Photo Station Keine getrenten Benutzerkonten mehr möglich (DS918+) PhotoStation

[Flanders]

Guten Morgen,

ich habe von meiner DS214play zu einer DS918+ gewechselt.
Nun suche ich beim Einrichten der PhotoStation vergebens den Punkt

Einstellungen->Allgemein->Benutzerkonten -- Kontosystem: Photo Station-Konten.

Ist dies nicht mehr möglich? Auf beiden DS läuft derzeit die aktuelleste DSM und Photostation-Version.
(DSM 6.1.4-15217 Update 5; PhotoStation 6.8.3-3463).

Der einzig mir bekannte Unterschied derzeit ist, dass die DS918+ mit einerm btrfs Dateisystem und die DS214play gezwungenermaßen mit ext4 läuft.

Ich fand es sehr praktisch, die Benutzerverwaltung getrennt zu haben, da beide Systeme sich eh nur getrennt werwalten ließen...

Greets

Flanders

 

[Puppetmaster]

Mit welchem Benutzer suchst du diese Einstellung?

Finden wirst du sie nur mit dem "admin". Nicht einem "Admin", sondern dem "admin"!

 

[Flanders]

Hallo,

ich werde es mal testen. Bei der Ds918+ ist Standard de admin user deaktiviert aus Sicherheitsgründen. Beim einrichten liegt man selbst einen admin an mit eigenem Namen.
Das fand ich bei der DS214play schon Sicherheitstechnisch bedenklich, dass man den admin Account nicht deaktivieren oder umbenennen konnte.

Greets

Byte

 

[TeXniXo]

Das alles hilft nichts - es geht nur einzig allein mit dem "originalen" Account 'admin', um diese Funktionen zu ermöglichen.
Und ein gut gewähltes, längeres und stärkeres Passwort hat mehr Schutzwirkung als das Deaktivieren dieses Accounts.

 

[Flanders]

Vielen Dank, das war es!
Mit dem temporär aktivierten amin-Konto ging es!
Das muss man erstmal wissen. Man sollte denken admin=admin...


Beim Umbenennen den Admin-Kontos erreicht man jedoch durch diesen kleinen Zusatz einen enormen Sicherheitsgewinn, da ein potentieller Angreifer nun Benutzername UND Kennwort in Kombination erraten muss.
Andernfalls ist die "Unbekannte" bereits bekannt (root, admin, ....)

Greets

Flanders

 

[Puppetmaster]

Mach dein Passwort einfach 5 Stellen länger, dann hast du dieselbe Sicherheit.

 

[Andy14]

Wie Puppetmaster schon schrieb, wenn du den Usernamen deines "neuen" Admin einfach mit ans Passwort des "admin" hängst hast du das gleiche erreicht!
Aber falls du es doch so beibehalten willst, mit dem "admin" kann man auch einen anderen user(selbst gewählten admin) zum Photostation "admin" machen ;-)

 

[Puppetmaster]

Aber falls du es doch so beibehalten willst, mit dem "admin" kann man auch einen anderen user(selbst gewählten admin) zum Photostation "admin" machen ;-)

...der dann sinnvollerweise aber auch nicht das Kontenmodel ändern darf.

 

[Flanders]

...der dann sinnvollerweise aber auch nicht das Kontenmodel ändern darf.

Ja genau.
Das muss man wissen, dass es tatsächlich nur einen "echten" Admin auf der Photostation gibt.
Alle anderen haben eine leicht eingeschränkte Berechtigung, auch wenn sie als Admin markiert sind.


Greets

Flanders

 

[ottosykora]

Also ich habe auch die original admin immer abgeschaltet, weil mir erklärt wurde:
der original admin ist auch so was wie root
andere Mitglieder der Administrator Gruppe haben zwar alle brauchbaren Rechte in DSM, aber sind noch lange keine root

also guter Anwender disabled den admin wenn er es nicht gerade für etwas wichtiges braucht wie zum Bsp das Umstellen der PS etc.

 

[Puppetmaster]

Aha. Und wenn jemand dann deinen neuen, anderen Admin knackt, aktiviert er wieder den alten admin, et voila!

 

[Flanders]

Und den admin kann ich in der ds214play gar nicht deaktivieren. Kästchen ist grau.

Greets

Flanders

 

[Puppetmaster]

Na damit wäre doch alles gesagt.

 

[ottosykora]

ein Mitglied der Administrator Gruppe (nicht der aadmin selber natürlich) kann den admin abschalten.

Wir haben es bei allen DS so, weil eben damit der root Zugang zuerst mal gesperrt ist, also nicht direkt was mit DSM zu tun.

 

[Puppetmaster]

Ja, verstanden. Aber wenn man sich Zugang als irgendein admin bei euch verschafft hat, dann kann man auch den admin wieder reaktivieren.

 

[Flanders]

Ist auch nicht korrekt. Der root bleibt aktiv.
Man kann sich nie als root auf der konsole anmelden. Auch nicht mit aktiven Konto. Ein sudo geht aber immer, auch mit deaktiviertem Konto! Damit führt man root Befehle aus.
Also darauf hat es keine Auswirkung.

Und nein, auch als admin kann ich das Konto nicht deaktivieren.

 

[ottosykora]

dann kann man auch den admin wieder reaktivieren.

absolut korrekt.
Nur der admin hat seinen Namen eben fix und die anderen Administratoren nicht.

Darum sind die original admin immer ausgeschaltet nach der Installation.

Und das kann nur Mitglied der Administrtoren Gruppe tun, der admin kann das natürlich nicht.

 

[Puppetmaster]

Keine Ahnung worum jetzt hier noch diskutiert wird.

Wenn du meinst, der admin gehört deaktiviert, dann kannst du das gerne so halten. Für mich ist das Humbug bzw. gehört das zu security by obscurity.

EDIT: das noch als zusätzliche Anekdote, weil es mir gerade eben auf die Füße fiel.

 

[ottosykora]

darum, dass man admin unbedingt abschalten soll falls man die DS nicht nur zu hause braucht:

https://www.synology.com/en-us/know...ow_to_add_extra_security_to_your_Synology_NAS

 

[Puppetmaster]

Was jetzt? Weil das default Passwort leer ist, sollte man den admin deaktivieren? Was blöderes hab ich selten gelesen.

Gib ihm ein vernünftiges Passwort und alles ist gut!