WebDAV für Admin sperren (DS413J)

[loww]

Hallo zusammen,

gibt es eine Möglichkeit, den WebDAV-Zugriff für den Admin zu sperren? Ich plane, ein bestimmtes Verzeichnis per WebDAV im Internet freizugeben. Dazu nutze ich einen eigenen User, der nur Zugriff auf dieses Verzeichnis hat. Ich will aber verhindern, dass der Admin-User auch WebDAV-Berechtigungen hat, denn der darf ja auf jedes Verzeichnis zugreifen und jeder, der das Kennwort kennt, könnte da von außen auf alle Verzeichnisse zugreifen.

Für alle anderen User kann ich WebDAV explizit ausschalten (Systemsteuerung->Benutzer->Applikationen). Für den Admin-User geht das an der Stelle nicht. Geht es sonst irgendwo?

Danke und Gruß

Loww

 

[ottosykora]

verstehe nicht ganz die Motivation.

Der Admin ist da um eben alle Rechte zu haben und alles auch ändern können etc. Sein Passwort ist ja gleich das Root Passwort für das ganze Linux darunter. Damit kann er grundsätzlich alles machen. Das ist der Grund warum es einen Admin gibt. Wenn es jemand gäbe der noch mehr Rechte hat als der Admin dann würde so was Sinn machen, aber das gibt es nicht. Der Admin kann also seine Rechte jederzeit wieder so einstellen wie er es will. Ein Einschränkung kann und darf es nicht geben.

>der darf ja auf jedes Verzeichnis zugreifen und jeder, der das Kennwort kennt, könnte da von außen auf alle Verzeichnisse zugreifen.<
das ist richtig so und so ist es wohl bei jedem heutigen Betriebssystem. Ohne diese Funktion wäre ja auch deine DS völlig wertlos. Kann mir nicht vorstellen dass jemand ein Betriebssystem konstruieren würde bei dem es so nicht ist.

 

[fpo4711]

Hallo,

lege einen weiteren Benutzer mit Adminrechten an. Danach melde dich mit diesem Benutzer an der DS an und deaktiviere den Benutzer admin. Fertig.

Gruß Frank

 

[loww]

verstehe nicht ganz die Motivation.

Der Admin ist da um eben alle Rechte zu haben und alles auch ändern können etc. Sein Passwort ist ja gleich das Root Passwort für das ganze Linux darunter. Damit kann er grundsätzlich alles machen. Das ist der Grund warum es einen Admin gibt. Wenn es jemand gäbe der noch mehr Rechte hat als der Admin dann würde so was Sinn machen, aber das gibt es nicht. Der Admin kann also seine Rechte jederzeit wieder so einstellen wie er es will. Ein Einschränkung kann und darf es nicht geben.

>der darf ja auf jedes Verzeichnis zugreifen und jeder, der das Kennwort kennt, könnte da von außen auf alle Verzeichnisse zugreifen.<
das ist richtig so und so ist es wohl bei jedem heutigen Betriebssystem. Ohne diese Funktion wäre ja auch deine DS völlig wertlos. Kann mir nicht vorstellen dass jemand ein Betriebssystem konstruieren würde bei dem es so nicht ist.

Danke für Deine Antwort. Vielleicht habe ich mich falsch ausgedrückt.

Es gibt ja auch die Möglichkeit, dem admin den FTP-Zugang zu verweigern (/etc/ftpusers), damit sich niemand aus dem Inet Zugriff auf alle Verzeichnisse verschaffen kann. Genau diese Möglichkeit suche ich für WebDAV. Am liebsten wäre mir sogar eine Möglichkeit, dem Admin den Zugriff per WAN komplett zu entziehen.

 

[loww]

Hallo,

lege einen weiteren Benutzer mit Adminrechten an. Danach melde dich mit diesem Benutzer an der DS an und deaktiviere den Benutzer admin. Fertig.

Gruß Frank

Danke für die Antwort. Lässt sich der Admin überhaupt deaktivieren (das Feld ist grau)?

 

[ottosykora]

nun wie schon gesagt, du kannst jede Menge Admis anlegen, die müssen nicht unbedingt Admin heissen und sind dann eben Mitglieder der Administratoren Gruppe und haben also die Rechte dieser Gruppe.
Ich kann mir immer noch nicht vorstellen welche Motivation man haben kann dem Administrator irgendwelche Rechte zu entziehen.
Dass ein Root unter Linux eben ein Root ist und damit alles kann ist einfach mal so.
Wenn jemand dem Administrator die Rechte wegnimmt, kann er sich diese jederzeit wieder selber zuteilen weil er eben der Administrator ist und hat ein Password welches ihn automatisch zu allen solchen Handlungen bevollmächtigt.
Klar kann er auf alle Files zugreifen, das ist ja seine Aufgabe.

