DSM 6.x und darunter Benutzerzugriff auf DSM-Oberfläche verhindern
- Ersteller RalfPeter
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
Alle DSM Version von DSM 6.x und älter
- Status
Hallo RalfPeter,
Bücher und Hardware zum Thema gibt es bei Amazon: Benutzerzugriff auf DSM-Oberfläche verhindern
Bücher und Hardware zum Thema gibt es bei Amazon: Benutzerzugriff auf DSM-Oberfläche verhindern
Interessant. Wozu? Man kann einstellen, dass die User das Passwort im DSM nicht ändern können und diese haben auch nur Zugriff auf die Freigaben (im DSM File Station) die vom Admin festgelegt wurden sind. Reicht das wirklich nicht?
Das geht meines Wissens nach nicht. Aber schreibe mal Synology an. Vielleicht bauen die es ja irgendwann ein.
Das geht meines Wissens nach nicht. Aber schreibe mal Synology an. Vielleicht bauen die es ja irgendwann ein.
- Registriert
- 02. Apr. 2014
- Beiträge
- 448
- Reaktionspunkte
- 49
- Punkte
- 34
Hallo raymond,
Die DS wird von der Familie benutzt. Natürlich möchten die Kinder die Passworte selbst vergeben, ändern, ... Klar kann ich das in der DS sperren, aber das möchte ich nicht. Die Netzwerkfreigabe unter Windows funktioniert aber am einfachsten, wenn Benutzer und Passwort am PC und der DS indentisch sind.
Was ist nun passiert? Bei einem Benutzer wurde das Passwort gelöscht! Somit konnten viele Interessierte sich die Dateien dieses Benutzers ansehen und kopieren und löschen. Es kam zwar nicht zu diesem Datengau, hat aber gezeigt, dass Freiheiten der (Kinder-)Benutzer gut sind. Aber eben nicht immer.
Und generell benötigen Windows-Benutzer, die das NAS nur als Datenablage benutzen, in den meisten Fällen keinen Zugriff auf die DSM-Oberfläche.
Grüße
RalfPeter
Die DS wird von der Familie benutzt. Natürlich möchten die Kinder die Passworte selbst vergeben, ändern, ... Klar kann ich das in der DS sperren, aber das möchte ich nicht. Die Netzwerkfreigabe unter Windows funktioniert aber am einfachsten, wenn Benutzer und Passwort am PC und der DS indentisch sind.
Was ist nun passiert? Bei einem Benutzer wurde das Passwort gelöscht! Somit konnten viele Interessierte sich die Dateien dieses Benutzers ansehen und kopieren und löschen. Es kam zwar nicht zu diesem Datengau, hat aber gezeigt, dass Freiheiten der (Kinder-)Benutzer gut sind. Aber eben nicht immer.
Und generell benötigen Windows-Benutzer, die das NAS nur als Datenablage benutzen, in den meisten Fällen keinen Zugriff auf die DSM-Oberfläche.
Grüße
RalfPeter
hmm, aber irgendwie verstehe ich es doch nicht so genau. Ein Benutzer der keine Admin Rechte hat, der kann mit dem DSM nichts weiter anfangen als mit der Filestation zum Bsp genau ihm zugängliche Ordner zu besuchen.
Warum soll so jemand DSM nicht besuchen dürfen?
Warum soll so jemand DSM nicht besuchen dürfen?
Ist zwar keine echte Lösung, aber als Übergangs-/Notlösung könntest du den Port vom DSM ändern. Zum Beispiel von 5000 bzw. 5001 auf 45678 o.ä.
Verstehe ich nicht: das Passwort wird nicht einfach so gelöscht: es können nur admins oder wenn der Benutzer das Recht in DSM hat das Passwort selbst festzulegen dieses ändern. Das hatte ich ja schon bereits geschrieben. Die Rechte in DSM kann man schon sehr gut einstellen, gerade im privatem Umfeld völlig ausreichend.
Unter der DSM-Oberfläche hat man die gleichen Rechte, wie zuvor vom Admin festgelegt+zusätzlich, dass "normale" User nicht in das control panel, Paketzentrum usw. kommen.
- Registriert
- 02. Apr. 2014
- Beiträge
- 448
- Reaktionspunkte
- 49
- Punkte
- 34
Ok, dann versuche ich es anders:
- du legst einen benutzer an
- dem benutzer vergibst du ein passwort
- der benutzer darf das passwort ändern
- der benutzer löscht das passwort bei der ersten Anmeldung (weil es ihm lästig ist)
Bisher ist nichts passiert, der benutzer meldet sich an der DSM an und kann nur seine Dateien bearbeiten.
Jemand anderes / Fremdes kennt /errät diesen Benutzernamen (was ja z.B. bei Vornamen nicht sehr schwierig ist). Dieser "Böse" kann sich dann ohne Passwort (weil die DS über DDNS erreichhbar ist) an der DSM anmelden und Dateien verändern.
Ist das verständlich erklärt?
- du legst einen benutzer an
- dem benutzer vergibst du ein passwort
- der benutzer darf das passwort ändern
- der benutzer löscht das passwort bei der ersten Anmeldung (weil es ihm lästig ist)
Bisher ist nichts passiert, der benutzer meldet sich an der DSM an und kann nur seine Dateien bearbeiten.
Jemand anderes / Fremdes kennt /errät diesen Benutzernamen (was ja z.B. bei Vornamen nicht sehr schwierig ist). Dieser "Böse" kann sich dann ohne Passwort (weil die DS über DDNS erreichhbar ist) an der DSM anmelden und Dateien verändern.
Ist das verständlich erklärt?
- Registriert
- 03. Sep. 2012
- Beiträge
- 31.591
- Reaktionspunkte
- 3.323
- Punkte
- 854
Heißt das, dass Du das DSM-Webfrontend per Portforward von Port 5000 und/oder 5001 von außen zugänglich gemacht hast? In dem Fall hättest Du recht mit Deinen Befürchtungen. Aber dann wäre m.E. der bessere Weg, diesen Portforward durch einen Zugriff per VPN zu ersetzen.
laserdesign
Benutzer
- Registriert
- 11. Jan. 2011
- Beiträge
- 2.581
- Reaktionspunkte
- 56
- Punkte
- 94
Hallo,
dann ändere die Passwortstärke so ab, das kein leeres Passwort möglich ist.
dann ändere die Passwortstärke so ab, das kein leeres Passwort möglich ist.
- Registriert
- 02. Apr. 2014
- Beiträge
- 448
- Reaktionspunkte
- 49
- Punkte
- 34
Ja, ich habe die DSM-Oberfläche per Portforwarding zugäglich gemacht. Manchmal benutze ich unterwegs meinen Laptop, mit dem ich mich dann auf die Verwaltungsoberfläche einlogge. Ich finde das sehr bequem.
@laserdesign: ja das könnte ich tun. Dann zwingst du aber alle Nutzer im privaten Netz (deine Kinder und Frau) an ihrem PC ein ebenfalls komplexeres Passwort zu benutzen. Das finde ich jetzt wieder übertieben.
Also nochmals meine Frage: kann ich Benutzern verbieten die DSM-Oberfläche zu benutzen?
@laserdesign: ja das könnte ich tun. Dann zwingst du aber alle Nutzer im privaten Netz (deine Kinder und Frau) an ihrem PC ein ebenfalls komplexeres Passwort zu benutzen. Das finde ich jetzt wieder übertieben.
Also nochmals meine Frage: kann ich Benutzern verbieten die DSM-Oberfläche zu benutzen?
Es würde doch auch ausreichen eine Passwort Mindestlänge zu fordern: siehe hier!
Bei mir nutzen auch Freunde und Familie die DS und sie müssen eben damit leben das ich ein halbwegs sicheres Passwort verlange.
Übrigens: die Regel tritt erst in Kraft wenn ein Passwort geändert wird, bestehende / unsichere Passwörter bleiben bestehen. Erst wenn ein Benutzer sein Passwort ändert muß das neue den Anforderungen entsprechen.
Du willst keine Passwörter, aber eine sichere Anmeldung. Das schliesst sich gegenseitig aus, meine ich. Kann der eine Nutzer nicht die Finger von den Daten des Anderen lassen, so halte ich ein Passwort für legitim.
Im Heimnetz müssen es ja keine 128bit - Schlüssel sein. Ein einfach merkbares Passwort sollte in einem fünf-Personen-Nutzerkreis doch reichen.
Passwort und Anmeldenamen dann vom Browser speichern zu lassen, wäre natürlich dann ebenfalls am Ziel vorbei.
Ich betreibe im Heimnetz mittlererweile auch gut zwanzig Geräte, die alle Gruppen zugeordnet sind und der DSM macht es einem doch relativ einfach. Alle Gerätenamen haben Benutzernamen und Passwort mit den entsprechenden Freigaben der Gruppen. Bequemlichkeit auf Kosten der Sicherheit halte ich für den falschen Weg. Willst Du den Nutzern diesen Service bieten, sollten sie auch die zehn Sekunden investieren, um die DSM Anmeldung hinter sich zu bringen. Am Anfang ist das vielleicht gefühlt umständlich, erspart Dir und den Nutzern aber jede Menge Ärger, wie Du ja bereits erfahren hast.
Gut, aber das musst Du dann selbst entscheiden.
Hier noch ein Tipp für Dich: Im DSM unter Sicherheit->Automatische Blockierung kannst du ganz unten die Freigabe- / Blockierungsliste bearbeiten. Trage dort die feste IP ein, die Du natürlich vorher im Router der zu blockierenden Maschine zugewiesen hast. Das sollte eine DSM- Anmeldung unmöglich machen. Via Windows-Explorer sollte der Zugriff auf freigegebene Ordner aber nach User/Pass - Abfrage weiterhin funktionieren.
Viel Glück beim testen....
Gruß TheBX
Im Heimnetz müssen es ja keine 128bit - Schlüssel sein. Ein einfach merkbares Passwort sollte in einem fünf-Personen-Nutzerkreis doch reichen.
Passwort und Anmeldenamen dann vom Browser speichern zu lassen, wäre natürlich dann ebenfalls am Ziel vorbei.
Ich betreibe im Heimnetz mittlererweile auch gut zwanzig Geräte, die alle Gruppen zugeordnet sind und der DSM macht es einem doch relativ einfach. Alle Gerätenamen haben Benutzernamen und Passwort mit den entsprechenden Freigaben der Gruppen. Bequemlichkeit auf Kosten der Sicherheit halte ich für den falschen Weg. Willst Du den Nutzern diesen Service bieten, sollten sie auch die zehn Sekunden investieren, um die DSM Anmeldung hinter sich zu bringen. Am Anfang ist das vielleicht gefühlt umständlich, erspart Dir und den Nutzern aber jede Menge Ärger, wie Du ja bereits erfahren hast.
Gut, aber das musst Du dann selbst entscheiden.
Hier noch ein Tipp für Dich: Im DSM unter Sicherheit->Automatische Blockierung kannst du ganz unten die Freigabe- / Blockierungsliste bearbeiten. Trage dort die feste IP ein, die Du natürlich vorher im Router der zu blockierenden Maschine zugewiesen hast. Das sollte eine DSM- Anmeldung unmöglich machen. Via Windows-Explorer sollte der Zugriff auf freigegebene Ordner aber nach User/Pass - Abfrage weiterhin funktionieren.
Viel Glück beim testen....
Gruß TheBX
sorry, bin Gruftie, für mich immer noch nicht verständlich.
Kann nicht nachvollziehen was das alles mit dem DSM Zugang zu tun hat.
Ein Benutzer (oder jemand der sich als solches ausgibt) mit einem bekannten Password aber nicht Mitglied in der Admin Gruppe kann halt korrekterweise auf seine Daten zugreifen und zwar egal auf welchem Weg zuerst mal. Ob er via DSM auf die Filestation kommt, oder direkt über einen Port der Filestation (7000) oder über Windows Explorer und Netzlaufwerk etc. Klar kann er Daten verändern und löschen. Das ist doch ganz legitim. Aber nur die des Accounts.
Ob der in das System via DSM Oberfläche kommt oder nicht ist ja ziemlich unerheblich.
Man könnte auch die 2-Stufen-Verifizierung einschalten, dann kommt keiner so schnell auf die DSM.
Aber ich würde die Oberfläche auch nicht nach außen weitergeben sonder für den Zugriff von unterwegs ein VPN einrichten!
Aber ich würde die Oberfläche auch nicht nach außen weitergeben sonder für den Zugriff von unterwegs ein VPN einrichten!
das erklärt mir immer noch nicht warum man jemandem DSM verweigern soll und sonstigen Zugriff nicht wenn es sich um einen normalen Benutzer handelt.
Ich kann es schon verstehen wenn man sich "intern" vertraut und mit einfachen Passwörtern arbeitet dann bietet der Zugang von außen eine zusätzliche Gefahr.
Die SMB Freigaben sind ja nur intern zu erreichen während er die DSM Oberfläche ja nach außen weiterreicht.
Aber mir wäre eine DSM Oberfläche, auch mit anständigen Passwörtern, nach außen zu problematisch. NAS werden ja im privaten Umfeld immer beliebter und damit steigt die Gefahr das sie gezielt angegriffen werden, wie man ja bei dem "krypto" Angriff gesehen hat. Auch wenn da wohl eine aktuelle Firmware ausreichenden Schutz bot.
Da vertraue ich einem VPN mehr als der DSM Oberfläche.
ja sicher, das ist aber etwas anderes. Man kann zum Bsp DSM schlichtweg von aussen nicht erreichbar machen in dem man gar keine Ports weiterleitet ausser VPN oder so was.
Aber warum soll jemand versuchen DSM intern für normale User zu sperren kann ich immer noch nicht nachvollziehen.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
