Nur bestimmte Ordner für FTP-Zugriff freigeben

[Matthieu]

Ja das sollte so klappen.

Übrigens: Der Geschwindigkeitsunterschied sollte bei dir sehr geringfügig ausfallen. Du solltest das nicht überbewerten.

Les dir mal das hier durch (bei google gefunden):
http://www.vad1.com/tcp-throughput-limit.html

MfG Matthieu

 

[itari]

Es geht mir bei diesem Aspekt nicht um die verschlüsselungsmethode,
vielmehr um die Datenrate. FTP ist einfach deutlich schneller.

ohne Messung ist das nur ne Vermutung - also zu wenig, um darüber ernstlich zu reden

Ich verstehe nicht das die DS so eine Funktion nicht anbietet, die
Nachfrage ist mit Sicherheit groß.

Wenn du eine genaue Problemstellung formulierst, kann man ja alles machen. Ich versteh noch nicht ganz, was du eigentlich haben willst. Ansonsten bietet die DS so ziemlich alles an, was jedes Linux-NAS anbietet - vielleicht nicht alles im DS Manager, aber der ist eh nur was für Klickies und eigentlich nichts für richtige Männer

Im moment habe ich aus diesem Grund meinen FTP Zugang zur DS
sogar komplett gesperrt. Der einzige offene Port ist noch der 80er
für den Webserver und bei dem brauch ich mir über Datenverlust
durch eindringen keine Gedanken zu machen ( glaube ich zumindest )

Fakt ist eben das es mich sehr stört wenn mein Adminacc gehackt
werden würde, Vollzugriff auf alle abgelegten Daten möglich wären.

Es ist immer so, dass wenn man ein System im Netz hat und der Admin gehackt bzw. kompromittiert wird, dass dann die Sicherheit des Systems den Bach runter geht. Unter Linux gibt es ne Reihe Abwehrstrategien hierfür, die aber nicht in der BusyBox drin sind. Aber ich denke, für ein wenig mehr Geld und Strom ist alles machbar.

Ist es so schwer, ein Ordner für (NUR LOKALZUGRIFF) zu erstellen?
Wäre doch die selbe Funktion wie das FTP Häckchen bei Usern
nur halt für Ordner...

So richtig hat ich nicht verstanden, was denn ein LOKALZUGRIFF für dich ist? Wie soll ein Server denn zwischen lokalen und nicht-lokalen Zugriffen unterscheiden, wenn nicht über eine IP-Adresse? Hierfür wollte ich dir eine Lösung anbieten, nämlich den Apache, der sich per .htaccess und mod_rewrite darauf leicht anpassen lässt. Ansonsten brauchst halt ein Firewall/Proxy/Application-Switch oder sowas ähnliches, wo du per Regel (IP-Range) unterschiedliche Dienste anbietest. (Dieses Spielchen wird auf der DS zum Beispiel durch User- und Sys-Apache gespielt). Da nun mittlerweile iptables in der DS implementiert ist, kannst also auf so was hoffen oder selbst basteln. Aber noch mal ganz ehrlich ... zwei Disk Stations und du wärst den auf der sicheren Seite ... macht doch hier fast jeder so.

Itari

PS: Wenn du dich noch mehr mit dem ftp auf der DS beschäftigen magst, dann könnte vielleicht diese CLI-Ausgabe für dich interessant sein:

Synology> ftpd -h

smbftpd (http://www.twbsd.org)

options:
     -D          Running smbftpd as a daemon
     -s file     Set the path of smbftpd.con
     -v          Print the version of smbftp
     -h          Print this help message

Itari

 

[5n00py]

Danke für die Detailierten Aussagen zu meinen Fragen
Das was du über den Adminacc sagst mag in den meisten
fällen zutreffen, aber dass muss doch nicht zwingend so sein.

Beispiel:
Ich gebe über den Router nur FTP und HTTP für die DS frei.
Jedoch bleiben Telnet, SSH sowie Port 5001 geschlossen,
nun habe ich wichtige Daten auf einen non FTP user übertragen.
Auf diese Daten habe ich dem Admin den Zugang verwehrt.
Wenn nun der Admin gehacct wird kann der Angreifer ja ausschließlich
Daten gefährden die in seinem Zugangsbereich liegen und
die "wichtigen Daten" bleiben völlig vom INET getrennt.

Dein Vorschlag mit der zweiten DS sagt mir das du meine Frage schon
richtig interpretiert hast Aber ne zweite DS wollte ich mir eigentlich
nicht hier unterstellen

 

[itari]

Ich will nun nicht streiten, sondern auf eine Besonderheit der DS hinweisen. Der in der DS verwendete ftp ist der smbftpd und teilt sich die User-Rechte-Verwaltung mit dem Samba. Das macht auf der einen Seite manches einfacher, auf der anderes Seite kannst Samba und ftd halt nicht isoliert voneinander sehen. Der User "admin" ist also nicht nur für Samba so was wie ein Mini-Systemverwalter, sondern eben auch für den ftp-Bereich (und auch noch für die File Station). Als User "admin" kann ich einiges mehr wie als normaler und meist ist er bei den Shares eben mit den hohen Rechten eingetragen. Nebenbei ist auch das Passwort vom User "admin" identisch mit dem vom User "root", der halt auf der Linux-Ebene alles kann und darf. Wenn er also kompromittiert wird, dann führt das zu einer höheren Gefährdung. Klar kann man soviel wie möglich dagegen arbeiten ... aber es ist ein konzeptionelles Risiko. Darauf wollte ich hinweisen - nicht mehr, nicht weniger.

Itari

 

[10post]

Da hast du vollkommen Recht. Ich rede ausschließlich über den Zugriff
aus dem WWW. Was die Geschwindigkeit angeht weiß ich nur das FTP
deutlich schneller ist wie https, wie die erzielten Geschwindigkeiten
aussehen weiß ich jedoch nicht. Ich habe einen Upstream von 1000 kbit/s

Nach längerem Überlegen habe ich aber glaube ich doch noch eine Möglichkeit
gefunden Ich lege für sensible Daten einfach einen Extra user an

Für alle die bestimmte Daten auch vorm WWW fernhalten möchten:

1.) Neuer Benutzer anlegen.
2.) Lese und Schreibrechte von den gewünschten Ordnern die entkoppelt
werden sollen NUR diesem Benutzer geben.
3.) Diesen Benutzer NICHT für FTP freigeben.
4.) Fertig.- kein Mensch kann nun von außen auf diese Daten zugreifen,
auch nicht wenn der Admin acc gehackt wird.

Soweit ich weiß kann man dem Admin ja Rechte für gewisse Ordner
verweigern, dann müsste das doch so klappen?

zu 3

wie gebe ich einen order für FTP nicht frei ?????

 

[Matthieu]

zu 3

wie gebe ich einen order für FTP nicht frei ?????

Dort steht Benutzer, nicht Ordner
Dafür gibt es im Bedienfeld/Systemsteuerung die "Anwendungsberechtigungen". Dort kann man einstellen welcher Nutzer auf FTP, FileStation, Dateibrowser, ... zugreifen darf.

MfG Matthieu

 

[Ap0phis]

Also ich habe keine Ahnung, was ihr alle von Extern auf eurer DS machen wollt, aber gerade bei FTP ist es ein Leichtes, den Zugriff auf die entsprechenden "home"-Verzeichnisse der User zu beschränken. Das ist eine globale FTP-Einstellung, die ich für sehr vernünftig und sicher halte. Der jeweilige Benutzer weiß selber, was er für "unterwegs" in seinem Verzeichnis bereitstellen muß.
Wenn ich als admin von Extern mal dringend was ändern oder verschieben muß - was irgendwie recht selten wirklich notwendig ist -, dann mache ich das mit Vollzugriff per VPN.

Man sollte sich darüber im Klaren sein, dass ein Zugriff von Extern - egal ob FTP oder sonstwas - immer ein Risiko ist und bleibt, dass man aber mit Boardmitteln relativ einfach und sicher einschränken kann!

Die einzig vernünftige Möglichkeit, die DS von Extern ebenso uneigeschränkt nuzen zu können, wie man es aus dem LAN gewohnt ist, ist halt eben imho einzig und allein VPN.

 

[Tom Tube]

... aber gerade bei FTP ist es ein Leichtes, den Zugriff auf die entsprechenden "home"-Verzeichnisse der User zu beschränken. Das ist eine globale FTP-Einstellung, die ich für sehr vernünftig und sicher halte. Der jeweilige Benutzer weiß selber, was er für "unterwegs" in seinem Verzeichnis bereitstellen muß.
...

Prima, genau das halte ich für mich als die geeignete Vorgehensweise, nur bekomme ich es nicht hin, den "Zugriff auf die entsprechenden "home"-Verzeichnisse der User zu beschränken."
Kannst Du mir einen kleinen Hinweis geben?

(EDS14 mit DSM 5)

Danke & Gruss