Wie ich es verstehe, willst du ja das User aus dem Internet per webdav Zugriff haben. Die haben nur auf etwas und nicht alles Zugriff. Der Administrator des Servers muss ja auf alles Zugriff haben sonst kann er sich selber aussperren und dann kannst du so einen Server nur noch neu installieren.

Der Administrator braucht ein gutes Password und soll nur dann 'verwendet' werden wenn es was zu administrieren gibt, sonst arbeitet man mit normalen User Accounts.




>dem admin den FTP-Zugang zu verweigern (/etc/ftpusers), damit sich niemand aus dem Inet Zugriff auf alle Verzeichnisse verschaffen kann.<

es ist egal ob man es macht oder nicht, der admin kann es jederzeit wieder rückgängig machen und sich somit wieder FTP Zugang einrichten nach belieben. Also wozu soll es gut sein?

 

[fpo4711]

Ich kann mir immer noch nicht vorstellen welche Motivation man haben kann dem Administrator irgendwelche Rechte zu entziehen.

Das hat erstmal gar nichts mit root zu tun. Sondern der Hintergrund ist der, das dem admin von Haus aus ohne tiefere Eingriffe nicht der WebDAV Zugriff entzogen werden kann, da hierfür die Einstellmöglichkeit schlicht nicht vorhanden ist (admin hat keinen Applikations-Tab). Sollte also nach draussen WebDAV zur Verfügung gestellt werden, würde ich es begrüßen wenn dies nicht für admin möglich wäre. Aber gut, jeder nach seinen Vorlieben.

Gruß Frank

 

[fpo4711]

Danke für die Antwort. Lässt sich der Admin überhaupt deaktivieren (das Feld ist grau)?

Du kannst dich nicht selbst deaktivieren. Siehe #3

Gruß Frank

 

[dwight66]

Admin kann deaktiviert werden wenn man mit einen zweiten Account mit admin rechte einloggt. Sie auch die Bemerkung vom fpo4711 in #8. Die zweiten admin Account hat aber NICHT die gleiche rechte las das default admin Account. (Das default admin Account hat auf Systemebene root rechte. Das neue admin Account hat das nicht.)
Ein Möglichkeit wäre um das default admin Account mit einen (sehr) starkes Password zu nutzen und die Auto Bock Funktion zu benutzen. Das Password soll dann gelegentlich erneuert werden mit einen neuen (sehr) starkes Password. Ich hätte die Idee das default admin Account mit einen 2-weg Verifizierung zu nutzen. Ich habe aber davon abgesehen weil es ein Risiko wäre wenn die Verifizierung aus irgend einen Grund kaputt ist. In dem Fall kann ich nicht mehr einloggen als admin (root). Vielleicht ist diese Post interessant http://wijngaard.xs4all.nl/wordpress/securing-the-dsm-desktop-when-accessed-from-the-internet/ (Ist in Englisch)

 

[Tommes]

Hi!

Synology beschreibt auf ihren Support-Seiten, wie man das Admin-Konto deaktivieren kann...

http://www.synology.com/de-de/support/tutorials/478

Tommes

 

[dwight66]

Admin kann deaktiviert werden wenn man mit einen zweiten Account mit admin rechte einloggt. Sie auch die Bemerkung vom fpo4711 in #8. Die zweiten admin Account hat aber NICHT die gleiche rechte las das default admin Account. (Das default admin Account hat auf Systemebene root rechte. Das neue admin Account hat das nicht.)
Ein Möglichkeit wäre um das default admin Account mit einen (sehr) starkes Password zu nutzen und die Auto Bock Funktion zu benutzen. Das Password soll dann gelegentlich erneuert werden mit einen neuen (sehr) starkes Password. Ich hätte die Idee das default admin Account mit einen 2-weg Verifizierung zu nutzen. Ich habe aber davon abgesehen weil es ein Risiko wäre wenn die Verifizierung aus irgend einen Grund kaputt ist. In dem Fall kann ich nicht mehr einloggen als admin (root). Vielleicht ist diese Post interessant http://wijngaard.xs4all.nl/wordpress/securing-the-dsm-desktop-when-accessed-from-the-internet/ (Ist in Englisch)

Ich habe meinen website umgezogen. Der post ist jetzt zu finden auf: http://www.wijngaard.org/securing-the-dsm-desktop-when-accessed-from-the-internet/