Photo Station Photo Station: Zugriff auf Fotos ohne Anmeldung wider Erwarten möglich

[bartsimsen]

Hallo zusammen,

ich habe das Forum und auch das Web bereits durchsucht, komme aber mit den gefundenen Antworten nicht weiter.

Ich betreibe einen Fritzbox Router, daran hängt eine DS212. Ich habe im Paketzentrum die Photo Station aktiviert, um meine Fotos darüber zu verwalten. Klappt alles super, ebenfalls der Zugriff via iOS App sowohl lokal als auch von extern funktioniert wunderbar. Wenn ich das Laufwerk am Mac anmelde, muss ich meine Zugangsdaten eingeben, ansonsten erhalte ich keinen Zugriff.

Ich selbst habe für mich einen neuen Admin-Account "Matthias" angelegt und melde mich stets nur noch mit diesem an. Den Original-Admin-Account habe ich deaktiviert, so wie von Synology empfohlen. Den Account "Guest" habe ich ebenfalls deaktiviert. Daneben gibt es noch einen Account "Time Machine", den ich für Backups nutze (und nur dafür).

Nun wohne ich in einer WG. Mein Mitbewohner nutzt ebenfalls das WLAN in dem die DS hängt und hat dabei unverständlicherweise vollen Zugriff auf meine Fotos im Ordner /photos, obwohl ich den User "Guest" deaktivert und in der Photostation unter "Einstellungen > Fotos > Zugriffsrechte" alle Foto-Ordner auf "Privat" gesetzt habe. Dabei kann er sowohl die Ordner öffnen, als auch die Fotos anzeigen. Das die öffentlichen Freigaben öffentlich sind, war mir bewusst, aber gerade die gesonderte Rechtevergabe in der Photostation soll die Lese/Schreibrechte ja flexibel gestalten.

In der Systemsteuerung habe ich nur den lokalen Benutzern "admin" (deaktiviert) und "Matthias" (mein Arbeitsaccount) Lesen/Schreiben auf den freigegebenen Ordner "/photo" gewährt. Den User "Guest" habe ich wie gesagt deaktiviert, da ich der einzige bin der Zugang zur Syno haben soll.

Interessanterweise werden, wenn ich die Photo Station aufrufe ohne mich anzumelden, keine Fotoalben angezeigt, so dass ich eigentlich dachte, das ich die Konfiguration richtig gemacht habe.

Ich habe ebenfalls drüber nachgedacht, die "persönliche Photo Station" zu aktivieren, damit die Fotos einfach nicht mehr im öffentlichen Ordner liegen. Aber die Medienindexierung verarbeitet ja anscheinend nur den Freigabeordner "/photo" und nicht die "/home/users/photo" Ordner, so dass ich diese Funktion zunächst nicht genutzt habe.

Irgendwo ist ein Denkfehler drin, den ich nicht finde. Kann mir jemand einen Tipp geben, wie ich die Gruppen und User-Rechte einrichten muss, damit NUR noch der Nutzer "Matthias" die Inhalte und Ordner sehen und öffnen kann? Ich habe die Einstellungen der Usergruppen / Benutzer in Screenshots dokumentiert und hänge die mal an.

Danke und Gruss
Matthias

 

[the0bone]

Also wenn ich mir das bei dir so angucke, dann komme ich auch durcheinander.
Dein MischMasch auch User und Gruppen ist schon komisch.

Da würde ich erst mal Ordnung rein bringen und alles über Gruppen machen.
Ein User sollte nur im äußersten Notfall ein Einzelrecht bekommen.

Deine Gruppe http versteh ich nicht.

Wenn dein Admin gesperrt ist, warum hat er dann noch Rechte? Dann hat er auch keine Rechte mehr zu haben und auch in keiner Gruppe mehr zu sein.

Dein Matthias User, warum ist der in so vielen Gruppen? Wenn er als Admin alles darf, brauch er doch die anderen nicht.
Das du deinen Hauptuser als Admin hast, das macht man auch nicht! Admin ist für Adminaufgaben. Für die tägliche Arbeit sollte man einen User mit weniger Rechten haben.

