas le gestionnaire de clefs car mes clefs sont hors du NAS et gerees/stockees individuellement dans un gestionnaire type Keypass. Ca evite bien des soucis.
Parallèlement, j'ai fait une demande au support, car j'ai une interrogation... lorsque tu demandes le demontage en auto du dossier chiffre... il faut bien qu'il enregistre l'info qqpart... je leur ai demandé ou... si jai un retour, je vous informe. Car ca me parait pas tres "secure".(Sauf si la clef est chifree avec le log/pwd du compte admin)

Pour finir, je pense que tu te poses les bonnes questions.
Attention toutefois, il peut etre utile d'utiliser un compte administrateur UNIQUEMENT pour la gestion. Les 99% de l'usage du nas devant etre realisé a partir de compte "users". ca evitera de gros pepins en cas de piratage de compte.
 
Hello,

Je viens d'apprendre que sur les dernieres versions DSM, la fonction ***********
https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General/How_to_reset_my_Synology_NAS

***********

J'ai voulu en avoir le coeur net... Je viens de faire le test depuis DSM6.2.1
A premiere vue, le reset donne acces aux autres dossiers mais verrouille les dossier chiffres (avec montage auto ou non d'ailleurs)

sauf que

*** masqué par l'admin ***

Bref retour à la case de depart....

Je viens d'envoyer un mail au support. Wait & see :evil:
 
D’ailleurs, il y avait *** masqué moderateur ***

[EDIT] Bon... finalement, j'ai décidé de masquer ton message pour 2 raisons (j'espère que tu ne m'en voudras pas). Tout d'abord, c'est une belle faille de sécurité. Deuxièment, il serait dommage que *** masqué moderateur ***
ps : ne tarde pas trop ;)
[EDIT 2] Je ne sais pas si c'est lié au Btfrs mais je ne peux pas monter automatiquement un dossier au redémarrage sur mon NAS Synology. Personnellement, je préfère ainsi :D
 
FX Cachem a dit:
[EDIT 2] Je ne sais pas si c'est lié au Btfrs mais je ne peux pas monter automatiquement un dossier au redémarrage sur mon NAS Synology. Personnellement, je préfère ainsi :D

Si si...;o)
 
Bonsoir,
je souhaiterai svp votre avis:
j'utilise mon nas (en partie) pour qui soit la destination de sauvegardes planifiées de dossiers de mon PC.
j'utilise une application dédiée de sauvegarde Acronis.
et en fait je souhaiterai que la sauvegarde s'effectue dans un dossier chiffré (donc il faut qu'il soit monté depuis l'interface DSM)
Est-ce qu'il existerait un moyen de monter un dossier chiffré en ligne de commande sans passer par DSM ?
par ce que en fait pour le moment pour que la sauvegarde s'effectue sans se soucier de rien, il faut que le dossier cible soit en permanence monté,
et par définition ce n'est pas sécure.
Ou alors ma solution est complètement à revoir…( ? )
Merci :)
 
A voir s’il est possible d’envoyer une commande SSH au NAS avant la sauvegarde, ou la possibilité de monter le dossier chiffré pendant une période de quelques heures pour la sauvegarde.

Si cela n’existe pas, il serait intéressant de soumettre le besoin à Synology.
 
Javais soumis plusieurs choses à synology :
1/ montage/démontage dossier chiffre depuis dsfile
2/ mise en évidence de faille sévère.
3/ comment déchiffrer en lignes de commande

- réponses :
1/ on va étudier cela
2/on va voir si ca c’est vrai
3/on donne aucune info pour les lignes de commande.

