Toggle sidebar

Admin-Konto nur aus den Netzwerk zugreifen lassen?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Z

Zacken

Benutzer
Registriert
19. Apr. 2021
Beiträge
3
Reaktionspunkte
1
Punkte
3
Hallo Zusammen,

ich hätte eine Frage zum Thema Sicherheit. Wie viele von euch ja bestimmt auch will ich meine Daten immer und überall zur Verfügung haben, muss aber nicht von überall aus Pakete installieren können oder Einstellung am NAS verändern können (Gebastelt wird ja in der Regel am Heimischen Rechner). Daher folgende Frage. Kann man irgendwo einstellen, dass das Admin-Konto nur lokal auf DSM zugreifen kann, während die Benutzer-Gruppe extern zugreifen kann?

Ein Vorschlag aus dem Forum war, dass man das Admin-Konto deaktiviert und nur aktiviert, wenn die man an der Synology bastelt. Aber dann müsste doch eine anderer Benutzter Adminrechte zum aktivieren und deaktivieren haben, oder?
 
admin interfaces wie telnet, ssh, dsm (5000,5001) ports nicht nach extern zugreifbar machen, sprich blocken.
 
  • Like
Reaktionen: the other
Moinsen,
also, EINEN admin sollte es geben. Du kannst den Standard admin deaktivieren, vorher eben einen neuen anlegen. Ob das was bringt sei mal zur Diskussion gestellt (obscurity is not security)...
Dann solltest du vor allem lernen, dass du dich da selber disziplinierst:
1.) der ADMIN Nutzer ist NUR zum VERWALTEN (daher der Name)!
2.) Wenn du nur so zum Arbeiten, Bilder schauen, backup machen,Kalendereinträge ändern, Musik hören, Dateien verwalten usw zugreifen willst, dann solltest du das NICHT mit dem ADMIN machen, denn...siehe vorheriger Tipp.
;)
 
Hallo Zacken,

und willkommen im Forum!
Ja, es wird angeraten, das Konto "admin" zu deaktivieren und vorher (!) ein Benutzerkonto mit Adminrechten anzulegen. Letztendlich ist das auch nur "Sicherheit durch Verstecken", es erhöht die Sicherheit nicht wirklich, der Angreifer muss lediglich länger nach dem "Eingang" suchen.
Sicherheit schaffst du, was den administrativen Zugang betrifft, indem du dafür ein sehr gutes, sehr langes und garantiert nicht merkbares PW, welches auch in keinem Wörterbuch zu finden ist, verwendest. Und natürlich auch die angebotene 2-Faktor-Authentisierung nutzt. (Empfehlung: ebenfalls vor der Deaktivierung des admin-Kontos die 2FA einrichten und zuerst testen. Ebenso wie den evtl. neu eingerichteten neuen Adminzugang! Nicht, dass du dich aussperrst.)

Und JA, ein Adminzugang ist ausschließlich zum Administrieren zu nutzen! Also nur, wenn du neue Nutzer anlegst oder Systemeinstellungen änderst.
Für jeden sonstigen Nutzer und auch für bestimmte technische Funktionen oder auch Nutzergruppen" (bspw. Familie" zum Videoschauen usw.) legst du mehrere Benutzerkonten an. Diesen gibst du natürlich keine Adminrechte und vergibst auch sonstige Zugriffsrechte nach der Parole: soviel wie nötig und so wenig wie möglich. Auch wenn du dich als Besitzer des Gerätes damit u.U. 2x anmelden musst.

Viel Erfolg!
MfG Peter
 
Weil in der Zwischenzeit zwei Beiträge geschrieben wurden, lege ich noch mal nach. (JA, ich weiß, dass ich meinen Beitrag editieren könnte. Aber ich schreibe bewusst noch einen Beitrag.)

Es wird von mamema geraten, telnet, ssh und das DSM selbst (für den admin) zu sperren.
Dass du dem (alten) admin den Zugang zum DSM sperrst, sollte sich mit der Sperrung dieses Kontos bereits erledigt haben. Es sollte nur einen Administrator geben, und das ist dann eben der neu angelegte. Das Konto "admin" kannst du nicht löschen (genau wie "guest"), aber solltest es deaktivieren.

