DSM 6.x und darunter Version: 5.2-5644 Update 1

[dil88]

Da hast Du m.E. recht, aber das steht nicht im Widerspruch zu dem, was noiasca schreibt. Es wäre klug gewesen, vor oder nach dem Update zu testen, ob das Adminpasswort leer ist, und dem Anwender dann die Eingabe eines Admin-Passworts abzuverlangen. Speziell im Zusammenhang mit dem Thema Auto-Update ist das, was jetzt umgesetzt wurde, eine Falle, die im Interesse von niemandem sein kann.

 

[Frankypilot]

DS415play heute ohne Probleme aktualisiert, alles bestens .

LG Frank

 

[Frogman]

Hm, sollte das nicht der admin entscheiden und nicht der Hersteller von Hard- und Software?

Nein, das sehe ich anders - bei einem Produkt, was der Hersteller explizit für einen Betrieb vorsieht, bei dem aus dem Internet darauf zugegriffen werden kann, ist die Absicherung der systemseitigen Administrators Pflicht. Und dann maximal mit einem OptOut, aber keinesfalls mit einem OptIn!
Auch, wenn die jetzige Umsetzung miserabel ist.

 

[whitbread]

Naja, eigentlich gehört ja das Deaktivieren des Admin-Accounts zu einem der ersten Schritte nach der Installation. Gewiss man könnte es auch als Umbennen bezeichnen, aber der Login als 'admin', zumal ohne Pw gehört schon klar verboten.

Nach dem Update jetzt mit deaktiviertem Admin-Account dazustehen ist sicherlich etwas krass umgesetzt, vielleicht aber ganz lehrreich...

 

[Frogman]

Die Deaktivierung des admin-Accounts ist sicherheitstechnisch Unsinn. Ein starkes Passwort ist sinnvoll, sonst nix. Zumal der admin immer auch noch Sonderrollen hat, bspw. in der Photo Station. Und das Passwort braucht man auch für den root.

 

[noiasca]

Nach dem Update jetzt mit deaktiviertem Admin-Account dazustehen ist sicherlich etwas krass umgesetzt, vielleicht aber ganz lehrreich...

lehrreich ja. Nämlich Synology die nächste Zeit nicht mehr zu trauen und auf die automatischen Updates auch weiterhin zu verzichten.

 

[Tommes]

Auch ich konnte erfolgreich und ohne Probleme updaten. Und auch, wenn mich das Debakel mit dem leeren admin-Passwort nicht betrifft, so pflichte ich noiasca's Statement bei...

"erzwingen" ... z.B. beim ersten Login wäre ja noch akzeptabel, aber einfach bei einem Update den Account zu deaktivieren...

... das hätte Synology anders lösen müssen !

Tommes

 

[laserdesign]

Ich will auch mal meinen Senf dazu geben.

Also einen Server ohne Passwort für den Admin-Account zu betreiben finde ich schon ziemlich Krass.
Auf solch eine Idee würde ich niemals kommen und hätte auch nicht gedacht das es User gibt die so
fahrlässig mit ihrer Infrastuktur umgehen. Wo möglich steht das NAS auch noch im WWW.

Auch ein Update einzuspielen ohne sich die Änderungen vorher durchzulesen, geht so einfach nicht.
Warum mache ich denn ein Update wenn nicht bekannt ist was sich geändert hat, wohl nicht zum Spaß.

... das hätte Synology anders lösen müssen !

Da muss ich dir auch zustimmen, da hätte Synology den DAU - Fall einplanen müssen.

 

[Andy14]

...
Auch ein Update einzuspielen ohne sich die Änderungen vorher durchzulesen, geht so einfach nicht.
Warum mache ich denn ein Update wenn nicht bekannt ist was sich geändert hat, wohl nicht zum Spaß.

Du liest dir zu den täglichen updates von debian (gehe mal bei deinem Bild davon aus) jedes mal durch was die für Änderungen haben? Hut ab!
Also ich lese das weder bei Win noch bei meinem Linux durch, die Zeit habe ich nicht.
Und einspielen tu ich die nicht zum Spaß sonder hauptsächlich für Sicherheitspatches!

 

[laserdesign]

Du liest dir zu den täglichen updates von debian (gehe mal bei deinem Bild davon aus) jedes mal durch was die für Änderungen haben? Hut ab!

ach nee, das jetzt wieder so ein Mist kommt und alles zerrissen wird finde ich einfach Scheiße.

Es kann doch nicht so schwierig sein, bei einem update von Synology, das alle paar Monate mal kommt, sich die fünf Punkte durchzulesen.

Und nein, ich mache für die Debian-Server kein tägliches update. Ich wäre schön blöde das zu machen wenn das System läuft.
Und ja Sicherheitspatches sind notwendig, gerade bei dem Windowsschrott. Aber das mache ich auch dann nur über einen WSUS.

 

[Puppetmaster]

...bei einem Produkt, was der Hersteller explizit für einen Betrieb vorsieht, bei dem aus dem Internet darauf zugegriffen werden kann, ist die Absicherung der systemseitigen Administrators Pflicht...

...aber obligt dem admin und nicht dem Hersteller!
Nicht, dass wir uns falsch verstehen, der Hersteller kann natürlich gerne von vornherein einen Riegel gegen leere Passwörter einbauen, aber ihn so einfach nachzuschieben (ohne rotes Hinweisbanner in der DS), wo es dann gerade bei denen, die man ja damit schützen wollte(!) zu den bekannten Zugriffsproblemen kommt, halte ich für gar keine Lösung.

Im übrigen wird sich wohl der genervte und durch obige Maßnahmen unbelehrbare "Ich brauche kein Passwort"-User für den admin statt <blank> nun das nächstliegende Passwort 'admin' wählen.

