FTP User Zugriff einschränken

[noiasca]

Die Ausgangssituation:

Bisher war meine NAS ohne Internetanbindung, das ändere ich nun denn

ich möchte einem User anlegen (nennen wir ihn friedrich) der via FTP vom Internet auf einen _lesenden_ zugriff auf den Ordner Photos hat.

Ein FTP Zugriff für andere User (und das schließt meinen Administrator und meinen Standarduser ein), ist nicht gewünscht.

Was ich soweit gemacht habe:

Wenn im Forum bisher richtig gelesen habe, kann ich dem neuen User die Gruppe Users nicht wegnehmen da "blöderweise" alle User dieser Gruppe bekommen und man diese auch nicht auf Userebene lösen kann.
Daher nehme ich in der Gruppe Users die Berechtigungen für den \Photos Ordner weg.

Dem user friedrich gebe ich eine eine lesende Zugriff auf die \photos meinem Administrator und meinem Standarduser wieder lesend/schreiben. Altsituation wieder hergestellt.
Portforwarding am Router und damit klappt das soweit für friedrich. Fein.

Nur jetzt hab ich noch das Problem dass der Administrator mittels FTP von außen zugreifen kann, was ich wegen den Schreibeberechtigungen aber nicht will.
Da ich normalerweise als Administrator nur lokal über LAN arbeite lasse, will ich kein starkes Passwort nutzen. (Ich hab zwar jetzt eins gesetzt, weil mir das sonst zu unsicher ist.)
Der Standarduser hat kein Passwort daher kann ich mich mit Filezilla auch nicht verbinden, was indirekt ja gewünscht ist, ich weis nur noch nicht ob das auch sicher ist.


F1: Gibt es nicht eine Möglichkeit FTP auf für meinen User friedrich anders einzuschränken ohne auch den anderen Administratoren/Standardusern FTP Zugriff zu geben?
F2: Wie sicher ist der Zugriff vom Standarduser ohne Passwort mittels FTP wirklich zu, oder klappt das vieleicht mit anderen tools dennoch und meine Scheunentore sind offen?

 

[Puppetmaster]

Du kannst die Zugriffsrechte für den User 'friedrich' auf den Ordner /photo direkt im User begrenzen, dort setzt du einfach das Häkchen bei readonly und nimmst es bei read/write beim entsprechenden Ordner weg.
Damit sollte kein Schreibzugriff mehr möglich sein.

Welche User FTP benutzen dürfen und welche nicht, das legst du auch in den Einstelluneg zu jedem Benutzer fest. Der Punkt heißt dort - glaube ich - Anwendungen. Zumindest sowas in der Art.

Dem Administrator kannst du letztlich gar nichts verbieten, sonst wäre er nicht der Adminstrator.

 

[noiasca]

- danke für die schnelle Antwort - kanns nur erst am Abend testen ... (wobei ich mir einbilde die ersten zwei Absätze probiert zu haben, was aber nicht so richtig geklappt hat).

- Der Administrator soll bitte im LAN in den Bunker gehen und dort an der DS rumschrauben, aber nicht übers WAN reinkommen dürfen, aber vieleicht bin ich da branchenbedingt eher der Superangsthase. Privat hab ich natürlich keinen Bunker ;-)

 

[Puppetmaster]

Meinst du mit Administrator jetzt eine Person, die ungleich dem 'admin' auf der DS ist?

Der admin auf der DS kann immer alles, das kannst du gar nicht verhindern.

 

[Frogman]

Na, wenn Du so ein "Superangsthase" bist, dann frage ich mich allen Ernstes, warum Dein admin kein starkes Passwort hat, nur weil Du ihn vorrangig über's LAN arbeiten lassen willst. Ein starkes Passwort sollte heutzutage jedem User gegönnt werden, erst recht einem admin!
Und damit ist auch mein anderer Hinweis schon erschlagen - User ohne Passwort? Nun ja, Du musst es ja wissen... ich an Deiner Stelle wäre mir jedenfalls nicht über alle Zweifel sicher, ob nun LAN oder von außen.

 

[hopeless]

Was halt fehlt ist, den Zugriff für User nur aus bestimmten IP Kreisen zuzulassen, oder zu beschränken.

 

[noiasca]

zur Klärung

ich (Person) verwende zwei User, einen admin und einen "normalen". Die Trennung zwischen admin und normalo soll mich vor mich selber schützen, da ich
meinem Kabel-LAN vertraue, daher haben nicht alle User Passwörter und wenn auch nicht stark. Intern hab ich vor Dritten keine Angst.

Sogesehen hab ich auch kein Problem damit dass der admin auf der webgui der DS grundsätzlich alles darf. Vom www lass ich eh keinen auf die webgui. Bleibt momentan noch das offene FTP ... wegen dem User friedrich der tatsächlich von einer anderen Person genutzt werden soll.

 

[Puppetmaster]

Du kannst dem admin nicht das ftp verbieten.

Workaround wäre lediglich, den admin zu deaktivieren und einen anderen admin anzulegen. Diesem kann man ftp in der Tat das verbieten.

 

[Frogman]

ich (Person) verwende zwei User, einen admin und einen "normalen". Die Trennung zwischen admin und normalo soll mich vor mich selber schützen, da ich
meinem Kabel-LAN vertraue, daher haben nicht alle User Passwörter und wenn auch nicht stark. Intern hab ich vor Dritten keine Angst..

Nimm's mir mal nicht übel - aber die Einschätzung halte ich für geradezu naiv. Dir sind vielleicht bspw. die zahlreichen publizierten Schwächen in Routern in jüngster Vergangenheit aufgefallen, um nur eine Möglichkeit zu nennen, über die ein Außenstehender Zugriff in das LAN erlangen kann. Von daher solltest Du jede Schwelle nutzen, um den Zugriff auf Deine Daten zu erschweren - und starke Passworte stellen ein probates Mittel dar!

 

[noiasca]

Du kannst dem admin nicht das ftp verbieten.
Workaround wäre lediglich, den admin zu deaktivieren und einen anderen admin anzulegen. Diesem kann man ftp in der Tat das verbieten.

... das mit einem neuen admininistrator hab ich kurz angedacht, aber bleibt dann nicht noch der root über? habs aber ehrlicherweise noch nicht ausprobiert ob der ftp könnte ...

 

[Puppetmaster]

root kann kein ftp.

 

[noiasca]

neuer admin2 angelegt, passt, der hat auch die Lasche Applikationen und somit kann man FTP abwählen.
root gecheckt, da schaffe ich keinen ftp Zugang. passt auch.

wegen

Du kannst die Zugriffsrechte für den User 'friedrich' auf den Ordner /photo direkt im User begrenzen, dort setzt du einfach das Häkchen bei readonly und nimmst es bei read/write beim entsprechenden Ordner weg.
Damit sollte kein Schreibzugriff mehr möglich sein.

das will nicht klappen. sobald ich der Gruppe users wie im default read/write für \photos gebe, schlägt das auch auf den user friedrich durch. Die Rechtevergabe über den Ordner ändert dann nichts mehr, wenn ich dem user friedrich von read/write auf readonly umstelle. Aber vorerst kein Problem. Ich belasse es eben bei der geänderten Gruppe users.

Was mir noch auffällt und da ersuche ich noch um Info ob das normal ist:
genau der Ordner \photos hat unter Einstellungen/Erweitert keine Möglichkeit die Erweiterten Freigabeberechtigungen zu aktivieren. Bei allen anderen (auch den automatisch angelegten wie video oder music) gibt es diese Erweiterten Freigabeberechtigungen





OT: so, hab mich schon am ersten Tag ausgesperrt weil die IP-Sperre wegen dem neuen-sicheren aber falsch eingegebenen Passwort beim Admin zugeschlagen hat, aber man hat ja zum Glück genug Geräte mit anderen IP's hier stehen

 

[Puppetmaster]

In den Gruppen lässt du die Rechte besser unangetastet! Also dort keine Häkchen setzen.