Wozu gibt es die Gruppe users? Die darf doch eh nichts (also undefiniert nichts, da auch nichts ausgeschlossen ist)

Warum darf deine http Gruppe mehr als nur den Webordner? Und sogar in die anderen Order r/w.

Du siehst, die Liste ist endlos... Irgendwie solltest du mal aufräumen.

 

[stefan_lx]

auf welchem Weg sieht er denn die photos? über Freigaben, über einen Browser oder über DLNA (sprich den Medienserver)?
Übrigens sollte der http auf das Verzeichnis web schreiben können, auf die anderen Verzeichnisse kommt der Webserver standardmäßig sowieso nicht...


Stefan

 

[bartsimsen]

@the0bone
Danke für Deine Antwort Leider helfen mir Deine Fragen nicht wirklich weiter, da ich sie grösstenteils nicht beantworten kann. Die Gruppen "http" und "users" habe ich z.B. nicht angelegt, das hat die Diskstation selbst gemacht. Ich nehme an erstere hängt mit der Aktivierung des Webservers zusammen. Kann ich diese Gruppen einfach löschen, um einfach Ordnung zu kriegen? Reicht dann die Gruppe "Administrator" aus?

@stefan_lx:
Er sieht die DS automatisch unter "Freigaben".

 

[stefan_lx]

http und users werden automatisch angelegt, nur die Berechtigungen sind für die anderen Verzeichnisse seltsam...

Es gibt Freigaben und Freigaben... hast du den Medienserver installiert?
Die Windows-Freigaben erkennt man an einem PC/Monitor-Icon, die Medienserver-Freigaben erkennt man an einem Icon, das mich an einen Kühlschrank erinnert...

Stefan

 

[the0bone]

Sorry, durch das ganze scrollen hatte ich meinen Kommentar zu http doppelt.

Löschen würde ich users und http nicht.
Mein http hat jedoch keine Rechte und Verbote. Und auch keine Mitglieder.
Trotzdem geht alles.

Ansonsten zur Info, so hab ich das:
Gruppen:
Admins - dürfen alles
http - darf nichts
main_users - darf r/w auf viele Ordner. Aber z.B. nicht auf den Ordner timemaschine oder homes
TM - darf nur r/w auf den Ordner timemaschine
users - darf nichts

User:
ipad 1 - gruppe users, einzelrecht auf Applikationen wie SS
iphone 1 - gruppe users, einzelrecht auf Applikationen wie SS
iphone 2 - gruppe users, einzelrecht auf Applikationen wie SS
User 1 - Gruppe main_users. Mein Standard User. Mit dem sind alle Laufwerke eingebunden und findet die tägliche Arbeit statt.
User 2 - Gruppe main_users. Gleiches für weiteres Familienmitglied
TM_User - Der Backup User für mein Mac. Gruppe nur TM
alternativAdmin - Gruppe Admin. Nur zur Verwaltung über DSM oder Notfall account
Admin & guest - deaktiviert


Und, nichts ausser den Applicationsrechten in den Usern gesteuert.

 

[bartsimsen]

Danke für Deine hilfreiche Auflistung. Habe noch ein paar Nachfragen dazu:

- "users - darf nichts" bedeutet dem Fall, das in den Berechtigungen bei allen Ordnern "Kein Zugriff" aktiviert ist, richtig?

- Die r/w Berechtigung für die Home-Verzeichnisse werden dann nicht in der Gruppe eingerichtet (bei Dir "main_users"), sondern direkt bei den Usern "User 1" und "User 2"? Das würde Deiner Aussage am Schluss widersprechen. Oder wo vergibst Du die r/w Berechtigung für die Homes?

Ich werde das heute Abend mal zu Hause durchchecken und melde mich dann nochmal.

Merci Derweil

Matthias

 

[Puppetmaster]

- "users - darf nichts" bedeutet dem Fall, das in den Berechtigungen bei allen Ordnern "Kein Zugriff" aktiviert ist, richtig?