 

[dil88]

..., es auf einen Postit schreiben und an DS und Rechner/Monitor kleben ...

 

[Andy14]

ach nee, das jetzt wieder so ein Mist kommt und alles zerrissen wird finde ich einfach Scheiße.

Es kann doch nicht so schwierig sein, bei einem update von Synology, das alle paar Monate mal kommt, sich die fünf Punkte durchzulesen.

Also ich habe seit ca. 2011 eine Synology und lese die vielleicht ab und zu durch.
ich halte mich in Sachen Computer nicht für völlig verblödet, aber in bestimmt 50% der Fälle kann ich trotz lesens nicht abschätzen ob das für mich wichtig ist oder nicht und welche Auswirkungen es haben kann, und in diesen ganzen Jahren ist jetzt genau ein Update welches beim durchlesen einen Hinweis gegeben hätte.
Es tut mir leid, aber Sicherheitspatches sollen so etwas nicht einfach machen, da gehört ein deutlicherer Hinweis hin!
Schließlich empfehlen die Hersteller doch auch immer das automatische Update, wegen der Sicherheit!
Das Sicherheitsupdates auch Fehler und/oder Seiteneffekte haben die man nicht alle vorher erkennt ist klar, aber hier hätte man sich von Seiten Synologys etwas anderes einfallen lassen sollen!

 

[heavy]

Also um langsam mal die Diskussion zu beenden. Einen Admin Account ohne passwort zu benutzen ist auch im eigenen Lan, also wirklich nur kabel gebunden, einfach nur leichtsinnig. Verwendet man Wlan ist es schon Grob fahrlässig (nur mal so zur Erinnerung früher war auch das Wlan bei den meisten Herstellern nicht verschlüsselt, AVM war einer der ersten die nur verschlüsselt ausgeliefert haben, heute machen es so gut wie alle). Und ist die Ds dann auch noch über das internet erreichbar dann ist jeder selber schuld wenn seine Adresse auf entsprechenden Seiten/Listen auftaucht und er dann Besuch bekommt. Der Post-it am Monitor ist ja schon mal besser als gar kein Passwort, ja gegen die Admin/admin fraktion kann man da dann auch nur was machen, wenn man es nicht zulässt dass der Username gleich passwort ist, wobei dann 1234 auch nicht besser ist. Das einzige was ich als Kritik zulasse ist, dass durch das Update einfach der Account gesperrt wurde anstatt eine zwangspasswortvergabe Maske einzurichten, so dass man gezwungen wird ein passwort einzugeben.

 

[dil88]

Das Sicherheitsupdates auch Fehler und/oder Seiteneffekte haben die man nicht alle vorher erkennt ist klar, aber hier hätte man sich von Seiten Synologys etwas anderes einfallen lassen sollen!

Im Fazit stimme ich Dir zu. Dennoch lese ich die Release-Notes vor einem Update und schaue mir ggfs. das Feedback im Forum an. Das ist vom Aufwand wirklich kein Problem. Auf die Weise hatte ich noch mit keinem Update Schwierigkeiten. Und ich vertiefe auch nicht jeden Punkt in den Release-Notes.

 

[laserdesign]

.... aber hier hätte man sich von Seiten Synologys etwas anderes einfallen lassen sollen!

Auch dazu hatte ich etwas geschrieben, aber ist schon klar, immer schön die Verantwortung für sein tun und Verhalten weit weg schieben.

 

[laserdesign]

Das einzige was ich als Kritik zulasse ist, dass durch das Update einfach der Account gesperrt wurde anstatt eine zwangspasswortvergabe Maske einzurichten, so dass man gezwungen wird ein passwort einzugeben.

genau, hier fehlte eine Routine, die es erlaubt ein PW zu setzen.

 

[Andy14]

Ich glaube wir weichen vom Thema ab! ich will keine Verantwortung weg schieben.
Ein admin Konto ohne Passwort zu betreiben da kann ich mit der Bezeichnung DAU konform gehen,
Aber nicht bezüglich, das man sich bei allen SecurityPatches alles vorher durchlesen muss was sich ändert!
Ja, bei einem Patch bei dem das System ohne Nutzer Interaktion nachher nicht mehr erreichbar ist sehe ich den Hersteller etwas mehr in der Verantwortung!

 

[dil88]

Ja, Synology hat hier einen Bock geschossen. Aber es ist wahrlich nicht der erste. Und deshalb sollte man die Release Notes lesen. Tut man es nicht, muss man mit der Realität leben, egal ob der Hersteller verantwortlich ist oder nicht.

 

[Tommes]

Ja, Synology hat hier einen Bock geschossen.

Jepp!

Und deshalb sollte man die Release Notes lesen. Tut man es nicht, muss man mit der Realität leben...

Genauso ist es. Denn Unwissenheit schützt bekanntlich vor Strafe nicht.

Nichts desto trotz habe ich auch lange Zeit ohne admin-Passwort auf der DS gearbeitet und ich melde mich heute noch ohne ein Passwort an Windows an. Und ja, es ist verwerflich, leichtsinnig und mit heutigen Sicherheitstandards auch nicht mehr zu vereinbaren. Aber hey, bin ich deshalb ein schlechterer Mensch? Solange ich mir im klaren darüber bin, was ich da tue und welche Folgen das haben kann ist doch alles gut. Und wenn ich meine, das ich für dieses oder jenes kein Passwort brauche, dann setze ich auch keins. Denn jeder ist seines Glückes Schmied, wenngleich auch nicht jeder Schmied Glück hat!

Und jetzt sollten wir das Thema wirklich beenden, auch wenn ich jetzt wieder Öl ins Feuer geschüttet habe *räusper*

Tommes