Plex Server Sicherheit

[Flocki23]

Hi Leute,

hab mal ne Frage an euch.
Ich habe auf meiner DS213 bis vor kurzem mal den Plex Server drauf. Mich hatte das mit den ganzen Covern und zusätzlichen Infos begeistert.
Aber irgendwie hab ich jetzt bemerkt, dass der ganze Plex Server ziemlich unsicher ist oder finde ich nur die richtigen Einstellungen nicht?

Ich habe auf der DS Benutzer eingerichtet, die sensible Daten haben und nur diese Benutzer sollten darauf zugreifen können. Der Plex Server hat aber Zugriff auf alle Ordner, egal welchem Benutzer die gehören(auch wenn der PlexUser keinen Zugriff auf diese Ordner hat). Wenn man eine neue Library hinzufügt sind dort als Quellordner ALLE aufgeführt.
Desweiteren kann man nicht mal ein Passwortschutz für den Server einrichten. Dh,. jeder der IP/manage im Firefox eintippt kann im Server rumpfuschen.
Da mein Upload zu langsam ist, soll der Plex Server nur im internen Netz verfügbar sein und ich will nicht dass Plex für mich meine IP mitloggt, also will ich mich auch nicht bei Plex registrieren.
Ist XBMC da auch so schlecht abgesichert?
Naja falls hier andere Leiute meine Beobachtungen bestätigen sollten, würde ich jedem der diesen Server betreibt raten darüber nachzudenken, ob ein so unsicheres System wirklich sinnvoll ist.
Außerdem wird meiner Ansicht nach über das Paketzentrum noch eine alte Plex vesion angeboten, die bekannte Schwachstellen hat.

Vielen Dank für eurer Feedback
Flocki

 

[Jing]

ich bestätige das hier mal nicht.

Es zwingt dich keiner den port 32400 extern per natting auf die interne ip deines NAS zu leiten. wenni ch von extern drauf will, mach ich das mit username und passwort...

 

[Tomadur]

Hallo zusammen,

ich würde das Thema gerne erneut aufgreifen. Ich habe auch die Beobachtung gemacht, dass Plex über seine Gui auf alles in der Synology Zugriff hat. Auch dann, wenn er in der DSM-Verwaltung dieses nicht hat. Mir ist leider nicht klar, wie er das anstellt. Selbst wenn man den User "Plex" alles verweigert, den Adminstatus aberkennt, kommt Plex weiterhin an alles ran, inklusive Systemordner!

Meiner Meinung nach ein echtes Sicherheitsproblem, zumindest jeder der Zugang zum lokalem Netz hat, kommt so an alles ran, von jedem der Daten auf der Syno lagert.

Gibt es hier noch jemanden, der das Bestätigen kann? Wie kann man unterbinden? Plex soll doch bitte nur in die für Ihn freigegebenen Ordner gucken dürfen.

 

[Aevin]

Meiner Meinung nach ein echtes Sicherheitsproblem, zumindest jeder der Zugang zum lokalem Netz hat, kommt so an alles ran, von jedem der Daten auf der Syno lagert.
.

Habe ich da einen Denkfehler in eurer Betrachtungsweise ?

Ich selber habe über Plex (mit Plexpass) einen Adminzugriff, in welchem ich alle Ordner in Kategorien einteile (Filme und Serien für Kinder und/oder Erwachsene usw.)
Dann lege ich verwaltete Benutzer an (Kind 1, Kind 2, Frau, mich usw...) und gebe jeden die Berechtigung auf die Medien, die ich für richtig halte. Für jeden Account wird eine Pin festgelegt.

Jetzt kann sich jeder am TV oder Rechner/Laptop über die Plexsoftware oder App (Windows10, Handy, Tablet) über seinen Account anmelden.
Es kann keiner irgendwelche Ordnerstrukturen auf der DS sehen oder gar sich selber zuordnen im lokalen Netz, wie auch vom Internet aus.

Also wo genau ist da jetzt mein Denkfehler ?

Gruß Aevin

 

[Tomadur]

Wenn ich mit einem PC, der nicht auf der DS angemeldet ist und im Privatmodus des Firefox auf die URL des Plex (also 192.168. usw), dann kann ich ohne angemeldet zu sein neue Mediatheken anlegen. In der Auswahl welche erscheint um die Quelle der neuen Mediathek auszuwählen, kann ich jeden beliebigen Ort auf der Diskstation auswählen und der Inhalt wird dann ja nach Typ (Video, Musik oder Bilder) indiziert und angezeigt und mir (noch immer ohne Account oder Anmeldung im Privatmodus) angezeigt.

Richtig, von Außen (wo dann ein Benutzerkonto abgefragt wird), gibt es das Problem dann scheinbar nicht.

 

[Aevin]

Wenn ich mit einem PC, der nicht auf der DS angemeldet ist und im Privatmodus des Firefox auf die URL des Plex (also 192.168. usw), dann kann ich ohne angemeldet zu sein neue Mediatheken anlegen.
.

