Wozu dedizierter User? Hyper Backup → Hetzner Storage Box

[catchsyn]

Hallo zusammen,

ich sichere eine Synology DS923+ per Hyper Backup auf eine Hetzner Storage Box. In vielen Guides wird „aus Sicherheitsgründen“ ein dedizierter Synology-User für jeden einzelnen Backupplan empfohlen.

Bei mir kann ein Nicht-Admin Hyper Backup aber gar nicht sehen/konfigurieren. Hyper Backup erscheint nur beim Admin.

Warum wird der dedizierte DSM-User dann empfohlen, wenn am Ende der Backup-Plan (Hyper Backup → Hetzner Storage Box) mit dem Admin eingestellt werden muss?

 

[Benie]

Du mußt hier vermutlich noch für den normalen User auch die Berechtigungen für HyperBackup selbst und mind. Leseberechtigung für die zu sichernden Verzeichnise erteilen.

 

[senderversteller]

Ich verstehe was er meint: Ein normaler User hat nicht mal die Berechtigung auf das Paket Hyper Backup zuzugreifen. Wo erteilt man ihm die Berechtigung für diese Anwendung? Unter Systemsteuerung - Benutzer & Gruppe - „Benutzername“ - Anwendungen finde ich jedenfalls nichts.

Vielleicht ist damit gemeint, dass man auf dem Ziel NAS für den Vault nicht den Adminuser verwenden soll, sondern eben einen dedizierten User?! Das geht nämlich, mache ich auch so.

 

[Benares]

Ich denke, so ist das auch gemeint. Es geht um den User, den man in HB in den Aufgabeneinstellungen unter "Ziel" definiert. Der braucht natürlich auch Schreib-/Lese am Ziel, aber vermutlich keinen vollen Admin-Rechte.

 

[Benie]

@senderversteller Wenn Du mich meinst, ich habe das auch verstanden wie und was der TE will, und auch deshalb geschrieben was zu tun ist.

 

[senderversteller]

@Benie Ich habe schon den TE gemeint, dass ich verstehe was er meint. Es wäre aus meiner Sicht auch total unpraktisch, auf dem Quell-NAS für jeden HB-Job einen separaten User anzulegen. Da verliert man schnell den Überblick. Und offenbar hat es auch einen Grund, dass das NAS immer nur einen Backup Job gleichzeitig machen kann.

 

[Benie]

Auf dem Quell NAS würde das auch nichts bringen, es ist immer der User auf dem Ziel für die Einrichtung gemeint.

 

[catchsyn]

Ich verstehe was er meint: Ein normaler User hat nicht mal die Berechtigung auf das Paket Hyper Backup zuzugreifen. Wo erteilt man ihm die Berechtigung für diese Anwendung? Unter Systemsteuerung - Benutzer & Gruppe - „Benutzername“ - Anwendungen finde ich jedenfalls nichts.

Genau das habe ich gemeint.

Ich denke, so ist das auch gemeint. Es geht um den User, den man in HB in den Aufgabeneinstellungen unter "Ziel" definiert. Der braucht natürlich auch Schreib-/Lese am Ziel, aber vermutlich keinen vollen Admin-Rechte.

Danke. Das war für mich unklar, weil ich hab überall gelesen dass ein dedizierter User empfohlen wird, aber dass damit das Ziel-Gerät gemeint ist, wurde nicht erwähnt.

In diesem Fall mit Ziel StorageBox habe ich das jetzt so gelöst, dass ich dort ein Sub-Account (mit eigenen Zugangsdaten) erstellt habe, wo nur das NAS-Backup reinkommt. Für andere Backups auf der StorageBox werden dann weitere Sub-Accounts angelegt.

Für mein anderes Backup (Nextcloud Storage Share --> NAS), habe ich auf der NAS ein dedizierten User angelegt, der nur Schreibrechte auf den einzelnen Ziel-Backupordner hat.

Ich muss noch schauen wie ich das Backup "NAS-->Externe Festplatte" und "Laptop -->NAS" einrichte. Aber meinem jetzigen Verständnis wird das im ersten Fall der Amdin sein, und im zweiten Fall wieder ein dedizierter Synology-User.

 

[D_Espero]

Wo erteilt man ihm die Berechtigung

Systemsteuerung - Benutzer & Gruppe, Benutzername markieren dann auf Delegieren - Delegierte Administration

 

[senderversteller]

In diesem Fall mit Ziel StorageBox habe ich das jetzt so gelöst, dass ich dort ein Sub-Account (mit eigenen Zugangsdaten) erstellt habe, wo nur das NAS-Backup reinkommt. Für andere Backups auf der StorageBox werden dann weitere Sub-Accounts angelegt.

Habe auch eine Hetzner StorageBox, dort allerdings keine Subaccounts und sichere dort mit dem Hauptaccount u44xxxx hin. Dort liegt ja eh nur das verschlüsselte HyperBackup vom NAS. Hab bisher keinen Grund gesehen für einen Subaccount.
Der Hauptbenutzername ist ja durch die namensgleiche URL des Servers (u44xxxx.your-storagebox.de) sowieso öffentlich "bekannt". Gibt's für diesen Fall (sicherheitsrelevante) Gründe trotzdem einen Subaccount zu verwenden?

Könnte mir vorstellen für den Hauptbenutzer die öffentliche Erreichbarkeit zu deaktivieren und stattdessen den Subuser zu nehmen, der nur mir und Hetzner bekannt sein sollte. Damit kommt zu dem Passwort noch ein unbekannter Nutzernamen für den Login. Macht das Sinn?

Systemsteuerung - Benutzer & Gruppe, Benutzername markieren dann auf Delegieren - Delegierte Administration

Danke - again what learned.

 

[Hagen2000]

URLs und Benutzername der Sub-Accounts sind ja einfach zu erraten, da jeweils "-sub1", "-sub2" usw. angehängt wird. Da entsteht m. E. kein Sicherheitsgewinn.

Man sollte Sub-Accounts verwenden, wenn verschiedene Systeme (oder Benutzer des selben Systems) zur Datensicherung auf die Storage-Box zugreifen. Jedes System bzw. jeder Benutzer hat dann eigene Zugangsdaten und insbesondere auf der Storage-Box ein eigenes Unterverzeichnis (BASE DIR.), so dass die Daten voneinander getrennt sind und ein System/Benutzer nicht Zugriff auf die Daten anderer Systeme/Benutzer erhält.
Den Haupt-Account verwende ich dann nur noch zur Verwaltung.

 

[AndiHeitzer]

Und was noch dazu kommt ...
Je Account, also Haupt-User oder SUB-User, kannst Du festlegen, welche Ports bzw. Zugriffsarten (SSH/R-SYNC/...) möglich sein sollen.