HyperBackup Berechtigungsproblem

Status
Für weitere Antworten geschlossen.

Heizungauf5

Benutzer
Mitglied seit
07. Dez 2018
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
Hallo Zusammen,

ich habe auf meiner Synology 2 Volumes mit je einem "gemeinsamen Ordner".

Ein Volume soll für die Dateiablage dienen und das andere als Sicherungsspeicher, auf welchen per HyperBackup gesichert wird.

Das Problem dabei sind die Berechtigungen. Ich habe für den Backup-Ordner (auf den soll nur HyperBackup Zugriff haben, kein anderer Nutzer) die Berechtigungen wie folgt eingestellt:

Gfe5LJf.png
gVOQiAR.png
30fC86S.png

Wie man daran sieht, hat Hyper-Backup sehr wohl Zugriff auf das Sicherungsziel. Allerdings brechen die Sicherungen mit folgender Ansicht ab:
0OSaaWD.png

Jemand eine Idee, wie ich die Sicherungen zum laufen kriege, ohne einem "echten" Benutzer vom Synology (auch dem Admin) Zugriff auf das Sicherungsziel zu geben?

Grüße!
 

Anhänge

  • firefox_I7tbhcE0sE.png
    firefox_I7tbhcE0sE.png
    24,6 KB · Aufrufe: 51

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Was glaubst du wofür der Admin da ist?
Und Backups auf einem Medium in der Syno ist die zweite schlechte Idee. Damit kannst du nichts anfangen, wenn das Gerät defekt ist. Wenn dann Backup via USB/eSATA.
 

Heizungauf5

Benutzer
Mitglied seit
07. Dez 2018
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
Und Backups auf einem Medium in der Syno ist die zweite schlechte Idee.
Darun geht das Backup auch noch an eine zweite Location. Die Absicherung soll eher für die mittlerweile doch recht "gut gebauten" Locky Vertreter sein, die mittlerweile auch erstmal das komplette Netzwerk nach SMB Shares absuchen und da auch gleich noch verschlüsseln.

Was glaubst du wofür der Admin da ist?
Wenn doch der Admin eh alles macht, wozu kann ich dann die "Dienstbenutzer" (3. Screenshot) noch extra auswählen?

Grüße!
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
also das mit dem echten original admin sehe ich auch als irgendwie auf Kopf gestellt.

Der admin kann ja alles, dem also alle Rechte wegnemen?

Anderes Bsp ist vielleicht verständlicher: Filestation
Was soll die Filestation mit irgendwelcher Berechtigung anfangen wenn es gar keine User gibt mit dem sie als Applikation in diesem Bereich kommunizieren kann.
Das ist einfach doch ziemlich nutzlos.
Irgendjemand muss doch schliesslich dein Hyper einrichten und auf die dazu benötigten Komponenten Zugriff haben. Oder wie soll jemand der gar keine Rechte an irgendetwas auch nur die Quellen und Ziele von Hyper konfigurieren wenn er dazu gar nicht berechtigt ist?
 

Heizungauf5

Benutzer
Mitglied seit
07. Dez 2018
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
also das mit dem echten original admin sehe ich auch als irgendwie auf Kopf gestellt.
Oder wie soll jemand der gar keine Rechte an irgendetwas auch nur die Quellen und Ziele von Hyper konfigurieren wenn er dazu gar nicht berechtigt ist?
Danke für deine Aufklärung. Meine Wunschlösung wäre so etwas ähnliches gewesen, wie es die Berechtigungen bei professionellen (Windows-) Server Sicherungsprogrammen vorsehen. Der Administrator meldet sich an der Software an und konfiguriert diese auch entsprechend. Auf das Sicherungsziel kann es jedoch nicht zugreifen, da es hierfür einen Agenten-Benutzer gibt. Der kann aber auch nur auf das Ziel schreiben. Heißt er kann sich auch nicht komplett am Server anmelden und irgendetwas veranstalten. Anderstrum heißt das aber auch, selbst wenn ich das PW vom Administrator irgendwie herausbekäme konnte ich nicht einfach (aus der Ferne) auf die Sicherungen zugreifen.

Das war ja auch meine eigentliche Intention. Den "Backup" Ordner/Share komplett vom Netzwerk abkapseln, dass NUR der interne HyperBackup darauf schreiben kann. So könnte man immerhin mit den Admin Zugangsdaten den Ordner/Share leer räumen und das wärs dann mit Backups gewesen.

Gibt es alternativ eine Möglichkeit den SMB Zugriff aus dem Netzwerk auf den Share zu beschränken?

Grüße!
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
viele Leute hier schalten den original admin ab, dafür erstellen sie einen neuen mit einem nicht so gängigem Namen. Und machen grosse komplexe Passwörter für die Adminstratoren.
Rechte dem Administrator wegzunehmen kann man zwar für eine Freigabe zum Bsp, aber macht nur mässig Sinn, da er sich die Rechte jederzeit wieder geben kann.


Der Agent wäre hier zwar der Hyper vielleicht, aber so genau wird es nicht funktionieren, die Ordner müssen auch angelegt werden und einen Owner dann haben etc
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174

Heizungauf5

Benutzer
Mitglied seit
07. Dez 2018
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
Nachdem ich die erste Seite des Threads gelesen habe, kann ich die Antworten zwar in 3 Sätzen zusammenfassen, aber leider nicht ernst nehmen.
- Pack mal deine Paranoia bei Seite
- Wer auf die Ramsonware rein fällt, ist selber schuld
- Sooo wichtig sind Deine Daten nun auch nicht


[...]Rechte dem Administrator wegzunehmen kann man zwar für eine Freigabe zum Bsp, aber macht nur mässig Sinn, da er sich die Rechte jederzeit wieder geben kann.
Der Agent wäre hier zwar der Hyper vielleicht, aber so genau wird es nicht funktionieren, die Ordner müssen auch angelegt werden und einen Owner dann haben etc
Die Rechte kann er sich ja geben, aber NUR über die Webschnittstelle der Synology. Und so weit entwickelt sind die meisten Ramsonwares dann doch noch nicht (zumindest noch nicht die, die ich so bei Kunden runter kratzen durfte). Das Eigentumsproblem ist an sich ja nicht da. Der Ordner kann ja dem Hyper Backup Agenten gehören. Außer ihm kann seine Backups ja sowieso keiner wiederherstellen. Und Order anlegen kann er ja auch. Eben nur nicht per Netzwerkshare.
Daher ja auch meine Frage, ob es sich Einschränken lässt, von WO auf den Ordner zugegriffen wird, da die Aufrufe ja immer vom NAS lokal kommen.

Grüße!
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Nachdem ich die erste Seite des Threads gelesen habe, kann ich die Antworten zwar in 3 Sätzen zusammenfassen, aber leider nicht ernst nehmen.
- Pack mal deine Paranoia bei Seite
- Wer auf die Ramsonware rein fällt, ist selber schuld
- Sooo wichtig sind Deine Daten nun auch nicht
..........
Woher weisst du wie wichtig meine Daten sind?
Fragt man sich wen oder was man hier noch ernst nehmen muss.....
 

Heizungauf5

Benutzer
Mitglied seit
07. Dez 2018
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
Woher weisst du wie wichtig meine Daten sind?
Genau desswegen kann ich den oben genannten Thread ja nicht ernst nehmen. Dem TE werden dort genau die oben genannten Zusammenfassungen entgegen geschmettert, ohne zu wissen, was er auf deiner NAS vor Locky sichern will.

Beispiele, was ich meine:

Mit einem Backup online, einem im Schrank und einem im Banksafe ist mein Paranoiamodus hinreichend abgedeckt.

Datensicherheit hat immer etwas mit Paranoia zu tun. [...]
Wer nur im Paranoia-Modus denkt sollte daher ganz auf Backups verzichten, man kann es ihm sowieso nicht Recht machen.


