Lura min NAS att kryptera filsystemet?
Inte helt rätt fram, vad är NAS OS? Kan man tanka ner det och leka runt med det på i t.ex. virtualbox??
Bara för att den kör linux kernel betyder det inte att tillverkarna inte varit kreativa med egna lösningar och byggt på funktionalitet. I vanliga linux distributioner är är LUKS vanligt, men det finns flera sätt att kryptera sina diskar på. Och oftast är det inte bara någon flagga, utan snarare en installations setup man får göra.
Sen handlar det också om vad din NAS har för processor. Är du nöjd med t.ex. en max hastighet på 100-300kb/sec när CPUn går i taket för den saknar vissa instruktioner som accelererar kryptering? Det kan vara enorm skillnad, man kan inte ta sånt förgivet att det bara skulle vara lite långsammare.
Har du provat att uppdatera mjukvara till den senaste och se om funktionaliteten har tillkommit (när man uppdaterar en NAS och speciellt stora uppdatering när man hoppar flera steg i uppdatering på en gång, skall man alltid säkra att man har backup på sina data innan på externa USB-diskar) - det kan också vara att du får skrota dina nuvarande volymer (och tappa all data om de inte flyttas/har backupp) och skapa nya innan du kan välja krypteringen då en del av dessa är diskvolymbaserade/partitionsbaserade (dm-crypt) och kan inte läggas på i efterhand på en redan använd partition/filsystem. Däremot om man använder 'encfs' så kan det lägga på befintlig volym och dessutom kan köras med Usermode utan beroende av root-rättigheter (använder FUSE för att skapa virtuella filsystem på user-nivå).
på somliga NAS-fabrikat (som netgears NAS) så kan man hämta tilläggs-programvara via 'apt-get install' systemet - andra som Asustor är helt isolerad och mycket fientlig på cli-nivå och väldigt lite 'standard' fungerar om man vill jobba via SSH-termina...
---
På en ARM-baserad NAS med 32-bitars OS och utan HW-stöd för kryptering så hamnar man runt 10-12 MByte/s på en krypterad filsystem - ganska lika även mellan olika kryptomiljöer. Problemet med de olika ARM-versionerna på Low-end NAS (som din) är att även om använda ARM-propp har HW-AES-stöd så stödde inte libbarna för det i använda OS utan det mjukvaru-tuggades oavsett
En system är att använda encfs som vissa NAS:ar använder (bl.a Asustor idag) men med nackdelen att filnamnen kan bara vara max 148 tecken långa och är en filbaserad kryptering vilket gör att man kan analysera fil-längder och tex kan se att det troligen är mediafiler av sin storlek även om filnamn och innehåll är krypterat
volymbaserad kryptering så är dm-crypt (och hanteras ofta med cryptsetup och med Lukscrypt) mer eller mindre standard men måste planeras i samband när man skapar volymer då det är block-device-kryptering direkt mot partitioner eller diskimage-kontainrar via loopback (losetup...) och filsystemet läggs sedan ovanpå detta - på en raidad system kan det vara 3 lager med först md-adm-RAID, på detta DM-crypt och ovanpå allt själva filsystemet som då oftast också är en volym i NAS:en
Asustor använde det tidigare via loop-AES eller dm-crypt (kommer inte ihåg vilket) på lägsta nivå utan Lukscrypt eller cryptsetup som skal på en fil som var en diskimage som gömdes på den befintliga volymen och var en sk. sparse-fil lika stor som hela volymen men tog nästan ingen plats på disken när den var nyinitierad - problemet med detta arrangemang var att platsen återlämnades inte till volymen när man tog bort filer igen i den krypterade volymen och det fans ingen funktion som 'nollade' sektorer utanför själva krypteringen när man raderade filer.
Detta medförde att man förr eller senare körde 'End of Space' på volymen och man kunde inte göra ett skit trots att den krypterade delen var i stort sett tom.
Detta hände tydligen för tillräckligt många användare och Asustor ändrade det till encfs i senare mjukvaruuppdateringar.
Inte helt rätt fram, vad är NAS OS? Kan man tanka ner det och leka runt med det på i t.ex. virtualbox??
Bara för att den kör linux kernel betyder det inte att tillverkarna inte varit kreativa med egna lösningar och byggt på funktionalitet. I vanliga linux distributioner är är LUKS vanligt, men det finns flera sätt att kryptera sina diskar på. Och oftast är det inte bara någon flagga, utan snarare en installations setup man får göra.
Sen handlar det också om vad din NAS har för processor. Är du nöjd med t.ex. en max hastighet på 100-300kb/sec när CPUn går i taket för den saknar vissa instruktioner som accelererar kryptering? Det kan vara enorm skillnad, man kan inte ta sånt förgivet att det bara skulle vara lite långsammare.
NAS OS är Seagates Linux-variant för deras (och LaCie:s, som de köpt) NAS:ar.
Det går att ladda ner från http://www.seagate.com/nasos/SDK/0.7/downloads/index.html och köra i Virtual Box.
Det är en, av naturliga skäl, ganska begränsad Linux med Busy Box istället för de flesta "normala" kommandoradsprogrammen.
Ja, jag skulle vara nöjd med låg prestanda. Det enda jag använder den till är Time Machine-säkerhetskopior. Så länge de blir klara på ett dygn är jag nöjd.
Har du provat att uppdatera mjukvara till den senaste och se om funktionaliteten har tillkommit (när man uppdaterar en NAS och speciellt stora uppdatering när man hoppar flera steg i uppdatering på en gång, skall man alltid säkra att man har backup på sina data innan på externa USB-diskar)
Ja, den är uppdaterad. Ursprungligen kom den med NAS OS 3, som inte erbjöd kryptering.
det kan också vara att du får skrota dina nuvarande volymer (och tappa all data om de inte flyttas/har backupp) och skapa nya innan du kan välja krypteringen då en del av dessa är diskvolymbaserade/partitionsbaserade (dm-crypt) och kan inte läggas på i efterhand på en redan använd partition/filsystem. Däremot om man använder 'encfs' så kan det lägga på befintlig volym och dessutom kan köras med Usermode utan beroende av root-rättigheter (använder FUSE för att skapa virtuella filsystem på user-nivå).
Ja, så är det - man måste radera alla volymer och börja om från början. Så vitt jag kunnat läsa mig till är det dm-crypt som används.
på somliga NAS-fabrikat (som netgears NAS) så kan man hämta tilläggs-programvara via 'apt-get install' systemet - andra som Asustor är helt isolerad och mycket fientlig på cli-nivå och väldigt lite 'standard' fungerar om man vill jobba via SSH-termina...
Den är skulle jag säga är mittemellan. Den har ingen pakethanterare men relativt mycket kommandoradsprogram. Däremot ingen kompilator. Jag har kört bonnie++ på den i okrypterat läge för att kolla prestandan innan jag ev lyckas kryptera den så jag kan jämföra, och den fick jag korskompilera från Virtual Box (första gången jag gjorde det och jag lyckades på första försöket - helt otroligt!).
På en ARM-baserad NAS med 32-bitars OS
Det är 64-bitars:
$ uname -a
Linux MyDevice 4.9.127-svn20747 #1 SMP Thu Jan 17 05:46:18 UTC 2019 x86_64 GNU/Linux
volymbaserad kryptering så är dm-crypt (och hanteras ofta med cryptsetup och med Lukscrypt) mer eller mindre standard men måste planeras i samband när man skapar volymer då det är block-device-kryptering direkt mot partitioner eller diskimage-kontainrar via loopback (losetup...) och filsystemet läggs sedan ovanpå detta - på en raidad system kan det vara 3 lager med först md-adm-RAID, på detta DM-crypt och ovanpå allt själva filsystemet som då oftast också är en volym i NAS:en
Det är nog så min enhet fungerar.
Vad tror du? Vore ju strålande om man kunde hitta någon boolean någonstans och ändra så att setup-programmet exponerar den här funktionen i GUI:t. Hur svårt är det att göra det från kommandoraden annars? Jag gissar ju att setup-GUI:t anropar olika kommandoradsprogram för att åstadkomma kryptering så om man bara kunde hitta detta skript så kan man ju stega igenom det manuellt.
Stort tack för hjälpen!
Jo de flesta knappar i GUI slutar i andra ändan i någon form av kommandoradsprogram.
att hantera dm-crypt ensam är bökig på kommandoradssidan då man skall trycka i en väldigt massa parametrar på detajnivå och dessutom är volymen som skapas inte 'säker' - inte i avseende säkerhetsmässighet då den är bra utan att strukturen påminner om en okrypterad filsystem och kan mountas av misstag med fel filsystemhanterare och man får totalhaveri.
Det som är vanligaste med dm-crypt är att man använder ett 'skal' av scriptar ursprungligen, nu program som kallas 'cryptsetup' som tar hand om all krångel med bra defaultvärden till chiphern mm. och gömma undan passorden på bra sätt och där kan man välja Lukscrypt som sätter en egen header på partitionen och därmed inte kan misstas för en valid filsystem längre. LUKS-crypt ger också möjligheten med upp till 8 olika nycklar för att komma in i samma volym
---
dm-crypt går på partitioner så där går det inte så mycket att göra åt om man inte är villig att skrota sina volymer och bygga nytt.
Om man nöjer sig med filkryptering så kanske gocryptfs skulle vara något att kolla om man kan kompilera upp det för ARM-miljö (finns för rpi) och är skriven i go.
Den kör på FUSE och därmed inte behöver rooträttigheter för att köras - den kan också köras reverserat precis som encfs (dvs man refererar mot en filträd i filer ej krypterad form och nya mappen som gocryptfs monteras mot visar då samma filträd som orginalet men då som krypterade filer och mappar som speglas och kan tex. synkas mot molntjänst då alla filer är krypterade som skickas över med tex rsync eller rclone - med andra ord filerna krypteras bara när man läser ut dessa från den krypterande mapparna vilket gör att man fortfarande har kvar snabbheten på den ej krypterade orginalsidan som inte är krypterad.
Hur eller hur så är det en efterföljare på encfs 'in mind' och fixat en del av potentiella vekheterna som encfs har samt att de har löst att man kan ha filnamn ända till 255 tkn
dm-crypt går på partitioner så där går det inte så mycket att göra åt om man inte är villig att skrota sina volymer och bygga nytt.
Just det är inga problem, enheten är tom i dagsläget.
Skickar PM, tror att fortsatt diskussion görs sig bättre den vägen.
- 7 / 6 Rykte: Sony ruvar på PC-version av The Last of Us Part II 16
- 6 / 6 Enkelt knep öppnar gamla Utforskaren i Windows 11 19
- 6 / 6 Microsoft återstartar Windows 10-betatester 45
- 5 / 6 Ikea vill servera virtuella köttbullar i Roblox 21
- 2 / 6 Nvidia bygger AI-spelassistent som körs på grafikkortet 30
- Helgsnack: Var det sämre förr?67
- Bygga högtalare2
- Elbilar - Tråden för intresserade23362
- En fråga ang Odyssey OLED G8 och Nvidia4
- Hej! vad skulle ni vädera denna dator?2
- Formel 1-tråden9120
- Dagens fynd — Diskussionstråden49910
- Tråden om PlayStation 514803
- Datorskärm startar om när min TV används?0
- Microsoft släpper guide till nycklar i Windows8
- Säljes G.Skill DDR5 6000 MHZ CL30 (2x16GB)
- Säljes Custom Loop - i9-9900K / 32 GB / 2 TB / RTX 3080 / Win 11
- Säljes Kontorsrensning - Auktion - Multipla varor.
- Bytes LG 65” OLED *C1* bytes mot en 55”
- Säljes 32 GB (2x16) DDR5 6400mt/s cl32 Kingston Fury Renegade
- Säljes Overkill 19" brandväggsbygge - 2*10Gb, E3-1225 v5, 32GB DDR4
- Säljes Passiva vattenkylningsflänsar
- Köpes Lenovo Legion Go defekt reservdel
- Säljes XFX MERC 310 7900 XTX 24GB
- Säljes Nyköpt AM5 och 7800X3D-paket
- Microsoft släpper guide till nycklar i Windows8
- Krönika: Jag blir förvirrad av alla Steam Deck-kloner30
- Förvirring och ilska kring Adobes uppdaterade villkor21
- Helgsnack: Var det sämre förr?67
- Microsoft svarar på Recall-kritiken25
- Internetberoende leder till förändringar i hjärnan42
- Rykte: Sony ruvar på PC-version av The Last of Us Part II16
- SweClockers Noobbyggarguide - Del 6: Den grafiska finalen4
- Efterlängtad Noctua-kylare släpps i juni42
- Nvidia når 3 biljoner dollar på börsen – passerar Apple60