Ja und das geht eben bei mir auch nicht... melde ich mich im lokalen Netzwerk über die direkte Adresse bei Plex an, kommt auch die Benutzerkontenabfrage und ich muss meine Pin für den Account eintippen.
Wenn ich einmal angemeldet bin und sage, dass er sich die Anmeldung merken soll und das nächste mal ohne Kennwort gleich die Anmeldung ausführen soll, dann kann das jeder an diesem Rechner tun. Aber nicht an einem anderen Rechner.

Siehe:


Also irgendwo ist da wohl ein Problem bei dir entstanden.

 

[goetz]

Hallo,
@Aevin
bitte lösche das Vollzitat, es ist völlig unnötig.
Danke.

Gruß Götz

 

[Andy14]

So, habe mir das jetzt auch mal angeschaut und muß leider sagen das es sich (ähnlich) wie bei Flocki23, Tomadur verhält.
Ohne Plex Account, den Aevin ja hat, kommt bei der Anmeldung über 32400 auf dem Plex Server keinerlei Abfragen.
(Ich will aber keinen Plex Account ich nutze das bisher nur für Musik auf meinem Fire TV. Es ist bisher die einzige App die ich wirklich ganz gut über die Fernbiedienung nutzen kann. Diverse DLNA Player und DS Audio haben da mindestens einen "Fallstrick" der sich mit einer Fernbedienung schlecht oder gar nicht erreichen lässt.)
Beim hinzufügen einer Mediathek kann man die gesamte DS durchsuchen, allerdings, wenn die Rechte des Plex users beschränkt werden sieht man nur die entsprechenden Ordner und kann in die gesperrten nicht einsehen. (Das dürfte sich in den Einstellungen des Ordner sogar noch ändern lassen)

Das 2. Problem das ich dabei bemerkt habe, es wurde ja ein user Plex mit admin Rechten angelegt.
Hier wurde auch ein Passwort eingetragen welches ich aber nicht vergeben habe und ich auch nicht kenne!
Somit weiß ich nicht ob es überhaupt sicher ist, oder sogar bei allen Plex Installationen gleich ist?
Eine Suche ergab das das ändern des Passwortes wohl zu Problemen führt, zugriff auf die Datenbank?
Ausprobiert habe ich das jetzt noch nicht. Hat das hier jemand ohne Probleme ändern können?
Denn so geht das ja nun wirklich nicht einen admin user dessen Passwort ich nicht kenne!

 

[blinddark]

Also der User Plex hat zunächst mal nur den Zugriff auf die Ordner, die ihn wirklich etwas angehen. Ich würde empfehlen, dies einmal direkt bei den gemeinsamen Ordnern zu kontrollieren und speziell bei Music und Video nur den lesenden Zugriff gestatten. Dann ist es ja auch so, dass man mindestens einmal den Plex-Account angeben muss, wenn man durch Zufall oder Nicht auf deinem Server landet. Wenn deine öffentliche ip 1.2.3.4 ist und ich durch Zufall auf meinem Rechner 1.2.3.4:32400/web eingebe, ist mein Client, also der Rechner ja nicht mit deinem Account verknüpft und ich müsste dann deinen Plex Account kennen. Als weiteres Feature hat Plex dann noch Plex home eingeführt. So können wie weiter oben beschrieben noch mehrere Konten angelegt werden, um Filme und Musik richtig zu Kategorisieren. Auch hier muss der Client sich zunächst über eine PIN oder über den Plex Account authentifizieren und dann wird Standardmäßig immer beim Start der App die Benutzerliste angezeigt und nach der Auswahl muss die PIN eingegeben werden. Im Lokalen Netz kann man hier natürlich sagen, er soll dich ohne Anmeldung auf den Server lassen, aber ich persönlich habe diesen Haken nirgends gesetzt.
Ein Weiteres Sicherheitsfeature: Plex schützt im Standard alle Verbindungen mit einem SSL-Zertifikat.

 

[Andy14]

Wie schon oben geschrieben, ich habe keinen Plex-Account und ich will auch keinen Plex-Account!
ja mit den Rechten kann man es einschränken, habe ich ja auch geschrieben, aber standardmäßig hat er erst mal Zugriff auf alles!
Die Vogehensweise finde ich genau Falsch, er dürfte erst mal nichts sehen und man muss freischalten was er darf.
Habe immer noch einen Plex user, auf der Synology, der bei der Installation angelegt wurde und dessen Passwort ich nicht kenne!

 

[blinddark]

Habe immer noch einen Plex user, auf der Synology, der bei der Installation angelegt wurde und dessen Passwort ich nicht kenne!

Dann setze es doch einfach zurück. Dann ist es dir bekannt und es tut keinem weh. Ich denke nicht, dass es bei Plex selbst hinterlegt ist.

 

[Andy14]

Ich habe es nicht gemacht weil ich, ich glaube im amerikanischen Forum, gelesen habe das danach die Mediathek hin war!
Nach den Beschreibungen hörte es sich so an als ob der Zugriff auf die Datenbank wohl ebenfalls mit diesem Passwort abläuft!
Deshalb wollte ich erfahren ob das hier schon jemand gemacht hat!

 

[blinddark]

Wenn du vorher die Einstellungen im dsm sicherst und anschließend notfalls die Benutzerkonten wiederherstellst, solltest du auf der sicheren Seite sein.