Adminzugriff deaktivieren, geht das?

[LaLi]

Moin Zusammen!

Ich möchte den externenZugriff (via Internet) auf Dienste über das Admin-Konto deaktivieren. Ist das möglich?

Hintergrund: Ich nutze auf meiner DS die File-Station, um extern auf Daten zuzugreifen, und die Photo-Station, um Bekannten Fotoalben zur Verfügung zu stellen.

Nun habe ich das Problem, dass ich mich bei beiden Diensten mit dem Admin-Zugang anmelden kann. Das möchte ich nicht!
Meine Überlegung ist nämlich, dass wenn einmal ein Angriff auf meine DS stattfinden sollte, dann würde ich erwarten, dass man es mit dem Zugang root oder admin versucht. Um die Wahrscheinlichkeit eines erfolgreichen Hacks weiter zu minimieren, möchte ich den Admin-Zugriff über das Internet verhindern.

Bei der File-Station habe ich mir bisher damit beholfen, dass ich dem Admin-Konto kein Zugriff auf Ordner gewährt haben. Das hat den Nachteil, dass ich dann natürlich auch intern nicht auf diese Ordner zugreifen kann.

So viel dazu. Ich hoffe, Ihr wisst einen guten Rat!

Grüße

LaLi

 

[Super-Grobi]

Spannend,

unter den Application-Previleges taucht der User "admin" ja nicht auf.
Aber man kann natürlich einen neuen User mit Adminrechten anlegen, und dem dann die entsprechenden Rechte für Filestation etc NICHT geben.
Der neue Admin scheint auf den ersten Blick auch soweit alles machen zu können/dürfen, was der original "admin" auch darf.
Jetzt könnte man natürlich den User "admin" auch einfach löchen...
Aber ich trau mich nicht!!
Keine Ahnung ob dass dann irgendwelche Nebeneffekte hätte.....

Grüße

 

[itari]

Das Konzept der DS sieht den User 'admin' für die Verwaltung der Synology-Anwendungen und den Manager vor. Das kann man nicht ändern und man kann den User 'admin' auch nicht löschen oder aussprerren, wenn man nicht das ganze Konzept durcheinander bringen will. Solange man den Zugang zum DS-Manager vom Internet aus nicht öffnet (das geschieht über die Nicht-Weiterleitung der Ports 5000/5001), ist die DS eigentlich recht sicher. Alle anderen Dienste sind so sicher/unsicher wie eben jeder Rechner, der eine Verbindung zum Internet hat. Stand heute, gibt es hier im Forum (und auch im internationalen Forum) keine Beiträge, wo über tatsächliche Einbrüche referiert wird. Dass fremde Datenpakete versuchen die DS anzugreifen ist völlig normal ... Firewall, IP-Blocker bei mehrmaligen nicht-korrekten Authentifizieren und die Router-NAT-Weiterleitung sind schon hohe Hürden.

Falls man das trotzdem noch weiter absichern will, muss man sich möglichst einfach Konzepte überlegen, also z.B. eine 2. NAS für das Internet und die erste NAS für das LAN plus einer Synchronisationsprozesses, der die möglicherweise auf beiden DSen vorliegenden Daten aktuell hält. Da eine 2. NAS ab 100 Euro anfängt, ist das also auch bezahlbar. Einfache Konzepte deswegen, weil man sie ja auch selbst beherrschen muss, sonst wird es dadurch schon wieder unsicher.

Überlege selbst, wie du deine DS durch regelmäßiges Ändern (1x pro Woche) der Kennworte sicherer machst. Du kannst sie auch jede Stunde ändern ... aber wahrscheinlich würde dir das auf den Geist gehen. Und das meine ich mit 'einfachen Konzepten' ... du muss etwas machen, was realistisch ist. Die meisten Router bieten z.B. auch an, dass sie nur zu bestimmten Zeiten den Datenverkehr durchlassen ... alleine so etwas kann schon die Sicherheit erhöhen.

Itari

 

[LaLi]

Moin!

Danke für Eure Antworten: Ich bin verwirrt, da sich mir diese Logik, dass man die Admin-Rechte nicht teilweise ausschließen kann, nicht erschließt. Aber wahrscheinlich sind meine Überlegungen nur theoretischer Natur und in der Praxis nicht relevant.

Den Zugriff auf den DS-Manager habe ich ohnehin dicht. Dann werde ich als nächsten Schritt ein super kryptisches Passwort wählten und dies regelmäßiger wechseln.

Gruß, LaLi

 

[itari]

da sich mir diese Logik, dass man die Admin-Rechte nicht teilweise ausschließen kann, nicht erschließt

Vermutlich ist 'Schlichtheit' das Konzept hinter dieser Logik. Deine Idee des Absichern der DS folgt dem Konzept 'Nichtöffentlichkeit'. Nichtöffenlichkeit kann sich dazu entwickeln, dass du dich selbst von dem System ausschließt; dieses Problem führt dann automatisch zu 'komplexen' Gedanken, was dem Konzept der 'Schlichtheit' zuwiderläuft. Oder anders ausgedrückt, wenn du es anders haben willst, warum schreibst dir nicht komplett selbst eine Software, die das alles kann ... dies führt zum Konzept 'Überforderung' oder 'Zeitknappheit', an dem wahrscheinlich auch die Synology-Entwickler zu knappsen haben.

Itari

 

[LaLi]

Vermutlich ist 'Schlichtheit' das Konzept hinter dieser Logik. Deine Idee des Absichern der DS folgt dem Konzept 'Nichtöffentlichkeit'. Nichtöffenlichkeit kann sich dazu entwickeln, dass du dich selbst von dem System ausschließt;

Um diesen ernstzunehmenden Fall auszuschließen, will ich den Adminzugang ja nur extern blockieren lassen.

dieses Problem führt dann automatisch zu 'komplexen' Gedanken, was dem Konzept der 'Schlichtheit' zuwiderläuft. Oder anders ausgedrückt, wenn du es anders haben willst, warum schreibst dir nicht komplett selbst eine Software, die das alles kann ... dies führt zum Konzept 'Überforderung' oder 'Zeitknappheit', an dem wahrscheinlich auch die Synology-Entwickler zu knappsen haben.

Wenn ich das könnte, hätte ich mir keine DS zugelegt. Die DS ist ideal für einen amitionierten Anwender mit rudimentären Programmierkenntnissen.