Toggle sidebar

admin-Berechtigungen für WebServer einschränken

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
K

Korbi94

Benutzer
Registriert
04. Jan. 2021
Beiträge
3
Reaktionspunkte
0
Punkte
1
Hallo!

Ich verwende eine DS213+ bereits einige Zeit im Heimnetzwerk. Dort hat der admin logischerweise uneingeschränkten Zugriff auf alle auf dem NAS abgespeicherten Inhalte. Das admin-Passwort ist jedoch relativ leicht zu erraten, was bisher auch nicht wirklich sicherheitskritisch war, weil die Diskstation ja nur lokal verwendet wurde.

Nun möchte ich einen Zugang über WebDAV einrichten. Funktioniert auch alles soweit einwandfrei. Mein Gedanke war aus Sicherheitsgründen für den Zugriff über das Internet einen gesonderten Benutzer mit eingeschränkten Rechten (nur Lesen) und sicherem Passwort zu erstellen. Auch das ist kein Problem.
Jedoch habe ich festgestellt, daß der Server über das Internet auch über den admin-Benutzer erreichbar ist, also auch mit Schreibrechten.

Gibt es eine Möglichkeit, den WebDAV-Server nur über ein bestimmtes Benutzerkonto und vor allem nicht das admin-Konto zu erreichen?

Vielen Dank für eure Hilfe!

Gruß, Korbinian
 
Moinsen,
Oder du gehst den logischen Weg und
1. Nimmst ein sehr starkes Passwort
2. Aktivierst 2fa für den admin Account
Das sollte sowieso sein...
Ggf. denkst du 3.über eine zusätzliche Absicherung durch vpn nach...
Dann mal über weitere Schritte nachdenken.
Wäre / ist zumindest mein Vorgehen.
 
Der "Admin" heisst so, weil er "administrieren" muss und ergo auch überall dran können muss. Das wirst Du nicht verhindern können. Liegt nunmal in der Eigenschaft des Administrator-Kontos. Änder halt das Passwort auf was vernünftiges, benutze vielleicht NICHT den Admin für "sämtliche" Zugriffe und schalte hilfreiche Dinge wie z.B. die automatische Blockierung ein, damit ist schon ein großer Sprung getan :)
 
Danke für die schnellen Antworten und eure Hilfe!

Ein stärkeres Passwort wollte ich eigentlich vermeiden. Windows- und Synology- Passwörter sind ja identisch und ich müsste dann auch jedes mal bei der Windows-Benutzeranmledung ein unnötig kompliziertes Passwort eingeben.
2-Faktor-Authentifizierung wäre durchaus eine Idee. Damit könnte man die Sicherheit tatsächlich stark erhöhen.

Trotzdem bin ich etwas entäuscht, daß man die Schreibrechte beim Zugriff aus dem Internet nicht gänzlich einschränken kann. Mit jedem billigen Freeware-Tool wie FileZilla-Server geht das. :/
 
Moinsen,
Was bringt dir das, wenn dein Account wegen schlechter Passwort Wahl verloren ist und sich der böse Bursche dann einfach über dsm einloggt und als admin alles macht was er will, inklusive irgendwelche Rechte wieder zu ändern.
Bei dem Gedankengang zäumst du das Pferd von der falschen Richtung...
1.da du die Unsitte betreibst, gleiche Passwörter für scheinbar zwei clients mit admin Zugriff zu verwenden, dann ist das nur ein weiteres Argument für starke Passwörter
2.besser du nutzt verschiedene credentials, auch wenn es ein wenig unbequem zunächst erscheint
3.auch auf deinem (vermutlich) Windows Client solltest du dein alltäglichen workflow nicht als admin betreiben...
 
Korbi94 schrieb:
Ein stärkeres Passwort wollte ich eigentlich vermeiden.
Zum Vergrößern anklicken....
Sag das bloss nicht laut und öffentlich... ich hör die Steine schon fliegen...
Korbi94 schrieb:
Windows- und Synology- Passwörter sind ja identisch
Zum Vergrößern anklicken....
Müssen sie nicht sein, Du kannst unterschiedliche nehmen!
Korbi94 schrieb:
und ich müsste dann auch jedes mal bei der Windows-Benutzeranmledung ein unnötig kompliziertes Passwort eingeben.
Zum Vergrößern anklicken....
Nein, musst Du nicht. Warum? Weil Du garnicht mit dem Admin "arbeiten" sollst(!!!)
Korbi94 schrieb:
Trotzdem bin ich etwas entäuscht
Zum Vergrößern anklicken....
Kannst Du sein, aber dann bitte nur von "Dir" und niemandem sonst. Das grundlegende Konzept hinter unterschiedlichen Berechtigungen (Benutzer vs. Administrator) hast Du in keinster Weise verstanden, geht Dir alles am allerwertesten vorbei ("ich muss doch alles können" und "ich bin doch der admin") und Du jammerst, weil Du einen Dienst nicht einschränken kannst? Tut mir ja furchtbar leid, aber "so funktioniert das alles nicht". Ohne Dir auf die Füsse treten zu wollen, aber vllt setzt Du Dich einfach nochmal hin und liest Dich mal etwas in die Thematik der Berechtigungen ein und warum es einen "Administrator" gibt und viel wichtiger: Warum es "Benutzer"-Accounts gibt. Denke, das dürfte einiges erklären....

Ich bin selbst in der IT tätig und IMMER(!) nur mit meinem "Benutzer"-Account unterwegs. Nur wenn ich "administrativ" tätig sein muss, logge ich mich mit dem Admin-Account via DSM ein, ansonsten rühr ich den Account "niemals" an. :)
 
  • Like
Reaktionen: the other
Moinsen erneut,
Und weil ich nicht nur meckern will...
Du kannst ja auch Alternativen zur Einwahl mit user/Passwort nutzen, zb publickey. Dann geht zur Not auch ein schwächeres secret.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten