Sicherheit am NAS durch zusätzliche eingeschränkte Nutzer?

[sylvio2000]

Hi.
Vielleicht kann mir jemand helfen die Sicherheit meines NAS zu erhöhen. Ich lese immer wieder von Empfehlungen für bestimmte Anwendungen einen eigenen Benutzer anzulegen.
Könnt ihr mir sagen in welchen Fällen das Sinn macht?

Wir sind nur 3 Nutzer im Haus: Meine Frau, mein Sohn und ich. Ich verwende momentan folgende Apps auf meiner Synology DS418play:

Docker: Emby/Plex, tvheadend, jdownloader
Direkt installiert: Synology Photos, Filebot Node

Was ich noch nicht getan habe, aber gerne tun möchte: Externer Zugriff auf Jdownloader und meine Fotos (upload vom Smartphone auf das NAS)

Macht es Sinn für Docker einen eigenen Benutzer anzulegen? Sollte ich für die Apps, auf die ich von außen zugreifen will (JD, Synology Photos) einen eigenen Benutzer anlegen? Sollte man einen Benutzer für die freigegebenen Ordner (smb-share) anlegen?

Fragen über Fragen

 

[mayo007]

Für die Sicherheit ist jeder selbst verantwortlich.
Aber hier gibt es Tipps:
https://kb.synology.com/de-de/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS
https://kb.synology.com/de-de/DSM/t...ent_ransomeware_attacks_on_my_Synology_device

 

[sylvio2000]

Schon klar, aber Sicherheit besteht ja aus mehreren Teilen. Ich hätte in diesem thread gerne mal Rückmeldung, ob es Sinn macht für bestimmte apps zusätzliche eingeschränkte Nutzer zu erstellen.

 

[Jim_OS]

Die Antwort darauf ist eigentlich relativ klar: Hast Du einen Benutzer für alles kann der auf alles zugreifen. Sollte es mal eine Sicherheitslücke geben und jemand anderes erhält Zugang zu diesen Benutzerdaten, hat dieser jemand auch auf alles Zugriff.
Hast Du nun z.B. eine Anwendung im Docker laufen und dafür einen extra Benutzer eingerichtet, der auch nur auf diese Docker-Anwendung Zugriff hat und bei der Docker-Anwendung gibt es eine Sicherheitslücke, kann es im Normalfall nicht passieren das der Docker-Benutzer auch Zugriff auf das gesamte restliche System hat und damit Blödsinn anstellen kann. Ich schreibe extra "im Normalfall" weil möglich ist alles.

Ganz einfach: Je mehr Du einzelne Dinge separierst und z.B. verschiedene Zugriffsrechte einrichtest, um so mehr Arbeit macht das, aber um so besser/sicherer ist es auch.

VG Jim

 

[sylvio2000]

Hört sich auf jeden Fall schon mal logisch an.
Ist es möglich auf einer Synology einen Benutzer für einen einzelnen Docker-Container zu erstellen?

 

[Jim_OS]

Nicht das ich wüsste weil sich das durch die Konfiguration der jeweiligen Docker-Anwendung ergibt. Du kannst nur die User-Rechte für den Docker-Ordner auf dem NAS individuell einrichten, oder noch bei dem Docker einzelne Funktionen aktivieren oder deaktivieren,



aber eben nicht für unterschiedliche User unterschiedlich.

Docker-Container nutzen halt den gemeinsamen genutzten Hostkern des NAS und sind nicht so isoliert wie z.B. eine virtuelle Maschine. Somit sind Docker-Container ein größeres Sicherheitsriskio, bzw. es kann sich ein größeres Sicherheitsrisiko ergeben.

Der Weg wäre also: Sofern die Docker-Anwendung(en) nicht irgendwelche bestimmten Rechte auf dem NAS benötigen sollte es nur einen Docker User geben, der auch nur den Zugriff auf den Docker-Ordner und auf nichts anderes hat.

VG Jim

 

[sylvio2000]

Vielen Dank schon mal, ich werde mich damit wohl über die Feiertage beschäftigen