Neue "Sicherheit des admin Kontos" Meldung abschalten?

[elknipso]

Hallo,

wie kann ich denn die seit der neuen DSM Version auftauchende "Sicherheit des admin Kontos" Meldung abschalten in der ich aufgefordert werde den Standard admin Nutzer zu ändern?

Ich bin mir der theoretischen Gefahr dadurch bewusst, ist in meinem Fall aber irrelevant, da das NAS nicht am Internet hängt und mein eigenes privates Netzwerk vertrauenswürdig ist. Zudem habe ich keine Lust alle Clients neu zu konfigurieren, daher nervt die Meldung unnötigerweise zur Zeit .

 

[Tommes]

Lies mal diesen sowie den nachfolgenden Beitrag von @peterhoffmann

 

[elknipso]

Danke für den Link. Wie kann ich denn auf Konsolenebene auf das NAS zugreifen um den verlinkten Wert zu ändern?

Im Sicherheitsberater habe ich die Meldung ebenfalls deaktiviert, sie kommt aber dennoch weiterhin. Daher ist das wohl der einzige Weg der hilft.

 

[Tommes]

Ähm... ja... nun...

Wenn man sich mit einem Linux-Terminal nicht auskennt, dann sollte man besser die Finger davon lassen oder sich im Vorfeld entsprechend einlesen um sich so das nötige Wissen anzueignen. Da diese Informationen aber frei verfügbar sind, möchte ich dir diese natürlich nicht vorenthalten. Schließlich muss ja jeder selber wissen, was er tut. Sieh dir also vielleicht mal dieses Tutorial an und schau, ob dich das ans Ziel bringt.

 

[elknipso]

Bevor ich da noch irgendwas falsch konfiguriere habe ich mich jetzt mal mit dem Synology Support in Verbindung gesetzt, das ist in meinen Augen ein klarer Bug. Sollen die sich darum kümmern, dafür werden sie bezahlt .

 

[Tommes]

das ist in meinen Augen ein klarer Bug

Man ist nie gut beraten, einem Benutzer den Namen "admin" zu geben, da man damit bereits 50% der Zugangsdaten in Händen hält. Verwendet man dazu noch ein Passwort wie "123456" oder "Password", dann ist der Supergau vorprogrammiert. Und weil Synology ihre Fehler aus der Vergangenheit wieder gut machen möchte und um die Sicherheit Ihrer (und somit deiner) Systeme zu verbessern, erhälst du halt diese Warnung. In meinen Augen ist das daher kein Bug, sondern ein Feature.

Ich bin mittlerweile auch davon abgewichen "admin" als Benutzernamen zu verwenden. Leider verwenden immer noch viel zu viele Systeme diesen Namen als Quasi-Standard und oftmals erhält man keine Möglichkeit, das zu ändern.

 

[Puppetmaster]

da man damit bereits 50% der Zugangsdaten in Händen hält.

Nur, wenn das Passwort ähnlich simpel gestrickt ist wie das sehr bekannte Wort "admin". Ansonsten verschiebt sich das Verhältnis ganz erheblich weg von 50%.
Oder kannst du z.B. anhand eines Buchtitels auch den Buchinhalt zu 50% wiedergeben?

 

[elknipso]

Man ist nie gut beraten, einem Benutzer den Namen "admin" zu geben, da man damit bereits 50% der Zugangsdaten in Händen hält. Verwendet man dazu noch ein Passwort wie "123456" oder "Password", dann ist der Supergau vorprogrammiert. Und weil Synology ihre Fehler aus der Vergangenheit wieder gut machen möchte und um die Sicherheit Ihrer (und somit deiner) Systeme zu verbessern, erhälst du halt diese Warnung. In meinen Augen ist das daher kein Bug, sondern ein Feature.

Ich bin mittlerweile auch davon abgewichen "admin" als Benutzernamen zu verwenden. Leider verwenden immer noch viel zu viele Systeme diesen Namen als Quasi-Standard und oftmals erhält man keine Möglichkeit, das zu ändern.

Es gibt durchaus Fälle in denen es sinnvoll ist und faktisch kein Sicherheitsproblem darstellt, z.B. wenn das NAS nur lokal im eigenen privaten Netz verwendet wird. Davon ab sollte die letzte Entscheidung immer der Benutzer haben.

 

[Synchrotron]

Da ist eine Wand. Die ist hart, aber man ist ja ein Kerl (oder eine Kerl-in): Hämmer, klopf, bohr ...

Daneben wäre eine Tür (wie uncool).

Übersetzt: Worin besteht das Problem, einen zweiten Admin-User anzulegen, den werkseitigen „admin“ platt zu machen, und gut ist ? Das dauert keine 10min, einschließlich Pflege des Passwortmanagers. Der admin-User hat genau einen Zweck: Damit er im Auslieferzustand da ist, und bei Inbetriebnahme die Anlage eines zweiten, für die Benutzung vorgesehenen Administrators ermöglicht. Die IT-Version einer Eintagsfliege, und das ist gut so.

Abgesehen davon finde ich es gut, wenn Hersteller im SOHO-Bereich den Benutzer etwas an die Hand nehmen, und wenigstens die gröbsten Fehler abzufangen versucht. Dafür ist der Sicherheitsberater da, nicht zum Benutzer-Ärgern. Leider ist das im Consumerbereich eher die Ausnahme als die Regel, siehe den ganzen SmartHome-Krempel oder viele Router, die dann mit voreingestellten default-Zugangsdaten im Internet stehen.

 

[elknipso]

In meinem Fall ist der Hauptgrund weil ich absolut keine Lust habe jeden Client und etliche Software umzukonfigurieren inkl. den ganzen Apps auf dem Smart TV welche auf Freigaben zugreifen. Es reicht vollkommen wenn ich das einmal mit dieser elenden Onscreen Tastatur machen musste .

Aber ja, im Kern verstehe ich Deine Argumentation durchaus.

 

[Tommes]

Oder kannst du z.B. anhand eines Buchtitels auch den Buchinhalt zu 50% wiedergeben?

Natürlich kann ich das! Du etwa nicht? ?? ... das du aber auch immer alles so wörtlich nehmen musst...?

Davon ab sollte die letzte Entscheidung immer der Benutzer haben.

Wenn das doch immer so wäre? Es gibt genug Systeme, wo als Standard der Benutzer „admin“ verwendet wird, genauso wie z.B. der Benutzer “pi“ bei einem Raspberry Pi. Mittlerweile gehen viele dazu über, diese Standard Benutzer deaktivieren oder gleich einen eigenen anlegen zu können. Früher war das bei einem Raspberry Pi ein reiner Krampf, den Benutzer zu ändern, auch wurde das teilweise nicht oder nur bedingt empfohlen. Genauso wie Synology für manchen Dinge immer noch die Anwesenheit des „admin“ voraussetzt und man diesen in der Vergangenheit auch nicht einfach so deaktivieren konnte.

In meinem Fall ist der Hauptgrund weil ich absolut keine Lust habe...

Das ist natürlich ein schlagendes Argument. Sicherheit hat halt auch immer etwas mit Aufwand und Arbeit gemeinsam und wenn man dazu keine Lust hat... Dann darfst du das oben Aufgeführte Verhalten aber auch nicht als Bug bezeichnen, sondern höchstens als lästigen Hinweis.

 

[elknipso]

Ich bin IT'ler und verstehe durchaus was von der Materie. Das solltest Du auch erkannt haben aus dem was ich geschrieben habe.
Aber es ist natürlich einfacher mich stark verkürzt und aus dem Zusammenhang gerissen zu zitieren um seinen eigenen Standpunkt zu untermauern .

Fakt ist, es gibt Anwendungsszenarien in denen es aus sicherheitstechnischer Sicht absolut egal ist ob der Benutzer nun das Hauptadmin Konto ist oder nicht. Und in diesen Fällen ist es sinnvoll den Benutzer bei einer bewussten Entscheidung nicht permanent mit einer unnötigen Warnmeldung zu nerven.

Zum Thema Bug: Klar ist das ein Bug, wenn ich auf der einen Seite im "Sicherheitsberater" bewusst diese Meldung ausblenden kann, danach alles grün markiert wird, aber er an anderer Stelle, auf dem Startscreen trotzdem weiterhin mit dieser zuvor bewusst abgesegneten Meldung penetrant nervt.

 

[Fusion]

Das "schlimme" finde ich, dass es im Umkehrschluss heißt, dass nicht nur das admin Konto nicht durch ein eigenes ergänzt (admin nur deaktivieren, nicht löschen!), sondern dass das admin Konto als normales Benutzerkonto benutzt und auf allen Geräten mit Passwort eingetragen ist.
Da kann das Netz der DS noch so lokal sein, wenn da Clients im Internet unterwegs sind können sie als Einfalltor dienen und der Zugang zum NAS ist gleich mit dabei.

Administratoren administrieren,
Benutzer benutzen.

Wenn man also ein Benutzerkonto benutzt wird (egal mit welchem Konto halte ich mich eher selten überhaupt im DSM auf, wenn er mal eingerichtet ist) man auch nicht ständig mit den Admin Warnmeldungen belästigt.

WIe sagte mein ehemaliger Chef (zwar nicht auf IT Probleme bezogen, aber..):
love it,
change it or
leave it

Sprich, überdenke deine Perspektive, oder löse das Problem auf der Konsole bzw. schreibe ein Ticket an Synology, oder nimm es einfach hin.

 

[Puppetmaster]

Worin besteht das Problem, einen zweiten Admin-User anzulegen, den werkseitigen „admin“ platt zu machen, und gut ist ? Das dauert keine 10min

Weil, festhalten, Synologys Kosmos leider nicht geschlossen ist.

Beispiel 1: nur der einzige, echte admin kann z.B. die Photostation vollständig administrieren. Bei manch einem 3rd Party Paket ist das auch so.

Beispiel 2: root Passwort = admin Passwort.
Ok, deaktiviere ich den "admin". Da ich ihn deaktiviere kann ich auch pw=12345 setzen. Was soll's. Glückwunsch! Damit hast du auch bei deaktivierten admin dem einzigen echten "Administrator" deiner DS ein lächerliches PW gegeben!

 

[RichardB]

Das verstehe ich jetzt nicht ganz. Warum sollte ich dem deaktivierten "admin" ein schwaches PW geben? Bei meinen Kisten ist der "admin" standardmäßig deaktiviert (weil, er - wie Dein Bsp1 zeigt - selten benötigt wird) hat aber dennoch ein gleichstarkes PW wie der User mit Admin-Rechten.

 

[Puppetmaster]

Weil Synology z.B. meines Wissens nach an keiner Stelle darauf hinweist, dem zu deaktivierenden Admin trotzdem ein sehr starkes Passwort zu geben. Sie sagen "deaktiviere den Admin aus Sicherheitsgründen und erstelle einen eigenen".
Und auch der Sicherheitsberater des DSM (bzw. die Warnmeldung, die Anlass zu diesem Thread ist) sagen nur "Risiko! Der Admin ist aktiviert!". Da kommt keine Warnung wie: "Achtung! Der Admin ist zwar deaktiviert, hat aber ein zu simples Passwort!".

Du als ITler magst die Gefahr ja durchblicken, ein Großteil der Zielgruppe für die Kisten i.d.R. aber nicht. Da sollen Filme gestreamt und Bilder und Dateien geteilt werden. Fertig.
Admin? What Admin?

 

[Puppetmaster]

Natürlich kann ich das! Du etwa nicht? ??

Sorry, @Tommes, hatte nicht erwartet, dass du dich für Rosamunde Pilcher erwärmen kannst.

 

[Fusion]

root hat im Werkszustand gar kein Passwort (DSM 6).
Man kann nur mit einem Benutzer in der Admin Gruppe per "sudo -i" zu root wechseln.
Für alles andere muss man von Hand in die Konfiguration eingreifen (root ein Passwort geben, oder RSA-key login, oder ...)

 

[Tommes]

Beispiel 2: root Passwort = admin Passwort.

Man kann nur mit einem Benutzer in der Admin Gruppe per "sudo -i" zu root wechseln.

Genau so ist es. Wenn ich „admin“ deaktiviert habe, so kann ich mich als „admin“ auch nicht mehr auf der Konsole anmelden und schon garnicht das Passwort des Benutzers „admin“ dazu benutzen, um sich als „root“ aufzuschalten. Daher ist es so, wie @Fusion sagt... das geht nur mit dem angemeldeten Benutzer aus der Gruppe der Administratoren. Alles andere wäre ja auch grob fahrlässig.

Aber es ist natürlich einfacher mich stark verkürzt und aus dem Zusammenhang gerissen zu zitieren um seinen eigenen Standpunkt zu untermauern

Ich untermaue nicht... ich diskutiere und daher bleibt das für mich trotz alledem ein Feature und kein Bug. Das ist halt meine Meinung, so wie du deine hast. Mich nervt am meinem iPhone auch, das mir das Ding vorschreibt, wie lange ich, wie laut Musik hören darf. Damit aber nicht genug... hier wird die Lautstärke einfach reduziert. Das ist für mich ein Bug, da hier aktiv in das Geschehen eingegriffen wird, welches ich auch nicht unterbinden kann. Bei der Meldung bezüglich des Admin Kontos bleibt es nur ein Hinweis... wenngleich der ebenfalls ziemlich nervig ist.

Aber wie man es dreht und wendet, es bleibt ja jedem selbst überlassen, ob man etwas mit Missachtung straft oder nicht. Im Unterschied zu Apple hat man hier aber Möglichkeiten, wenn auch inoffiziell, diesen Hinweis zu unterdrücken.

 

[Puppetmaster]

root hat im Werkszustand gar kein Passwort (DSM 6).
Man kann nur mit einem Benutzer in der Admin Gruppe per "sudo -i" zu root wechseln.

Hm, gut. Das kann sogar stimmen. ;-)
Vor DSM 6 war es so, stimmt. Denn dort konnte ich mich ja noch per SSH direkt als root anmelden.
Ok, eine Sorge weniger.