FTP einschränken?

st65 · 06. Feb 2007

Hallo,
habe gerade meine DS-106 bekommen und installiert. Die ersten Ordner und Freigaben sind gemacht und im internen Netz läuft es gut - schade nur, dass man unterschiedliche Rechte nur als kompletten Ordner erteilen kann...

Nun möchte ich für FTP-Zugriff übers Internet einem User - hat normalerweise L/R-Rechte auf mehrere Ordner - für einen Ordner L-Rechte geben. Dafür könnte ich ja einfach einen neuen User erfinden und entsprechend berechtigen - aber wie kann ich verhindern, dass die anderen User sich mit den internen Rechten per FTP einlogen? Habe da nichts gefunden....

Außerdem empfinde ich es als große Sicherheitslücke, wenn man den FTP-Zugriff nicht bestimmte Ordner bzw. User beschränken kann.

Gruß
Stefan

Anzeige · 06. Feb 2007

Hallo st65,

Bücher und Hardware zum Thema gibt es bei Amazon: FTP einschränken?

rstle · 06. Feb 2007

Wenn Du "nur " mit purem FTP Zugriff übers Internet erlaubst, kannst Du Dir Zugriffsrechte eigentlich sparen. SSH oder TLS sollte schon sein. Sieh mal auf der HP von Synology nach, da wird beschrieben wie man es günstig mit filezilla machen kann, ist zwar neudeutsch, aber sogar ich habs verstanden und machs auch so.

st65 · 06. Feb 2007

@rstle
auch wenn ich altdeutsch

bevorzuge - so weit ich das verstehe, geht es doch nur um den sicheren Zugriff als Client.

Selbst wenn ich per Filezille "sicher" auf die DS zugreife - kann doch jeder anderer per normalen FTp zugreifen und die - da eigentlich nur intern gedachten - "einfachen" PW ausprobieren....

rstle · 06. Feb 2007

Richtig, aber "doofe", lange Namen und PW, veränderte Ports (möglichst hoch) und TLS bringen schon Einiges. Wenn Du Deinen Kandidaten sagst, wie sie sich einloggen sollen, wirds noch besser. Ich habe mein DS 106 (leider - wegen Synology) seit über einer Woche als DMZ mit DYNDNS voll im Netz für jeden zugänglich stehen, noch gabs keine unerlaubten Zugriffe. Außerdem kannst Du ja die FTP Sperre einschalten für fremde wiederholte Einwahlversuche, machts noch etwas schwerer.

etargi · 06. Feb 2007

Ich habe jetzt mit der DS 106j etwas rumprobiert. diese unterstützt ja kein ssl/TLS, leider. Aber genau dass was st65 sagt finde ich auch nicht so gut. Eigentlich würde mir kein ssl/TLS nützen.
Ich habe 3 Rechner am LAN und 3 Benutzer ( gleich mit PC Nutzer) auf der Diskstation angelegt, so dass jeder sofort auf die Diskstation zugreifen kann, wenn er auf dem PC angemeldet ist.
Für ftp ( soll nur über internet erfolgen) habe ich einen extra Ordner angelegt und einen extra Benutzer erfunden. Eigentlich soll man nun nur über diesen Account nur auf den extra ftp ordner zugreifen dürfen.
Aber wie schon von st65 erwähnt, ist nicht nur das möglich.
Alle Benutzer können über normales ftp auf die DS zugreifen. Aber "doofe", lange Namen und PW möchte ich für meine LAN Benutzer nicht extra anlegen.
Das ist meiner Meinung nach schlecht. Da hilft auch kein ssl/tls.
Oder gibt es irgendeine Lösung des Problems?

Gruß etargi

rstle · 07. Feb 2007

Vielleicht schreibt jemand ne Software, denke aber, daß das so einfach nicht sein wird. Ja und doofe Namen und PW bringen alleine per offenem FTP gar nichts, also wirst Du wohl damit leben müssen, daß Du "abgefragt" werden kannst. Alternative: Wechsel des NAS.
Leider ist die "Unsichtbarfunktion" nur im internen Netz möglich. Warum das nicht übers Internet geht, möchte ich auch gerne wissen, daß brächte nämlich ne Menge. Also Anfrage bei Herrn Synology.

etargi · 07. Feb 2007

was meinst du mit "Unsichtbarkeitsfunktion" ?

rstle · 07. Feb 2007

Unter Speichern, Gemeinsamer Ordner kannst Du :
Verbergen Sie diesen gemeinsamen Ordner unter "Netzwerkumgebung".
Aber eben nur im internen Netz

invader · 08. Feb 2007

das Problem (FTP Zugriff für User die eigentlich keinen FTP Zugriff haben sollten) was ihr beschreibt habe ich auch.
Also wenn man für's interne Netz einen
User: Hans
PW: Hans
hat...ist es blöd wenn dieser User automatisch auch als FTP User eingetragen wird...und das ist bei der Firmware von Synology leider automatisch so...

