Auteur Topic: Privacy en privileges  (gelezen 2917 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

Offline Sylvester

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 117
  • -Ontvangen: 104
  • Berichten: 1.791
Privacy en privileges
« Gepost op: 11 september 2018, 00:16:29 »
Misschien is dit wel een moeilijke. Op één van onze NAS'en is er een privacy-vraagje gekomen. Men heeft een probleem met het feit dat er toch ergens wel iemand is die aan alle gegevens kan, de admin of iemand met admin rechten dus. Het gaat dan vooral over foto's in de photo map en documenten in de homes map.
Volgens mij is het niet mogelijk om ervoor te zorgen dat niemand hiervan iets kan zien. Het admin account kan je verwijderen, maar er zal toch altijd iemand moeten zijn met admin rechten.
Die gebruiker kan je wel de toegang tot de 'homes' map ontzeggen, maar kan dan zelf niet meer in z'n eigen home map.
Voor photos ben ik er niet uit. Volgens mij kan het admin account altijd aan alle foto's. Je kan die verwijderen, iemand anders admin rechten geven, en die de toegang tot de foto's van anderen ontzeggen.

Voor de backups ben ik er ook niet uit. Ik weet niet of je met kwade bedoelingen iets uit een backup kan halen. Uit een cloudsync kan je in principe alle gegevens halen denk ik, zelfs de foto's.
Uit een 1 op 1 backup met hyper backup kan je ook alle gegevens halen. Er moet toch ergens een account zijn dat toegang heeft tot de doelschijf.
Uit een .hbk file van hyper bakcup weet ik het niet. Kan je daaruit iets halen? Ook hier moet er een account zijn dat toegang heeft tot de doelschijf.

Moeilijke oefening denk ik.
Is er een mogelijkheid dat ik de gebruikers 100% kan garanderen dat hun documenten en foto's volledig afgeschermd zijn voor iedereen?
DS1517+, DS1522+ en 2 x DS716+II
en Mac gebruiker... en Windows allergie ...

Ben(V)

  • Gast
Re: Privacy en privileges
« Reactie #1 Gepost op: 11 september 2018, 09:26:20 »
Nee dat kan nooit.
Een admin heeft altijd mogelijkheden overal bij te komen.

De enige manier om dat garanderen is als de gebruiker zelfs zijn foto's en documenten met een sterk encryptie algoritme versleuteld en het dan pas op de Nas plaats.
Eventueel kan dat met een encrypted folder waar de gebruiker de key van krijgt, maar je hebt weer een admin nodig om die aan te maken en die admin zou dan de key kunnen kopieren voor hij hem aan de gebruiker geeft.

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 272
  • -Ontvangen: 1802
  • Berichten: 10.985
    • http://www.dwvbb.nl
Re: Privacy en privileges
« Reactie #2 Gepost op: 11 september 2018, 09:57:30 »
En daarbij, als iemand zo bezorgd is over de privacy van zijn materiaal dan zet je dat toch nooit bij iemand anders?

RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: Privacy en privileges
« Reactie #3 Gepost op: 11 september 2018, 09:58:28 »
Tja, dat geldt voor bijna elk cloud of mail systeem. Je mail staat bij gmail, ziggo, kpn etc ook gewoon leesbaar voor de systeembeheerders op een schijf.

Voor mac gebruikers kun je er een encrypted disk image op zetten via het "disk hulp programma". De mac ondersteunt diverse types, maar de sparcebundel is het handigste. Die verbruikt geen ruimte bij aanmaak en kan groeien tot een vooraf ingesteld maximum. Je moet dan wel steeds dubbel mounten. Dus eerste de share mounten en vervolgens de diskimage mounten. Voordeel van het laatste is dat de mac dit plots als een hfs+ disk gaat zien en een heleboel specifieke apple features zoals versioning weer goed werken.

Maar dit werkt niet met data die de nas zelf beheert, zoals moments, drive etc.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: Privacy en privileges
« Reactie #4 Gepost op: 11 september 2018, 10:06:17 »
Die gebruiker kan je wel de toegang tot de 'homes' map ontzeggen, maar kan dan zelf niet meer in z'n eigen home map.

En dit is natuurlijk echt fout. Een gebruiker moet per definitie geen toegang tot homes hebben. Ik geef zelfs administrators geen toegang tot homes. Je krijgt dan idd de melding dat je ook niet meer bij je eigen home kunt, maar ik heb nog nooit gemerkt dat dit echt zo is.

Alleen als ik echt bij een andere home wil zijn, zet ik die restrictie tijdelijk uit. Voor gewoon gebruik wil ik niet per ongeluk in andermans privé map terecht komen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 38
  • Berichten: 424
  • Arms are made for hugging
Re: Privacy en privileges
« Reactie #5 Gepost op: 11 september 2018, 10:18:39 »
Voor dit doel gebruik ik on mijn linux systemen encfs. Daarmee kun je bestanden encrypted op schijf opslaan terwijl je op je eigen systeem dmv. een speciale mount unencrypted toegang hebt tot de bestanden. Als je de bestanden op een nas of cloud zet, zijn ze daar dus encrypted en niemand anders heeft de key. Omdat de encryptie werkt op de losse bestanden en niet op het gehele filesystem of disk is de synchronisatie en (incrementele) backup een fluitje van een cent.

Zonder twijfel hebben andere systemen vergelijkbare tools.
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 7 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 7 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline Plerry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 17
  • -Ontvangen: 289
  • Berichten: 1.504
  • Tom Poes, verzin een list ...
Re: Privacy en privileges
« Reactie #6 Gepost op: 11 september 2018, 11:36:10 »
Ik gebruik/gebruikte daarvoor BoxCryptor Classic (niet meer verkrijgbaar).
Misschien dat de huidige gratis versie van BoxCryptor ook voldoet (wel file-inhoud encryptie, geen file-naam encryptie).

Als goed freeware alternatief wordt genoemd Cryptomator
Zelf echter geen ervaring mee.

In beide gevallen betreft het file-level encryptie oplossingen die op je locale PC/laptop een virtuele drive mounten.
Die drive kan bijv. een share op je NAS zijn.
Die virtuele drive is op je locale machine volkomen transparent.
Op de fysieke locatie op je NAS is de inhoud van je bestanden en eventueel zelfs de bestandsnaam evenwel encrypted met een zelf te kiezen sleutel.
There are only 10 kinds of people: ... those who understand binary, and those who don't.

Ben(V)

  • Gast
Re: Privacy en privileges
« Reactie #7 Gepost op: 11 september 2018, 11:47:55 »
Misschien een suggestie doen naar Synology om user level encryption mogelijk te maken.
Lijkt me niet zo moeilijk te implementeren voor Synology.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: Privacy en privileges
« Reactie #8 Gepost op: 11 september 2018, 14:28:16 »
Relesenotes van Version: 6.1-15047 (21-2-2017)

Citaat
In addition to encrypting a shared folder as you create it, you can now encrypt an existing shared folder, including the "homes" folder, after its creation.

In elk geval is het sinds die datum ook mogelijk achteraf een share te encrypten en is er encryptie op de homes folder bij gekomen. (Alleen dan één sleutel voor homes en niet per home)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7989
  • Berichten: 44.008
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Privacy en privileges
« Reactie #9 Gepost op: 11 september 2018, 14:51:30 »
Home is ook geen share maar een link maar, dat wist je natuurlijk wel.
Synology zou eigenlijk per NIET gedeelde Folder de encryptie (moeten) kunnen introduceren of zou dat nu te moeilijk zijn.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: Privacy en privileges
« Reactie #10 Gepost op: 11 september 2018, 15:44:34 »
…Lijkt me niet zo moeilijk te implementeren voor Synology.

Wel als bestaande functies in Home moeten blijven werken.  ;)

De decryption key kun je nooiit op de nas opslaan, want anders kan de administrator er via een omweg bij. Dus drive, moments, MailServer, persoonlijke photo station, persoonlijke website etc zullen dan nooit gebruikt kunnen worden. Hiervoor heeft de nas altijd toegang tot de betreffende home folder nodig.

Na inloggen zal de gebruiker dan een extra code moeten opgeven om zijn home te ontsleutelen. Ik zie zo niet hoe je dat bij mounten als share kunt doen, zonder eerst via een dsm inlog de home vrij te schakelen.

En volgens mij moet een administrator op dat moment, na ontsleuteling voor toegang, toch bij de data kunnen komen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Sylvester

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 117
  • -Ontvangen: 104
  • Berichten: 1.791
Re: Privacy en privileges
« Reactie #11 Gepost op: 11 september 2018, 17:58:07 »
Die gebruiker kan je wel de toegang tot de 'homes' map ontzeggen, maar kan dan zelf niet meer in z'n eigen home map.

En dit is natuurlijk echt fout. Een gebruiker moet per definitie geen toegang tot homes hebben. Ik geef zelfs administrators geen toegang tot homes. Je krijgt dan idd de melding dat je ook niet meer bij je eigen home kunt, maar ik heb nog nooit gemerkt dat dit echt zo is.

Alleen als ik echt bij een andere home wil zijn, zet ik die restrictie tijdelijk uit. Voor gewoon gebruik wil ik niet per ongeluk in andermans privé map terecht komen.

Om hierop even terug te komen...
Stel dat je het toch zonder encryptie wil doen, ik zou eventueel toch het account 'admin' geen toegang meer geven tot homes. Er is nog iemand met admin rechten, die moet deze dan maar stopzetten.
Maar dan nog is het niet opgelost. Je kan als admin zelf terug de toegang tot homes inschakelen. Dus dat is geen oplossing.


DS1517+, DS1522+ en 2 x DS716+II
en Mac gebruiker... en Windows allergie ...

Gemarkeerd als beste antwoord door Sylvester Gepost op 11 september 2018, 20:06:19

Ben(V)

  • Gast
Re: Privacy en privileges
« Reactie #12 Gepost op: 11 september 2018, 19:34:53 »
Je hoeft echt niet verder te speculeren om het zonder private encryption te doen te doen.

Een admin kan altijd overal bij als was het maar dat hij zich toegang tot de commandline kan geven en met sudo root privileges kan krijgen.
Daar helpt niets tegen.
En nog iets als je fysiek bij een Nas kunt kun je altijd de disk eruit halen en aan een andere computer hangen.

Offline Sylvester

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 117
  • -Ontvangen: 104
  • Berichten: 1.791
Re: Privacy en privileges
« Reactie #13 Gepost op: 12 september 2018, 07:20:21 »
En daarbij, als iemand zo bezorgd is over de privacy van zijn materiaal dan zet je dat toch nooit bij iemand anders?
Dit is ook een punt natuurlijk. Het is niet echt 'bij iemand anders', het is op eigen NAS. Maar via die weg kan natuurlijk altijd minstens de admin of account met admin rechten er aan.
Ik ga het eens bekijken wat ze precies willen of toelaten.
DS1517+, DS1522+ en 2 x DS716+II
en Mac gebruiker... en Windows allergie ...


 

Providers & privacy

Gestart door TonVHBoard The lounge

Reacties: 21
Gelezen: 7071
Laatste bericht 04 december 2014, 09:04:18
door Plerry
Synology Blog: Data Privacy Day: one resolution for 2021

Gestart door BirdyBoard Synology Awards & Reviews (NL)

Reacties: 0
Gelezen: 3709
Laatste bericht 30 januari 2021, 16:13:28
door Birdy
Heartbleed bug bedreigt nog steeds uw privacy. (Volkskrant 07-04-2015)

Gestart door m4v3r1ckBoard The lounge

Reacties: 1
Gelezen: 1182
Laatste bericht 07 april 2015, 15:30:20
door Briolet
Security/Privacy rubriek

Gestart door aliazzzBoard Vragen en opmerkingen OVER het forum

Reacties: 2
Gelezen: 1968
Laatste bericht 25 juni 2017, 13:06:18
door aliazzz