File Station 2 für user admin Sperren

[starwhooper]

Moin,
ich möchte aus der Ferne per https auf die Dateien meiner DS209 (Firmware DSM 2.1-0844) erst zugreifen.

Das ganze ist auch schon realisiert und funktioniert. Was mir nun allerdings Sorgen macht, ist die Tatsache das man sich nun per Admin über Internet anmelden kann und auf alle Dateien zugreifen und die auch löschen kann.

Daher nun die Frage:
ist es möglich dem Account "Admin" den Zugriff auf die FileStation zu nehmen ? Optional am besten nur wenn der Zugriff von einer IP außerhalb dem bereit 192.168.x.y kommt.

 

[itari]

Wenn du dich ein wenig mit Linux auskennst, dann probiert doch mal mit dem DS Manager die 'Anwendungseinstellungen' durchzuspielen. Leider kann man da den admin nicht konfigurieren. Aber vielleicht geht es über die Konfigurationsdatei ist die /etc/synouser.conf, die wohl offensichtlich durch die Anwendungseinstellungen angepasst wird ... Vielleicht kann man da händisch den 'admin' so eintragen, dass er bei der Filestation nichts darf.

Itari

 

[starwhooper]

Hi, danke für die schnelle Antwort.

Ich könnte das zwar im Linux anpassen, aber vermutlich darf ich dann die Webadministration nicht mehr nutzen, da diese die Konfiguration wieder verwerfen würde. - Und auf die möchte ich der Faulheit halber nicht verzichten

Ich habe das ganze jetzt so gelöst, das ich alles wieder gesperrt habe und nun über FTP gehe. Bei FTP ist der Admin Account zwar auch wieder automatisch dabei , aber das FTP sperrt die IP wenn man öfters das falsche PW eingibt. - Somit ist mir FTP lieber als HTTPS.

Vielleicht wird es ja in zukünftigen Firmwares besser.

 

[itari]

Ja das wäre ein Lösung.

Ob man den Admin aussperren wird, glaube ich kaum, weil es ja eigentlich wenig Sinn macht und es eher zu Problemen führen würde.

Ich verstehe auch nicht ganz so, warum man bestimmte User aussperrt ... ich würde ein Konzept immer so gestalten, dass jeder alles darf ... so bekommt man Verantwortung in den Laden, baut Hierarchien und Privilegien ab und fördert das Lernen ... also alles sehr positive Eigenschaften

Itari

 

[starwhooper]

... Ich verstehe auch nicht ganz so, warum man bestimmte User aussperrt ...

Hi, ist wollte den Admin für zugriff aus dem Internet aussperren, weil es mir zu unsicher.

Auf dem Fileserver sind alle meine Daten, wenn sich da nun jemand die Mühe macht und das Passwort knackt, kann er übers Web alles löschen...
Es gibt ja leider für die Webfrontends keine automatischen IP Sperren bei zu vielen Falschanmeldungen.

 

[itari]

Hi, ist wollte den Admin für zugriff aus dem Internet aussperren, weil es mir zu unsicher.

Vielleicht kannst du das ja mal dem Synology-Support mailen. Ich denke, im Zusammenhang mit der Aktivierung der File-Station auf Port 7000/7001 könnte man eine solche Aussperrung vom 'Admin' passabel einbauen.

Itari

 

[d_s_]

Hallo,

ich nutze auch nur FTP aus dem Internet. Leider lassen manche Admins FTP in ihrem Netzwerk nicht zu.

Die Aktivierung der File-Station auf Port 7000/7001 und dort aber den Admin aussperren, das hätte ich auch gern.

 

[fenris79]

Es gibt ja leider für die Webfrontends keine automatischen IP Sperren bei zu vielen Falschanmeldungen.

Sicher gibts das, hab ich schon erfolgreich geschafft.

 

[jahlives]

Sicher gibts das, hab ich schon erfolgreich geschafft.

Mit der neusten Firmware sollte das gehen. Nur als der Thread erstellt wurde gab es die noch nicht

 

[d_s_]

Mit der neusten Firmware sollte das gehen. Nur als der Thread erstellt wurde gab es die noch nicht

Dann gib mal bitte einen Tip. Mir ist bei der Umstellung auf die Letzte Version nichts neues dazu aufgefallen.

 

[starwhooper]

Dann gib mal bitte einen Tip. Mir ist bei der Umstellung auf die Letzte Version nichts neues dazu aufgefallen.

Damals als ich die Frage gestellt habe, gab es nur den Disk Station Manager 2.1, und dort konnte man nur per Falschanmeldung per FTP eine automatische Sperrung der IP aktivieren.
Inzwischen gibt es den Manager 2.2, dort gibt es unter Netzwerkdienste den Punkt Automatische Blockierung. - Und diese Einstellung bezieht sich auf SSH, Telnet, rsync, FTP, iPhone, File Station oder die Verwaltungsschnittstelle.

Ich habe es bei mir eingestellt, das der Absender bei 5 versuchen innerhalb 1440 Minuten (=24h) gesperrt wird. Ich glaube damit sollte man jeden Angriff zu fassen bekommen.

 

[d_s_]

Automatische Blockierung ist bekannt. Aber auch wenn eine Automatische Blockierung schon ein hohes Maß an Sicherheit bietet, ist es nicht das selbe wie einen Benutzer (Admin) generell den Zugriff zu verweigern.

 

[starwhooper]

Automatische Blockierung ist bekannt. Aber auch wenn eine Automatische Blockierung schon ein hohes Maß an Sicherheit bietet, ist es nicht das selbe wie einen Benutzer (Admin) generell den Zugriff zu verweigern.

Ja, aber das das nicht über das Frontend möglich ist, wird in diesen Thread ja schon schnell zu Anfang geklärt.

 

[thedude]

Wem seine Daten so wichtig sind (und wem sind sie das nicht!?), sollte sich überlegen ob er überhaupt "so einfachen" Zugang von aussen gestattet. Wenn es unbedingt sein muss kann man ja sich ha überlegen ein VPN zu nutzen. Da gibts doch heutzutage einiges. Auch AVMs weit verbreitete FritzBoxen unterstützen das.

gruss
dude

 

[d_s_]

Genau das mache ich auch. Deshalb verwende ich auch die DS und hab mein NAS eines anderen herstellers rausgeschmissen.

Meine wichtigen Daten sind von außerhalb unmöglich zu erreichen.
Andere sachen tausche ich über FTP aus. (Admin ist da gesperrt).
Wer über FTP nicht ran kann dem stelle ich Daten über einen Virtuellen Webserver zur verfügung.

Es wäre halt das Highligt gewesen wenn ich die Filestation auf Port 5000 Netzintern für Benutzer Admin Erwin und Klaus nutzen würde und zusätzlich auf Port 7000 im Internet freigegeben nur für Benutzer Gerd und Hans aber nicht Admin nutzen könnte. Ist aber nicht schlimm, es geht ja auch ohne Filestation.

Die Automatische Blockierung bietet nochmal zusätzlichen Schutz vor unbefugten Zugriffen, sollte aber niemals der Hauptschutz sein nur weil es nicht anders geht.