Und es gibt auch eine Lösung dafür - in einem anderen Forum gefunden.

Muss es am Abend nochmals ausprobieren. Dann poste ich es.
Es hat was zu tun mit den Einträgen in der Datei fstab. Allerdings muss man dafür Telnet aktivieren und wäre eigentlich ein Modding Thema....

LG, Flo

etargi · 08. Feb 2007

Ich würde mich freuen es funzt!
Kannst du mal posten ( oder linken) wie man telnet aktiviert.
Ich habe mich mit diesem Thema noch nicht beschäftigt.

Danke

st65 · 13. Feb 2007

invader schrieb:
Muss es am Abend nochmals ausprobieren. Dann poste ich es.

@invader
und hast du es ausprobiert? Funktioniert es?

surffan · 31. Jul 2007

Lösung per etc/ftpusers

1. Einrichten eines Zugangs per Telnet
Telnet aktivieren
2. In der Datei /etc/ftpusers sind alle Benutzer eingetragen welche NICHT per FTP zugreiffen dürfen. Hier können die Benutzer die nur Intern gebraucht werden eingetragen werden. Ich weiss nicht die schönste Lösung aber besser als nichts.

Gruss Mike

olijacobi · 05. Feb 2008

Danke!!!

Hey Super!!!
Jetzt habe ich nun doch noch mein FTP aktivieren können und alle internen Netzbenutzer deaktiviert und nur 2 FTP Benutzer plus der Anonyme für den FTP aktiviert!
Auch ist es geil das ich nun über Telnet auf meine Synoli (so heisst meine DS407 bei mir) kommen.
Danke und Gruss Oli

staticip · 05. Feb 2008

Telnet Anmeldung funktioniert nicht

surffan schrieb:
1. Einrichten eines Zugangs per Telnet
Telnet aktivieren
2. In der Datei /etc/ftpusers sind alle Benutzer eingetragen welche NICHT per FTP zugreiffen dürfen. Hier können die Benutzer die nur Intern gebraucht werden eingetragen werden. Ich weiss nicht die schönste Lösung aber besser als nichts.

Gruss Mike

Hallo zusammen!

Ich habe diesbezüglich auch mal eine Frage:
Ich konnte mit dem Patch zwar Telnet aktivieren, jedoch kann ich nicht auf mein NAS (CS407) zugreifen.

Bis jetzt habe ich folgendes gemacht:
- Telnet auf NAS freigeschaltet
- Telnet auf PC installiert bzw. freigegeben (ist Vista und deshalb nicht automatisch aktiviert....)
- Telnet gestartet und über open eine Verbindung zu meinem NAS hergestellt. Dann fragt er immer nach einem Benutzernamen. Dort gebe ich ihm "root" (ohne Anführungszeichen) und das Admin Passwort. Nur das funktioniert nie.......
Kann es an meinem Passwort liegen? Wenn ich über mein Telefon (mit WLAN) auf das NAS zugreifen möchte, kann ich auch nur einen eingeschränkten Benutzer aufrufen. Den Admin geht nicht, weil ich spezielle Sonderzeichen verwende.....

Eigentlich möchte ich das Passwort aus Sicherheitsgründen nicht unsicherer machen, indem ich weniger Sonderzeichen verwende.....

Hat jemand eine Idee?

Vielen Dank!
Grüsse
Staticip

flicflac · 05. Feb 2008

Telnet wie auch FTP sind Uralt-Programme. Da kann es schon sein, dass die mit einzelnen Zeichen aus den verschiedenen Zeichensätzen nicht klar kommen. Also versuche es einmal, mit einem einfacheren Passwort. Wenn das geht, kannst du es schrittweise wieder "sicherer" zu machen versuchen.

Suche

FTP einschränken?

st65

Benutzer

Anzeige

rstle

Benutzer

st65

Benutzer

rstle

Benutzer

etargi

Benutzer

rstle

Benutzer

etargi

Benutzer

rstle

Benutzer

invader

Benutzer

etargi

Benutzer

st65

Benutzer

surffan

Benutzer

olijacobi

Benutzer

staticip

Benutzer

flicflac

Benutzer

Kaffeautomat