Entre temps : essaye via la commande synoshare ... (pas eu le temps de tester, alors tu nous diras [emoji6])

Pour un dossier chiffre ouvert en permanence je dirai que c’est moins grave si tu prends des dispositions “réseau”. Ce qu’il l’est moins c’est le montage en automatique. (Sauf si ton pwd est sur clef et que tu le plug à chaque démarrage... mais c’est compliqué je trouve)


Via Tapatalk
 
Tiens nous au courant, je suis en manque de temps pour tester et ça m’intéresse


Sent from my iPhone using Tapatalk
 
pour commencer, j'ai trouvé 2 sites intéressants;
le premier: https://www.aureuswebfactory.fr/comment-acceder-a-un-nas-synology-en-ligne-de-code-en-ssh-via-putty/ pour obtenir des généralités,
et puis un second https://forum.synology.com/enu/viewtopic.php?t=107091
on y apprends les commandes pour monter ou démonter en ligne de commande SSH un dossier chiffré , évitant ainsi de passer par l'interface DSM.
les commandes:
synoshare --enc_mount "nom_du_repertoire" motdepasse
synoshare --enc_unmount "nom_du_repertoire"

mais avant tout pour commencer:
-depuis l'interface DSM activer le SSH et définir un n° de port (22 par défaut / conseillé de modifier..)
-telecharger un logiciel du style putty.org
-une fois connecté avec putty sur votre Synology avec votre compte (appartenant au groupe adminstrators); lancer la commande 'sudo -i'
car sans avoir lancé cette commande, les commandes synoshare ci-dessus ne fonctionneront pas, un message 'acces denied'

voilà mes premiers résultats.
Pour les étape suivantes, je souhaiterais mettre cela dans un script à exécuter (voire à planifier ?) , avec le password pour déchiffré passé en paramétre
et non à saisir en claire dans la commande..
Il y a encore des recherches à faire….
Bonne soirée à vous , et donnez moi des nouvelles/conseils si vous avez merci
 
Me concernant, Putty... c'est bon ;o) - pour le lien de Synology.com je le connaissais. Il est dans mes favoris depuis un bail... lol
en tt cas merci de ton retour sur le sujet
 
Bonjour,
Voici des nouvelles..
Je rappelle rapidement mon souhait initial qui est d'automatiser le chiffrement/dechiffrement d'un dossier partagé sur le nas depuis mon poste client windows10.
En fait c'est possible en créant un script sh qui à exécuter sur le nas.
Avant tout, il est recommandé de créer une paire de clé privée/publique -avec puttygen par exemple- .
l'authentification par clé étant d'une part plus sûre, et aussi à privilégier dans ce contexte d'automatisation.
Ce script sera lancé en remote depuis le pc windows, en utilisant l'outil plink et l'option -s.
Voici en gros les étapes importantes sans entrer dans le détails de chacune d'elles.
Mon petit projet est réalisé à 80% , car je rencontre encore une petite difficulté au moment de lancer la commande plink depuis mon poste
Pour cela j'ai publié un nouveau message "Exécuter un script shell à distance sur NAS Synology" dans la rubrique "installation, démarrage, configuration et dépannage"
Peut-être avez vous une solution ou idée ?? :)
 
Esteban a dit:
Hello,

Je viens d'apprendre que sur les dernieres versions DSM, la fonction ***********
https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General/How_to_reset_my_Synology_NAS

***********

J'ai voulu en avoir le coeur net... Je viens de faire le test depuis DSM6.2.1
A premiere vue, le reset donne acces aux autres dossiers mais verrouille les dossier chiffres (avec montage auto ou non d'ailleurs)

sauf que

*** masqué par l'admin ***

Bref retour à la case de depart....

Je viens d'envoyer un mail au support. Wait & see :evil:

Bonjour,
je suis nouveau sur le site.
J'ai l'habitude de poster sur d'autre site en lien avec Synology.
Je monte mes dossiers au demarrage en stockant leur clé de chiffre dans le magasin de clés sur la partition système. (je chiffre tout : dossier music, photo, video, web, ...)
Alors, j'aimerais savoir ce qui se passe avec la réinitialisation du mot de passe admin ?
Est ce qu'un dossier chiffré monté au demarrage est protégé en cas de réinitialisation du mdp admin ?
Le réponse serait Oui. D'après leur site : https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS
Mais, est ce qu'il y aurait un problème ? si oui, lequel ? est ce résolu ?
Je suis en DSM 6.2.1