Privacy en privileges

[Sylvester]

Misschien is dit wel een moeilijke. Op één van onze NAS'en is er een privacy-vraagje gekomen. Men heeft een probleem met het feit dat er toch ergens wel iemand is die aan alle gegevens kan, de admin of iemand met admin rechten dus. Het gaat dan vooral over foto's in de photo map en documenten in de homes map.
Volgens mij is het niet mogelijk om ervoor te zorgen dat niemand hiervan iets kan zien. Het admin account kan je verwijderen, maar er zal toch altijd iemand moeten zijn met admin rechten.
Die gebruiker kan je wel de toegang tot de 'homes' map ontzeggen, maar kan dan zelf niet meer in z'n eigen home map.
Voor photos ben ik er niet uit. Volgens mij kan het admin account altijd aan alle foto's. Je kan die verwijderen, iemand anders admin rechten geven, en die de toegang tot de foto's van anderen ontzeggen.

Voor de backups ben ik er ook niet uit. Ik weet niet of je met kwade bedoelingen iets uit een backup kan halen. Uit een cloudsync kan je in principe alle gegevens halen denk ik, zelfs de foto's.
Uit een 1 op 1 backup met hyper backup kan je ook alle gegevens halen. Er moet toch ergens een account zijn dat toegang heeft tot de doelschijf.
Uit een .hbk file van hyper bakcup weet ik het niet. Kan je daaruit iets halen? Ook hier moet er een account zijn dat toegang heeft tot de doelschijf.

Moeilijke oefening denk ik.
Is er een mogelijkheid dat ik de gebruikers 100% kan garanderen dat hun documenten en foto's volledig afgeschermd zijn voor iedereen?

[Ben(V)]

Nee dat kan nooit.
Een admin heeft altijd mogelijkheden overal bij te komen.

De enige manier om dat garanderen is als de gebruiker zelfs zijn foto's en documenten met een sterk encryptie algoritme versleuteld en het dan pas op de Nas plaats.
Eventueel kan dat met een encrypted folder waar de gebruiker de key van krijgt, maar je hebt weer een admin nodig om die aan te maken en die admin zou dan de key kunnen kopieren voor hij hem aan de gebruiker geeft.

[Robert Koopman]

En daarbij, als iemand zo bezorgd is over de privacy van zijn materiaal dan zet je dat toch nooit bij iemand anders?

[Briolet]

Tja, dat geldt voor bijna elk cloud of mail systeem. Je mail staat bij gmail, ziggo, kpn etc ook gewoon leesbaar voor de systeembeheerders op een schijf.

Voor mac gebruikers kun je er een encrypted disk image op zetten via het "disk hulp programma". De mac ondersteunt diverse types, maar de sparcebundel is het handigste. Die verbruikt geen ruimte bij aanmaak en kan groeien tot een vooraf ingesteld maximum. Je moet dan wel steeds dubbel mounten. Dus eerste de share mounten en vervolgens de diskimage mounten. Voordeel van het laatste is dat de mac dit plots als een hfs+ disk gaat zien en een heleboel specifieke apple features zoals versioning weer goed werken.

Maar dit werkt niet met data die de nas zelf beheert, zoals moments, drive etc.

[Briolet]

Die gebruiker kan je wel de toegang tot de 'homes' map ontzeggen, maar kan dan zelf niet meer in z'n eigen home map.

En dit is natuurlijk echt fout. Een gebruiker moet per definitie geen toegang tot homes hebben. Ik geef zelfs administrators geen toegang tot homes. Je krijgt dan idd de melding dat je ook niet meer bij je eigen home kunt, maar ik heb nog nooit gemerkt dat dit echt zo is.

Alleen als ik echt bij een andere home wil zijn, zet ik die restrictie tijdelijk uit. Voor gewoon gebruik wil ik niet per ongeluk in andermans privé map terecht komen.

[sciurius]

Voor dit doel gebruik ik on mijn linux systemen encfs. Daarmee kun je bestanden encrypted op schijf opslaan terwijl je op je eigen systeem dmv. een speciale mount unencrypted toegang hebt tot de bestanden. Als je de bestanden op een nas of cloud zet, zijn ze daar dus encrypted en niemand anders heeft de key. Omdat de encryptie werkt op de losse bestanden en niet op het gehele filesystem of disk is de synchronisatie en (incrementele) backup een fluitje van een cent.

Zonder twijfel hebben andere systemen vergelijkbare tools.

[Plerry]

Ik gebruik/gebruikte daarvoor BoxCryptor Classic (niet meer verkrijgbaar).
Misschien dat de huidige gratis versie van BoxCryptor ook voldoet (wel file-inhoud encryptie, geen file-naam encryptie).

Als goed freeware alternatief wordt genoemd Cryptomator
Zelf echter geen ervaring mee.

In beide gevallen betreft het file-level encryptie oplossingen die op je locale PC/laptop een virtuele drive mounten.
Die drive kan bijv. een share op je NAS zijn.
Die virtuele drive is op je locale machine volkomen transparent.
Op de fysieke locatie op je NAS is de inhoud van je bestanden en eventueel zelfs de bestandsnaam evenwel encrypted met een zelf te kiezen sleutel.

[Ben(V)]

Misschien een suggestie doen naar Synology om user level encryption mogelijk te maken.
Lijkt me niet zo moeilijk te implementeren voor Synology.

[Briolet]

Relesenotes van Version: 6.1-15047 (21-2-2017)

In addition to encrypting a shared folder as you create it, you can now encrypt an existing shared folder, including the "homes" folder, after its creation.

In elk geval is het sinds die datum ook mogelijk achteraf een share te encrypten en is er encryptie op de homes folder bij gekomen. (Alleen dan één sleutel voor homes en niet per home)

[Birdy]

Home is ook geen share maar een link maar, dat wist je natuurlijk wel.
Synology zou eigenlijk per NIET gedeelde Folder de encryptie (moeten) kunnen introduceren of zou dat nu te moeilijk zijn.

[Briolet]

…Lijkt me niet zo moeilijk te implementeren voor Synology.

Wel als bestaande functies in Home moeten blijven werken. 

De decryption key kun je nooiit op de nas opslaan, want anders kan de administrator er via een omweg bij. Dus drive, moments, MailServer, persoonlijke photo station, persoonlijke website etc zullen dan nooit gebruikt kunnen worden. Hiervoor heeft de nas altijd toegang tot de betreffende home folder nodig.

Na inloggen zal de gebruiker dan een extra code moeten opgeven om zijn home te ontsleutelen. Ik zie zo niet hoe je dat bij mounten als share kunt doen, zonder eerst via een dsm inlog de home vrij te schakelen.

En volgens mij moet een administrator op dat moment, na ontsleuteling voor toegang, toch bij de data kunnen komen.

[Sylvester]

Die gebruiker kan je wel de toegang tot de 'homes' map ontzeggen, maar kan dan zelf niet meer in z'n eigen home map.

En dit is natuurlijk echt fout. Een gebruiker moet per definitie geen toegang tot homes hebben. Ik geef zelfs administrators geen toegang tot homes. Je krijgt dan idd de melding dat je ook niet meer bij je eigen home kunt, maar ik heb nog nooit gemerkt dat dit echt zo is.

Alleen als ik echt bij een andere home wil zijn, zet ik die restrictie tijdelijk uit. Voor gewoon gebruik wil ik niet per ongeluk in andermans privé map terecht komen.

Om hierop even terug te komen...
Stel dat je het toch zonder encryptie wil doen, ik zou eventueel toch het account 'admin' geen toegang meer geven tot homes. Er is nog iemand met admin rechten, die moet deze dan maar stopzetten.
Maar dan nog is het niet opgelost. Je kan als admin zelf terug de toegang tot homes inschakelen. Dus dat is geen oplossing.

[Ben(V)]

Je hoeft echt niet verder te speculeren om het zonder private encryption te doen te doen.

Een admin kan altijd overal bij als was het maar dat hij zich toegang tot de commandline kan geven en met sudo root privileges kan krijgen.
Daar helpt niets tegen.
En nog iets als je fysiek bij een Nas kunt kun je altijd de disk eruit halen en aan een andere computer hangen.

[Sylvester]

En daarbij, als iemand zo bezorgd is over de privacy van zijn materiaal dan zet je dat toch nooit bij iemand anders?

Dit is ook een punt natuurlijk. Het is niet echt 'bij iemand anders', het is op eigen NAS. Maar via die weg kan natuurlijk altijd minstens de admin of account met admin rechten er aan.
Ik ga het eens bekijken wat ze precies willen of toelaten.