Ich habe auch nie behauptet, dass DEINE Daten nicht sicherungswürdig sind, da ich (wie im o. g. Thema) ich nicht weiß, was deine Daten sind, was die im dortigen Thema antwortenden User leider nicht wirklich überblicken und daher das Ganze als Paranoia abtun.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
In der Arbeit, da haben wir es zwar auch so eingerichtet, dass wir dem Administrator die Rechte an den Daten Ordnern weg genomen haben, also kann er dort nicht zufällig etwas löschen wenn er mit dem Explorer etc drauf zugreifen würde. Lesen kann er dort.
Um was zu ändern muss er sich via Webinterface einloggen und von dort aus halt machen was er will. Ist vielleicht etwas primitiv, aber geht in Richtung deiner Idee. Aber viel mehr wird wohl nicht gehen.

Die Apps sind da bei Syno wohl doch nicht so selbstständig, dass sie alles alleine erreichen können. Das Szenario wie du es vor hast funktioniert hier nicht wirklich so. Von wo zugegriffen wird, na ja, wenn es darum geht nach IP was zu sperren, da gibt es FW auf der DS, die haben viele Leute abgeschaltet. Es wird halt immer davon ausgegangen, dass sich ein Benutzer einloggt und mittels der Apps etwas bewirken kann. Wobei es auch Apps gibt mit DLNA und denen ist es völlig egal wer sich wo einloggt.

Und mit dem Backup hier, es ist durchaus möglich auch ohne den Hyper (in diesem Kontext so was wie der Agent) aus den Backups wiederherstellen. Das ist extra so gemacht, bedenke das ist hier an Amateure-Heimuser gebaut. Die wollen keine Backup zu dem sie 'selber' keinen Zugriff haben. Auch die Datenbakbasierte Backups kann man mit App auf der DS selber oder einem auf PC installiertem Programm durchsuchen und daraus Daten wiederherstellen.

Ob da das Packet ABB, Advanced Backup for Busines heisst es glaube ich, wirklich was mehr bietet weiss ich nicht, habe es an einer DS, funktioniert, aber was es spezielle in deinem Fall machen würde weiss ich nicht.
Versuche es damit und dazu gibt es auf der Synology Website auch irgednwelche Tutorials.
 

Heizungauf5

Benutzer
Mitglied seit
07. Dez 2018
Beiträge
19
Punkte für Reaktionen
3
Punkte
3
Um was zu ändern muss er sich via Webinterface einloggen [...] Ist vielleicht etwas primitiv
So primitiv finde ich das gar nicht. Gehen wir mal vom schlimmsten aus, dass sich jemand im Netzwerk einen Emotet, oder ähnliches einfängt. Dieser kann dann zwar Automatisch auf "SMB Suche" gehen, aber ich bezweifel, dass die Teile Brute Force Angriffe auf eine Weboberfläche fahren und dann wenn sie das Passwort erraten haben über diese Daten verändern/löschen. Mir ist bei Synology auch keine API bekannt, mit der man das automatisieren könnte.


wenn es darum geht nach IP was zu sperren, da gibt es FW auf der DS
Mit der hatte ich auch schon gespielt. Die Funktionalität ist an sich auch nicht verkehrt. Nur fehlt eine "Zielangabe". Ich kann zwar Rechner, oder Netzwerke per Portsperre daran hindern, per SMB auf die DS zuzugreifen, kann aber dann nicht die Shares unterscheiden. Heißt wenn ich eine Regel anlege, die SMB verbietet, kommt der Rechner nirgends mehr hin.


Ob da das Packet ABB, [...], wirklich was mehr bietet weiss ich nicht, habe es an einer DS, funktioniert, aber was es spezielle in deinem Fall machen würde weiss ich nicht.
Ich werde mal die alternativen Backup-Pakete durchprobieren. Eventuell gibt es ja eines, das genau das kann. Auch wenn ich es bezweifle, denn scheinbar kann die DS nicht zwischen SMB und "lokalen" Nutzern - die nur innerhalb der DS arbeiten - unterscheiden. Heißt selbst wenn es ein Paket gibt, dass nicht mit dem Admin, sondern mit einem Backup-User sichert, muss ich den ja auf der DS anlegen, was wiederum heißt, dass der auch als SMB Client angelegt wird.

Grüße!
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat