實測Synology DS1618+實際效能!打破官方數據的表面 — 檔案加密與權限篇
實測Synology DS1618+實際效能!打破官方數據的表面 — 檔案加密與權限篇
相信各讀者在 NAS 中都存放着各式各種的私人及機密文件。即使在同一公司中,每個部門或每個人都有各自的文件夾,以免資料共閱。一旦 NAS 或內裡的硬盤比人偷了,重要的資料就會洩漏。這次我們將會專注在 NAS 的硬盤加密及文件相關權限,看看 DS1618+ 能不能保障資料不外洩給不相關人員。首先我們會測試硬盤加密部分,我們會先建立一個加密及一個非加密的儲存空間。然後將他們拔出放到另一台 DS1618+ 及 CentOS 7 伺服器中,檢查內裡的資料能否被查看。
加密及非加密的儲存空間
儲存空間內的文件
在另一 NAS 掛載儲存空間
掛載後儲存空間內的文件
在 CentOS 7 伺服器掛載儲存空間
沒有加密的儲存空間
以加密的儲存空間
可以看到在另一台 DS1618+ 掛載以加密的儲存空間 HKITBlog_e 時,必須要求使者用輸入密碼才能成功掛載,否則不能使用那個儲存空間。輸入正確密碼及掛載後,成功看到之前放進的檔案。若盜竊者使用電腦掛載又如何呢?如果硬盤沒有進行加密,盜竊者不費吹灰之力就能隨便看到儲存空間內的文件。若硬盤在 NAS 進行了加密處理,硬盤內的資料架構也發生了變化,盜竊者只要看到一些不相關的檔案及文件夾。盜竊者一定時間和精力來解密。我們建議使用者在使用時切記要進行加密,以防止重要的資料外洩。
HKITBlog 文件夾權限分配
以 Mary 身份登入
以 Tom 身份登入
文件夾權限衝突
文件權限衝突 – 刪除 I
文件權限衝突 – 編輯
在文件夾與檔案權限方面,測試結果令人感到疑惑。從上圖中得知,在文件夾權限方面,如果權限發生衝突,例如使用者 Mary 可以對主文件夾 HKITBlog 進行寫入及刪除,但沒有對 HKITBlog 內的子文件夾 Shared pdf 的操作權限,系統會以禁止操作為先。而文件在文件夾權限方面,當權限發生衝突時,系統處理手法就大不同了,Mary 可以對主文件夾 HKITBlog 進行操作,但其中一些文件不能時,Mary 居然可以刪除那些她本應禁止刪除的文件,不能編輯的檔案依然不能進行編輯。
把 Tom 加入群組 Test
文件權限衝突 – 刪除 II
小編為更了解 DSM 的文件權限機制,把 Tom 加新創建的使用者群組 Test,並附賦予 Test 可以刪除特定檔案的權限,發現 Tom 現在能刪除他原本不能刪除的檔案。從而得知文件刪除操作帶有衝突時,系統會以允許為先。此結果令人百得不思其解,為文件夾是禁止操作為優先,但到更細緻的文件操作時就變了允許操作為優先。這是一個嚴重的安全隱患,加上現在勒索軟體橫行,一個不小心的操作就可能令到重要的資料永久消失。
待續⋯⋯
實測Synology DS1618+實際效能!打破官方數據的表面 — 檔案I/O篇
實測Synology DS1618+實際效能!打破官方數據的表面 — 檔案完整篇
實測Synology DS1618+實際效能!打破官方數據的表面 — 檔案加密與權限篇
2 Responses
[…] 實測Synology DS1618+實際效能!打破官方數據的表面 — 檔案加密與權限篇 […]
[…] 實測Synology DS1618+實際效能!打破官方數據的表面 — 檔案加密與權限篇 […]