Das alte "telnet" solltest du grundsätzlich nicht mehr verwenden und somit auch nicht aktivieren. Selbst innherhalb deines Heimnetzes nicht mehr, denn du weißt ja nie, wer da Zugang hat. Telnet ist unsicher und obsolet!

Etwas völlig anderes ist es mit dem anerkannten Administrationstool "ssh". Jeder Berufsadministrator kennt und benutzt ssh, um damit ohne grafischen Schnickschnack remote auf seine Server zuzugreifen. Ich nenne hier zwei "Hürden", welche du beachten solltest, wenn du auf deiner NAS den Zugang mit ssh aktivieren willst:
  1. Du solltest zumindest so viele Linux-Kenntnisse haben, dass du weißt, was du tust. (Oder du aktivierst es als für dich nutzbare Hintertür - wenn nix mehr gehen sollte und du einen Helfer hast, der dir dann wirklich helfen kann.)
  2. Du verwendest ssh niemals (!!!) nur mit Benutzername und Passwort, sondern ausschließlich mit public-key-authentisierung! Dazu musst du auf deinem/n Rechner/n ein Schlüsselpaar erzeugen und den/die public keys (gespeichert in der Datei "authorized_keys") auf die NAS kopieren. Damit ist kryptologisch gesichert, dass nur der Besitzer des/der dazugehörigen privaten Schlüssel Zugang hat.
(Mehr dazu natürlich gern bei Interesse.)

MfG Peter
 
Zuletzt bearbeitet:
  • Like
Reaktionen: the other
Ich glaube der TE möchte dass man das Admin Konto (egal wie das nur das nun heißt) gar nicht von Außen aufrufen kann. Nur von intern.
Das geht soweit ich weiß nicht.
 
Doch schon, zumindest indirekt.
Wozu muss das DSM überhaupt (ständig) aus dem "bösen Netz" erreichbar sein? (Nein, ich schreibe hier nichts mehr zum Thema VPN, was für mich grundsätzlich DIE Lösung ist.)
Für Otto-Normal-Nutzer reicht es doch, wenn dieser aus dem Netz auf notwendige "Spezialprogramme" zugreifen kann. Bspw. auf die "File-Station", was wohl für die Masse der Nutzer völlig ausreichen wird. Dafür einen Alias (file) anlegen, der Anwendung einen Port zuweisen und nur diesen Port zur NAS weiterleiten. Den Port für DSM nicht weiterleiten.
Und dann bei den Berechtigungen selbige für DSM mit "Fingerspitzengefühl" vergeben (bspw. ICH und der NAS-Admin), und "file" dürfen dann eben alle, die das haben sollen.
Selbstverständlich geht das dann auch für eine Reihe weiterer Apps.
Damit kann "jeder" den DYN-DNS-Namen für https://<NAS>/file aufrufen und wirklich niemand aus dem Netz das (viel hoher zu bewertende!) DSM.
Und der Nutzer ist dann auch sofort in der File-Station und kann oder muss sich dort vorher anmelden. In der Anmeldemaske ist auch schon das Icon for die Feile-Station zu sehen.
 
Hast dafür auch eine Begründung?
Oder zumindest schlüssige Beispiele von Anwendungen, welche ausschließlich über das DSM erreichbar sind und auch wirklich von ONU oder "Jedermann" "lebenswichtig" erreicht werden müssen?
Und in solchen, IMHO möglichen aber sehr seltenen Fällen, gibt es ja immer noch das VPN.
Wie schon mehrfach geschrieben, ich mache alles über mein Wireguard-VPN.
 
Zuletzt bearbeitet:
Das hat hier auch niemand behauptet. Und ein unter OpenWrt laufendes Wireguard-VPN ist auch keine SINA-Box.
Und einen DDOS-Angriff hält selbst diese nicht ab.

Wollte damit sagen, dass man überall Schwächen finden kann, wenn man nur gründlich genug sucht. Und, nicht zu vergessen, es gibt das so genannte "kalkulierbare Restrisiko" - welches man immer in ein Verhältnis zum Aufwand setzen sollte. Und eben jenes von mir präferierte Wireguard-VPN ist mir geringstem Aufwand zu installieren. Eben meine "SINA-Box für arme Leute".

So, für mich ist dieses Thema hiermit beendet.
 