Es empfiehlt sich allgemein, in den Systemgruppen users, administrators und neu http gar keine Häkchen zu setzen.
Wenn man mit Gruppen arbeiten möchte, dann sollten eigene Gruppen definiert werden.

 

[the0bone]

- "users - darf nichts" bedeutet dem Fall, das in den Berechtigungen bei allen Ordnern "Kein Zugriff" aktiviert ist, richtig?

Nein, sondern wie Puppetmaster schreibt, kein Häkchen an.

- Die r/w Berechtigung für die Home-Verzeichnisse werden dann nicht in der Gruppe eingerichtet (bei Dir "main_users"), sondern direkt bei den Usern "User 1" und "User 2"? Das würde Deiner Aussage am Schluss widersprechen. Oder wo vergibst Du die r/w Berechtigung für die Homes?

Achtung! homes und home sind Unterschiede.
homes = der Ordner, in dem alle home liegen. Auf diesen sollten die User ja nicht kommen, da sie sonst die anderen home Ordner einsehen könnten. Da kann aber der Admin rein schauen.
home = der einzelne Home Ordner des jeweiligen Users. Ich glaube darauf kann man gar keine Rechte setzen. Du hast die home Ordner an oder auch nicht.

 

[the0bone]

Es empfiehlt sich allgemein, in den Systemgruppen users, administrators und neu http gar keine Häkchen zu setzen.
Wenn man mit Gruppen arbeiten möchte, dann sollten eigene Gruppen definiert werden.

Als Ergänzung zu Puppetmaster:
Jup! Aber die Gruppen nicht löschen. Genauso wie die Systemuser. Da lassen, Rechte entziehen und deaktivieren.
Warum? Deine Logindaten bestehen immer aus name und password. Wenn ich den Namen schon kenne (admin) dann muss ich nur noch eine andere Sache knacken. Vereinfacht vieles
Doof ist nun, dass du den User root nicht mal sehen kannst Er aber das gleiche Passwort wie Admin hat. Daher muss Admin ein gutes Passwort haben.

 

[bartsimsen]

Hallo zusammen,

vielen Dank für Eure zahlreichen Tipps. Ich bin das mal durchgegangen und habe die Gruppen / User eingerichtet, dabei ist mir folgendes aufgefallen:

- Wenn ich die Gruppe "Users" bearbeite, hat diese jetzt angeblich keine Mitglieder mehr. Wenn ich aber den Benutzer "Matthias" bearbeite, habe ich dennoch einen Haken bei der Gruppe "Users" und kann das Häkchen auch nicht deaktiveren. Gleiches gilt für alle anderen User - warum?

- Wenn ich in die Filestation gehe und per Rechtsklick auf einen Unterordner in "/photo" die "Eigenschaften" anschaue und dort auf "Genehmigungen" klicke, sehe ich bei ALLEN Gruppen, Usern und bei Sonstiges ein Häkchen sowohl bei "Lesen", "Schreiben" und "Ausführen". Diese Häkchen sind ausgegraut und auch nicht deaktivierbar. Unter "allgemein" im selben Fenster sehe ich als Besitzer "Matthias" und als Gruppe "http". Ich nehme an, das ist so auch nicht korrekt und ich habe in meinen vorherigen Versuchen, den Zugriff auf meine Fotos im Netzwerk zu beschränken, hier ebenfalls Mist gebaut. Was sind hier die korrekten Einstellungen? Der Besitzer ist mir klar, das ist der User der den Ordner samt allen Unterordnern angelegt hat. Aber welche Gruppe muss korrekt den Zugriff haben? Hängt damit die Sichtbarkeit ohne Anmeldung zusammen (wie eingangs beschrieben) ?

- Ich habe der System-Gruppe "users" nun alle Zugriffe wie weiter oben beschrieben entzogen und einen Benutzer "iPhone" angelegt, der wiederum der Gruppe "Users" angehört. Diesem Benutzer habe ich bei "Berechtigungen" r/w-Zugriff u.a. auf den Ordner "photo" gewährt. Wenn ich mich nun mit dem User am iPhone über die DS Photo App oder über die Web-App einlogge, sehe ich aber nichts.

Danke viel mal und Gruss

Matthias