Verschlüsseltes Backup: Unterschied zwischen den Versionen

Aus
Keine Bearbeitungszusammenfassung
(vereinfacht, Passwort direkt im Skript angeben)
Zeile 10: Zeile 10:


== Vorgehen ==
== Vorgehen ==
'''1. Erstellen eines verschlüsselten Ordners''', ganz normal übers [[Verschlüsselung gemeinsamer Ordner|DSM]].
'''1. Die externe Platte anhängen.'''


:Der Name ist egal, wir brauchen davon nur den Schlüssel, daher kann der Ordner auch versteckt werden und es braucht auch keiner Rechte drauf. Wichtig ist, den Ordner zu verschlüsseln. '''Das verwendete Passwort''' sollte man sich '''gut merken''', da man es im Falle eines Ausfalls der DS wieder benötigt.
'''2. Konsole auf die DS öffnen.'''


:Da der Schlüssel nur für die externen Platten verwendet wird, kann er auch dauerhaft auf der DS liegen. Dieser Ordner darf nicht gelöscht werden, weil dann auch der Schlüssel verloren geht.
'''3. Auf der externen Platte die notwendigen Verzeichnisse anlegen.'''
 
:Dieser Schritt ist nur ein einziges Mal durchzuführen.
 
:Anmerkung: Die Schlüsselverwaltung ist scheinbar etwas fragil. Änderungen an den Freigaben können dazu führen, dass der <code>mount</code>-Befehl nicht mehr funktioniert (mit der nichtssagenden Fehlermeldung "No such file or directory"). In dem Fall den Ordner löschen und erneut anlegen.
 
'''2. Die externe Platte anhängen.'''
 
'''3. Konsole auf die DS öffnen.'''
 
4'''. Auf der externen Platte die notwendigen Verzeichnisse anlegen.'''
<pre style="margin-left:20px">DS> cd /volumeSATA/satashare/
<pre style="margin-left:20px">DS> cd /volumeSATA/satashare/
DS> mkdir @backup@
DS> mkdir @backup@
DS> mkdir backup</pre>
DS> mkdir backup</pre>


:Auch dieser Schritt ist nur ein einziges Mal durchzuführen.
:Dieser Schritt ist nur beim ersten Mal durchzuführen.


'''5. Das verschlüsselte Dateisystem mounten.'''  
'''4. Das verschlüsselte Dateisystem mounten.'''  
:Die notwendigen Daten erfährt man durch die Eingabe von "<code>mount</code>".
<pre style="margin-left:20px">DS> /usr/syno/sbin/mount.ecryptfs /volumeSATA/satashare/@backup@ /volumeSATA/satashare/backup
<pre style="margin-left:20px">DS> mount
-o ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=n,no_sig_cache,ecryptfs_enable_filename_crypto,passwd=PASSWORD</pre>
...
:(alles in einer Zeile)
/volume1/@test@ on /volume1/test type ecryptfs (rw,ecryptfs_sig=d1a01d50c3f21e00,
ecryptfs_fnek_sig=d1a01d50c3f21e00,ecryptfs_cipher=aes,ecryptfs_key_bytes=32)</pre>
:(Die Zeile wurde zur besseren Lesbarkeit umgebrochen. Anstelle von "test" den oben angelegten Ordnernamen suchen. Die Buchstaben-Ziffer-Kombination - im Beispiel "<code>d1a01d50c3f21e00</code>" - hängt vom jeweiligen Passwort ab.)


:Relevant ist der Teil in Klammern. Daraus ergibt sich dann folgender Befehl (alles in einer Zeile):
<pre style="margin-left:20px">DS> mount -t ecryptfs /volumeSATA/satashare/@backup@ /volumeSATA/satashare/backup -o rw,ecryptfs_sig=d1a01d50c3f21e00,
ecryptfs_fnek_sig=d1a01d50c3f21e00,ecryptfs_cipher=aes,ecryptfs_key_bytes=32</pre>
:Im Verzeichnis "@backu@" landen die verschlüsselten Daten, daher sollte man dort selber nichts anfassen. Der Zugriff erfolgt über das Verzeichnis "backup".
:Im Verzeichnis "@backu@" landen die verschlüsselten Daten, daher sollte man dort selber nichts anfassen. Der Zugriff erfolgt über das Verzeichnis "backup".


'''6. Durchführen des Backups.''''
'''5. Durchführen des Backups.'''
:Jetzt kann man in "<code>/volumeSATA/satashare/backup</code>" ein Backup durchführen, hierbei kann man das Backupprogamm seiner Wahl verwenden ([[Backup über RSync auf einen angeschlossenen Datenträger|rsync]], [[Rsnapshot|rsnapshot]] oder was auch immer).
:Jetzt kann man in "<code>/volumeSATA/satashare/backup</code>" ein Backup durchführen, hierbei kann man das Backupprogamm seiner Wahl verwenden ([[Backup über RSync auf einen angeschlossenen Datenträger|rsync]], [[Rsnapshot|rsnapshot]] oder was auch immer).


'''7. Das verschlüsselte Dateisystem aushängen''', wenn das Backup abgeschlossen ist und der Datenträger entfernt werden soll.
'''6. Das verschlüsselte Dateisystem aushängen''', wenn das Backup abgeschlossen ist und der Datenträger entfernt werden soll.
<pre style="margin-left:20px">DS> umount /volumeSATA/satashare/backup/</pre>
<pre style="margin-left:20px">DS> /bin/umount /volumeSATA/satashare/backup/</pre>




== Fertiges Script ==
== Fertiges Script ==
Das folgende Script automatisiert den kompletten Vorgang (die Punkte 5. bis 7), zusätzlich mit:
Das folgende Script automatisiert den kompletten Vorgang (die Punkte 4. bis 6.), zusätzlich mit:
* automatisches Ausführen beim Anstecken der Platte (mittels [http://www.synology-forum.de/showthread.html?t=18360 autorun])
* automatisches Ausführen beim Anstecken der Platte (mittels [http://www.synology-forum.de/showthread.html?t=18360 autorun])
* Fehlerprüfungen
* Fehlerprüfungen
Zeile 83: Zeile 67:
echo "" >> $logfile
echo "" >> $logfile


/bin/mount -t ecryptfs $device/@backup@ $device/backup \
/usr/syno/sbin/mount.ecryptfs $device/@backup@ $device/backup \
-o rw,ecryptfs_sig=d1a01d50c3f21e00,ecryptfs_fnek_sig=d1a01d50c3f21e00,ecryptfs_cipher=aes,ecryptfs_key_bytes=32
-o ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=n,no_sig_cache,ecryptfs_enable_filename_crypto,passwd=PASSWORD
if [ $? -eq 0 ]
if [ $? -eq 0 ]
then
then
Zeile 134: Zeile 118:
Die folgenden Stellen muss man ggf. anpassen:
Die folgenden Stellen muss man ggf. anpassen:
* 2. Script - "<code>/volume1/backup/backup-sata-`date +%Y-%V`.log</code>": Das ist die Logdatei. Hier muss ggf. der Pfad angepasst werden.
* 2. Script - "<code>/volume1/backup/backup-sata-`date +%Y-%V`.log</code>": Das ist die Logdatei. Hier muss ggf. der Pfad angepasst werden.
* 2. Script - "<code>d1a01d50c3f21e00</code>": Das ist der Schlüssel. Da er vom verwendeten Passwort abhängt muss er entsprechend angepasst werden.
* 2. Script - "<code>PASSWORD</code>": Das Passwort für die Verschlüsselung.
* 2. Script - "<code>synomail ...</code>": Die Mailbenachrichtigung erfolgt über die eingebaute Funktion der DS, also muss sie auch in der Systemsteuerung konfiguriert sein. Die Texte sind in "/usr/syno/synoman/webman/texts/ger/mails" (bzw. die Sprache, die für die DS eingestellt ist), hier müssten die beiden Einträge "SATABackupFailed" und "SATABackupSuccess" hinzugefügt werden. Alternativ die Zeilen rausnehmen (keine Mail) oder durch eine [[Statusmail von der Diskstation|alternative Variante]] ersetzen.
* 2. Script - "<code>synomail ...</code>": Die Mailbenachrichtigung erfolgt über die eingebaute Funktion der DS, also muss sie auch in der Systemsteuerung konfiguriert sein. Die Texte sind in "/usr/syno/synoman/webman/texts/ger/mails" (bzw. die Sprache, die für die DS eingestellt ist), hier müssten die beiden Einträge "SATABackupFailed" und "SATABackupSuccess" hinzugefügt werden. Alternativ die Zeilen rausnehmen (keine Mail) oder durch eine [[Statusmail von der Diskstation|alternative Variante]] ersetzen.
* 3. Script: Dieses muss man an seine Gegebenheiten anpassen, welches Backupprogramm, welche Verzeichnisse, .... Wichtig ist, dass immer absolute Pfadangaben zu den Programmen verwendet werden müssen, da bei Ausführen der Suchpfad ggf. eingeschränkt ist.
* 3. Script: Dieses muss man an seine Gegebenheiten anpassen, welches Backupprogramm, welche Verzeichnisse, .... Wichtig ist, dass immer absolute Pfadangaben zu den Programmen verwendet werden müssen, da bei Ausführen der Suchpfad ggf. eingeschränkt ist.
'''Getestet mit'''
* [[Benutzer:Merthos|Merthos]]: DS1010 - DSM 2.3, externe Platte am eSATA-Anschluss (LogiLink QuickPort Docking Station) - ohne Auswerfen der Platte
* [[Benutzer:Merthos|Merthos]]: DS1010 - DSM 3.0, externe Platte am eSATA-Anschluss (LogiLink QuickPort Docking Station)




== Wiederherstellung ==
== Wiederherstellung ==
'''Sofern auf der DS noch alles OK ist''' (ursprünglicher verschlüsselter Ordner noch vorhanden):
'''Sofern man Zugriff auf eine DS hat'''


1. Externe Platte anhängen.
1. Externe Platte anhängen.
Zeile 151: Zeile 130:
2. Konsole auf die DS öffnen.
2. Konsole auf die DS öffnen.


3. Das verschlüsselte Dateisystem mounten.
3. Das verschlüsselte Dateisystem mounten (siehe oben).
<pre style="margin-left:20px">DS> mount -t ecryptfs /volumeSATA/satashare/@backup@ /volumeSATA/satashare/backup -o rw,ecryptfs_sig=d1a01d50c3f21e00,
ecryptfs_fnek_sig=d1a01d50c3f21e00,ecryptfs_cipher=aes,ecryptfs_key_bytes=32</pre>


4. Daten aus "<code>/volumeSATA/satashare/backup</code>" wiederherstellen, manuell kopieren oder wieder rsync, ....
4. Daten aus "<code>/volumeSATA/satashare/backup</code>" wiederherstellen, manuell kopieren oder wieder rsync, ....


5. Nach Abschluss das verschlüsselte Dateisystem wieder aushängen.
5. Nach Abschluss das verschlüsselte Dateisystem wieder aushängen (siehe oben).
<pre style="margin-left:20px">DS> umount /volumeSATA/satashare/backup/</pre>
 
 
'''Wenn der verschlüssselter Ordner auf der DS weg ist bzw. man eine neue DS hat'''
 
1. Verschlüsselten Ordner übers DSM anlegen. Hierbei das gleiche Passwort wie ursprünglich eingeben.
 
2. Punkte 1-5 wie vorstehend.




Version vom 20. Dezember 2012, 18:10 Uhr

Die hier beschriebenen Methode dient zur Verschlüssung eines Backups mit Hilfe von eCryptfs. Dieses ist seit DSM 2.3 mit in der Standard-Firmware enthalten. Sie kann prinzipiell für alle an der DS angeschlossenen Datenträger verwendet werden (interne, USB, eSATA).


Voraussetzungen


Vorgehen

1. Die externe Platte anhängen.

2. Konsole auf die DS öffnen.

3. Auf der externen Platte die notwendigen Verzeichnisse anlegen. 

DS> cd /volumeSATA/satashare/
DS> mkdir @backup@
DS> mkdir backup
Dieser Schritt ist nur beim ersten Mal durchzuführen.

4. Das verschlüsselte Dateisystem mounten. 

DS> /usr/syno/sbin/mount.ecryptfs /volumeSATA/satashare/@backup@ /volumeSATA/satashare/backup 
-o ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=n,no_sig_cache,ecryptfs_enable_filename_crypto,passwd=PASSWORD
(alles in einer Zeile)
Im Verzeichnis "@backu@" landen die verschlüsselten Daten, daher sollte man dort selber nichts anfassen. Der Zugriff erfolgt über das Verzeichnis "backup".

5. Durchführen des Backups.

Jetzt kann man in "/volumeSATA/satashare/backup" ein Backup durchführen, hierbei kann man das Backupprogamm seiner Wahl verwenden (rsync, rsnapshot oder was auch immer).

6. Das verschlüsselte Dateisystem aushängen, wenn das Backup abgeschlossen ist und der Datenträger entfernt werden soll. 

DS> /bin/umount /volumeSATA/satashare/backup/


Fertiges Script

Das folgende Script automatisiert den kompletten Vorgang (die Punkte 4. bis 6.), zusätzlich mit:

  • automatisches Ausführen beim Anstecken der Platte (mittels autorun)
  • Fehlerprüfungen
  • Logging (es wird eine Logdatei pro Woche angelegt)
  • Mailbenachrichtigung
  • Auswerfen des Datenträgers nach Abschluss


Das Backup wird mittels autorun gestartet. Daher brauchen wir ein passendes autorun-Skript (/volumeSATA/satashare/autorun): 

#!/bin/sh
/volume1/backupSATA $1
exit $?

Dieses startet das Mount-Skript, welches sich auf der DS befindet (weil dort Angaben zur Verschlüsselung drin sind).


Das zweite Script findet sich auf der DS (/volume1/backupSATA) und steuert das Mounten: 

#!/bin/sh

if [ -z "$1" ]
then
        exit 1
fi

logfile="/volume1/backup/backup-sata-`date +%Y-%V`.log"
device=$1

echo "########################################################################" >> $logfile
echo "" >> $logfile
echo "Starting backup on `date +%Y-%m-%d` `date +%k:%M:%S`" >> $logfile
echo "" >> $logfile

/usr/syno/sbin/mount.ecryptfs $device/@backup@ $device/backup \
-o ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=n,no_sig_cache,ecryptfs_enable_filename_crypto,passwd=PASSWORD
if [ $? -eq 0 ]
then
        echo "Encrypted filesystem mounted" >> $logfile
else
        echo "Error while mounting the encrypted filesystem" >> $logfile
        echo "" >> $logfile
        /usr/syno/bin/synomail SATABackupFailed
        exit 1
fi

$device/backup/run.backup $device >> $logfile 2>&1

echo "" >> $logfile
echo "------------------------------------------------------------------------" >> $logfile
echo "" >> $logfile

/bin/umount $device/backup >> $logfile
if [ $? -eq 0 ]
then
        echo "Encrypted filesystem unmounted" >> $logfile
else
        echo "Error while unmounting the encrypted filesystem" >> $logfile
        echo "" >> $logfile
        /usr/syno/bin/synomail SATABackupFailed
        exit 1
fi

echo "" >> $logfile
/bin/df -h $device >> $logfile
echo "" >> $logfile
echo "Backup finished on `date +%Y-%m-%d` `date +%k:%M:%S`" >> $logfile
echo "" >> $logfile

/usr/syno/bin/synomail SATABackupSuccess
exit 100


Das dritte Script findet sich auf der Platte selbst ("/volumeSATA/satashare/backup/run.backup"). Dadurch können verschiedene Platten mit unterschiedlichen Backupaufgaben verwenden werden. 

echo ""
echo "-- homes ---------------------------------------------------------------"
/usr/syno/bin/rsync -avh --delete --exclude=#recycle --exclude=Thumbs.db /volume1/homes/ $1/backup/homes

...


Anmerkungen

Die folgenden Stellen muss man ggf. anpassen:

  • 2. Script - "/volume1/backup/backup-sata-`date +%Y-%V`.log": Das ist die Logdatei. Hier muss ggf. der Pfad angepasst werden.
  • 2. Script - "PASSWORD": Das Passwort für die Verschlüsselung.
  • 2. Script - "synomail ...": Die Mailbenachrichtigung erfolgt über die eingebaute Funktion der DS, also muss sie auch in der Systemsteuerung konfiguriert sein. Die Texte sind in "/usr/syno/synoman/webman/texts/ger/mails" (bzw. die Sprache, die für die DS eingestellt ist), hier müssten die beiden Einträge "SATABackupFailed" und "SATABackupSuccess" hinzugefügt werden. Alternativ die Zeilen rausnehmen (keine Mail) oder durch eine alternative Variante ersetzen.
  • 3. Script: Dieses muss man an seine Gegebenheiten anpassen, welches Backupprogramm, welche Verzeichnisse, .... Wichtig ist, dass immer absolute Pfadangaben zu den Programmen verwendet werden müssen, da bei Ausführen der Suchpfad ggf. eingeschränkt ist.


Wiederherstellung

Sofern man Zugriff auf eine DS hat

1. Externe Platte anhängen.

2. Konsole auf die DS öffnen.

3. Das verschlüsselte Dateisystem mounten (siehe oben).

4. Daten aus "/volumeSATA/satashare/backup" wiederherstellen, manuell kopieren oder wieder rsync, ....

5. Nach Abschluss das verschlüsselte Dateisystem wieder aushängen (siehe oben).


Wenn man keine DS mehr besitzt

Wie hier beschrieben vorgehen. Auch hierbei ist das ursprünglich eingegebene Passwort notwendig.


Abgerufen von „https://www.synology-wiki.de/index.php?title=Verschlüsseltes_Backup&oldid=5449