  • Haha
Reaktionen: blurrrr
Hallo Zusammen,

vielen Lieben dank für die ganzen Antworten.
Ich glaube der TE möchte dass man das Admin Konto (egal wie das nur das nun heißt) gar nicht von Außen aufrufen kann. Nur von intern.
Das geht soweit ich weiß nicht. [Uwe96]
Zum Vergrößern anklicken....
Genauso ist es.... ich hatte mir halt gedacht, dass man so ja recht "billig" nochmal die Sicherheit erhöhen könnte. Aber wenn es nicht geht, dann geht es halt nicht, trotzdem danke.

Ich benötige tatsächlich DSM, meine Situation ist allerdings auch ein wenig speziell; es ist so:
Ich bin Lehrer an einer großen Berufsbildenden Schule und möchte nicht nur meine Arbeitszettel vom Schulnetzwerk aus zur Verfügung haben, sondern auch die erstellten Präsentationen direkt vom NAS aus starten können (damit ich nicht immer mit einen USB-Stick durch die Klassenräume muss). Unser Dienstleister ist KNE, der alle Ports bis auf 443 blockt und einen auf den Klassen-PCs sowieso keine Software installieren lässt (bzw. unteranderen auch "Portable-Lösungen unterbindet"). Daher fallen VPN- und VNC-(wäre ja auch noch eine Option, die lassen sich ja auch sehr stark verschlüsseln)-Lösungen weg.
Der Tipp mit dem Admin-account, der nicht nur ein kryptisches Passwort, sondern auch einen kryptischen Nutzernamen hat finde ich aber gut... das werde ich so umsetzen, vielen Dank! Wenn doch noch einer eine Idee hat, wie man Admin-Benutzer nur Zugriff im Lokalennetz gewähren lässt, dann wäre ich über einen Post dankbar ;).

VG und danke nochmals,
Steffen
 
Moinsen,
was ich inmitten des Post-Suppen-Komas nicht verstehe:
du brauchst doch keinen adminzugang zum Zugriff auf die Präsentationen, oder?
Auch kannst du doch als normaler user auf dsm zugreifen, eben ohne admin-Rechte?
 
  • Like
Reaktionen: blurrrr
Machste Dir ein OpenVPN auf der Syno über Port 443/TCP und dann guckste mal wie "gut" die Jungens von KNE sind ;) Wenn "vernünftige" Arbeit geleistet wird (und Du bei Einstellung damals ein dickes Buch unterschrieben hast), sollten die Verbindungen auf dem Weg nach draussen aufgebrochen werden (damit man reingucken kann - quasi ein MITM von der Sicherheitssoft-/hardware). Solltest Du schon anhand der CA der ausgestellten Zertifikate sehen, wenn Du aus der Schule heraus z.B. irgendwas via HTTPS aufrufst, denn die Sicherheitssoftware "muss" ja auch "überall" reinschauen können (um eben für Sicherheit zu sorgen).

Was das dem 443-only angeht - WebDAV wäre halt noch so eine Möglichkeit, da brauchste auch kein DSM und kannst Dir auch direkt ein Netzlaufwerk verbinden (bzw. eine Netzwerk-"Adresse").

EDIT: Und natürlich das, was @the other grade schrieb ? (hab wieder nur den lesen Post gelesen, er liest wenigstens noch anständig ?)
 
  • Haha
Reaktionen: blurrrr
also eigentlich brauchst du "Präsentationen-to-go"...

Warum nicht die Filestation? die kannst du über deine dyndns-Adresse über Port 443 aktivieren, ggf. mit einem Alias hintendran (files) ... und du kannst Links verschicken, damit andere was hochladen können...

Dein Nicht-admin muss nur die Berechtigung zum Freigeben eines Links haben...

Stefan
 
Peter_Lehmann schrieb:
Es wird von mamema geraten, telnet, ssh und das DSM selbst (für den admin) zu sperren.
Zum Vergrößern anklicken....

Ich glaub du hast das evt. auch falsch verstanden. @mamema meinte, dass er keinen Zugriff nach außen dafür hergeben würde.
Sprich keine Portforwards vom Router zur Synology auf den entsprechenden Ports (22, 80, 443, 5000, 5001).

Da wird per se also nichts blockiert, sondern es wird nie freigeschalten. Innerhalb des eigenen LANs wären die Dienste dann soweit frei verfügbar.

lg
 
Sync vom NAS zu Dropbox (oder sonstigen) und von da einfach wieder weggrabbeln?
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten