admin-Berechtigungen für WebServer einschränken

[Korbi94]

Hallo!

Ich verwende eine DS213+ bereits einige Zeit im Heimnetzwerk. Dort hat der admin logischerweise uneingeschränkten Zugriff auf alle auf dem NAS abgespeicherten Inhalte. Das admin-Passwort ist jedoch relativ leicht zu erraten, was bisher auch nicht wirklich sicherheitskritisch war, weil die Diskstation ja nur lokal verwendet wurde.

Nun möchte ich einen Zugang über WebDAV einrichten. Funktioniert auch alles soweit einwandfrei. Mein Gedanke war aus Sicherheitsgründen für den Zugriff über das Internet einen gesonderten Benutzer mit eingeschränkten Rechten (nur Lesen) und sicherem Passwort zu erstellen. Auch das ist kein Problem.
Jedoch habe ich festgestellt, daß der Server über das Internet auch über den admin-Benutzer erreichbar ist, also auch mit Schreibrechten.

Gibt es eine Möglichkeit, den WebDAV-Server nur über ein bestimmtes Benutzerkonto und vor allem nicht das admin-Konto zu erreichen?

Vielen Dank für eure Hilfe!

Gruß, Korbinian

 

[the other]

Moinsen,
Oder du gehst den logischen Weg und
1. Nimmst ein sehr starkes Passwort
2. Aktivierst 2fa für den admin Account
Das sollte sowieso sein...
Ggf. denkst du 3.über eine zusätzliche Absicherung durch vpn nach...
Dann mal über weitere Schritte nachdenken.
Wäre / ist zumindest mein Vorgehen.

 

[blurrrr]

Der "Admin" heisst so, weil er "administrieren" muss und ergo auch überall dran können muss. Das wirst Du nicht verhindern können. Liegt nunmal in der Eigenschaft des Administrator-Kontos. Änder halt das Passwort auf was vernünftiges, benutze vielleicht NICHT den Admin für "sämtliche" Zugriffe und schalte hilfreiche Dinge wie z.B. die automatische Blockierung ein, damit ist schon ein großer Sprung getan

 

[Korbi94]

Danke für die schnellen Antworten und eure Hilfe!

Ein stärkeres Passwort wollte ich eigentlich vermeiden. Windows- und Synology- Passwörter sind ja identisch und ich müsste dann auch jedes mal bei der Windows-Benutzeranmledung ein unnötig kompliziertes Passwort eingeben.
2-Faktor-Authentifizierung wäre durchaus eine Idee. Damit könnte man die Sicherheit tatsächlich stark erhöhen.

Trotzdem bin ich etwas entäuscht, daß man die Schreibrechte beim Zugriff aus dem Internet nicht gänzlich einschränken kann. Mit jedem billigen Freeware-Tool wie FileZilla-Server geht das. :/

 

[the other]

Moinsen,
Was bringt dir das, wenn dein Account wegen schlechter Passwort Wahl verloren ist und sich der böse Bursche dann einfach über dsm einloggt und als admin alles macht was er will, inklusive irgendwelche Rechte wieder zu ändern.
Bei dem Gedankengang zäumst du das Pferd von der falschen Richtung...
1.da du die Unsitte betreibst, gleiche Passwörter für scheinbar zwei clients mit admin Zugriff zu verwenden, dann ist das nur ein weiteres Argument für starke Passwörter
2.besser du nutzt verschiedene credentials, auch wenn es ein wenig unbequem zunächst erscheint
3.auch auf deinem (vermutlich) Windows Client solltest du dein alltäglichen workflow nicht als admin betreiben...

 

[blurrrr]

Ein stärkeres Passwort wollte ich eigentlich vermeiden.

Sag das bloss nicht laut und öffentlich... ich hör die Steine schon fliegen...

Windows- und Synology- Passwörter sind ja identisch

Müssen sie nicht sein, Du kannst unterschiedliche nehmen!

und ich müsste dann auch jedes mal bei der Windows-Benutzeranmledung ein unnötig kompliziertes Passwort eingeben.

Nein, musst Du nicht. Warum? Weil Du garnicht mit dem Admin "arbeiten" sollst(!!!)

Trotzdem bin ich etwas entäuscht

Kannst Du sein, aber dann bitte nur von "Dir" und niemandem sonst. Das grundlegende Konzept hinter unterschiedlichen Berechtigungen (Benutzer vs. Administrator) hast Du in keinster Weise verstanden, geht Dir alles am allerwertesten vorbei ("ich muss doch alles können" und "ich bin doch der admin") und Du jammerst, weil Du einen Dienst nicht einschränken kannst? Tut mir ja furchtbar leid, aber "so funktioniert das alles nicht". Ohne Dir auf die Füsse treten zu wollen, aber vllt setzt Du Dich einfach nochmal hin und liest Dich mal etwas in die Thematik der Berechtigungen ein und warum es einen "Administrator" gibt und viel wichtiger: Warum es "Benutzer"-Accounts gibt. Denke, das dürfte einiges erklären....

Ich bin selbst in der IT tätig und IMMER(!) nur mit meinem "Benutzer"-Account unterwegs. Nur wenn ich "administrativ" tätig sein muss, logge ich mich mit dem Admin-Account via DSM ein, ansonsten rühr ich den Account "niemals" an.

 

[the other]

Moinsen erneut,
Und weil ich nicht nur meckern will...
Du kannst ja auch Alternativen zur Einwahl mit user/Passwort nutzen, zb publickey. Dann geht zur Not auch ein schwächeres secret.