Admin deaktivieren?

HHE3eich · 24. Mai 2021

dann muss ich wohl weiterhin damit leben denn mit Consolen-Programmierung kenne ich mich leider nicht aus.
Admin abschalten ist keine Option für mich, das hab ich bereits bei meiner Haupt-NAS gemacht und mal ehrlich: wofür das ganze?

synfor · 24. Mai 2021

@HHE3eich deine Meldung bekommt man weg, in dem man den Sicherheitsberater passend konfiguriert. Die Konsole musst du dafür nicht bemühen.

HHE3eich · 24. Mai 2021

genau das will ich ja machen aber was meinst Du mit passend?

Fusion · 24. Mai 2021

Sicherheitsberater > Erweitert > Anzeige der Checkliste > Prüfung in Frage deaktivieren.

synfor · 24. Mai 2021

https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/SecurityScan/securityscan_advanced

HHE3eich · 24. Mai 2021

ok danke, man muß dort erstmal die vordefinierte Checkliste (Für den privaten und persönlichen Gebrauch) deaktivieren
dann die Benutzerdefinierte Checkliste aktivieren
und kann dann eine eigenen Checkliste erstellen (am besten alle aus der 1. Liste übernehmen nur das mit dem Admin-Konto nicht)

Das ganze wird jetzt vermutlich die Erinnerungs-Email zu dieser Warnung unterbinden, den penetranten Warnhinweis oben rechts in der Ecke bekommt man trotzdem weiterhin angezeigt.

kresin · 24. Mai 2021

Na ja, die nervige Warnung lässt sich ja auch abschalten.

Benares schrieb:
Solange man keine Portweiterleitungen zur DS hat, sehe ich das weniger kritisch.

Wer hat Portweiterschaltungen nicht? Mit dem Handy oder Tablet auf die heimischen Daten von unterwegs zugreifen ist toll.
Ich habe umgestellt, weil "admin" als User jedem Bruteforcer "First choice" ist. Dann muss man nur noch sein kleines Progi runterlaufen lassen und man ist drin. Plesk u.a. unterbinden das mit z.B. mit fail2ban.
Geht das auch bei der Synology Software ?

blurrrr · 24. Mai 2021

"Plesk"... rotfl.... Hat wieder wer irgendwo was ganz schlaues gelesen, oder wat? ?? Aber mal ernsthaft.... fail2ban ist "standard" (findeste so ziemlich bei jedem Linux (und anderen)) und hat genau "garnichts" mit Plesk zu tun. Bei Synology gibt es etwas vergleichbares namens "Automatische Blockierung" (kannst aber - soweit ich weiss - keine eigenen Jails anlegen). Liegt aber auch nur daran, dass die halt ihren eigenen Sch.... fabrizieren mussten.

Wer Portweiterleitungen "nicht" hat? Ich bzw. ist garnicht richtig: genau bis zur Firwall und auch nur die VPN-Ports. Ebenso keine Portweiterleitungen haben Leute, die einfach Quickconnect einschalten., und und und... Also da gibt es mehr als genug Beispiele für Leute, die keine Ports weitergeleitet haben. Oh wadde... einen hab ich noch: Alle IPv6-Leute, die nutzen nämlich nur noch Port"freigaben" und keine Weiterleitungen (aka DNAT).... ?

mamema · 24. Mai 2021

1 Euro bitte

Jagnix · 24. Mai 2021

kresin schrieb:
Wer hat Portweiterschaltungen nicht?

Ich.

kresin schrieb:
Mit dem Handy oder Tablet auf die heimischen Daten von unterwegs zugreifen ist toll.

Mache ich auch. Aber per VPN (Router).

Benares · 25. Mai 2021

HHE3eich · 25. Mai 2021

Wadenbeißer schrieb:
Ich.

Mache ich auch. Aber per VPN (Router).

würde ich auch gerne zB vom Ferienhaus aus, hab's aber bisher nicht hinbekommen.
Hatte anfangs die App von AVM aber damit hat mein Laptop mit Win7x64 bei einem W-LAN Verbindungsversuch immer einen Bluescreen angezeigt.
War eine ewige Fehlersuche, bis ich den Übeltäter gefunden hatte. Also suche ich da was anderes...

heavy · 26. Mai 2021

Frage wurden denn jetzt eigentlich die 4 ADMIN Only Dinge in dem Zuge geändert? Also kann man in der Photostation jetzt die Benuzterkonten mit einem beliebigen Admin umstellen von DS zu Photo oder zurück?

Puppetmaster · 26. Mai 2021

Ne, aber die nächste Photostation heißt ja auch nur noch Photos. Womöglich geht es dann dort.

Fusion · 26. Mai 2021

Zitat für nicht übernommene Elemente: Kontosystem von Photo Station und persönlicher Photo Station

https://www.synology.com/de-de/know...ces_between_Photos_Photo_Station_Moments#drop
Also hast du das admin Problem nicht mehr, weil es das separate Konten system gar nicht mehr gibt.

Fish76 · 09. Aug 2021

HHE3eich schrieb:
Bei Cloud Sync kann man nicht einfach den User editieren, d.h. alle Sync-Verbindungen deaktivieren/löschen und dann mit dem neunen Admin-Konto wieder neu einrichten. Danach ist es dann tagelang mit der neuen Syncronisierung besschäftigt.

Und mal ehrlich, für was das ganze?
Wenn die DS nach der 3. Passwortfehleingabe die IP sperrt, wie wahrscheinlich ist dann o.g. Brute-Force-Attake?

Hallo!

Ich weiss, späte Antwort. Wollte aber meine aktuellen Erfahrungen teilen:

Habe gestern einen Bruteforce-Angriff auf mein admin-Konto festgestelllt. Über 7000 Versuche in 3 Tagen. Das Problem: Es war ein Bot-Netzwerk! Keine 2 gleichen IPs. Bedeutet, der "Nach 3 Versuchen IP sperren"-Riegel hat nicht gegriffen. Zum Glück habe ich ein starkes Passwort, da sind sie mit den paar Tausend Versuchen nicht drauf gekommen...
Habe den Router neu verbunden, dadurch neue eigene IP. Und Ruhe. Habe jetzt zusätzlich das admin-Konto mit einer 2 Stufen Authentifizierung mit der Handy-App aktiviert.

Fand es aber schon echt happig. Bin irgendwo zwischen erschüttert und faziniert... ;-)

Also, die IP-Sperre nutzt nix bei Bot-Netzwerken... Habe ein paar der IPs mal geWHOISed: Die meisten waren aus Süd-Korea. Aber auch einige deutsche dabei. Also haben die schon überall Opfer gefunden...

Gruss Fish76

kresin · 09. Aug 2021

Ich finde es durchaus berechtigt, dass man den User "Admin" deaktiviert, weil der User ist die erste Stufe, das PW die zweite Stufe der Authorisierung. Weiss man den User schon, sind 50% schon erledigt um reinzukommen.
Auf dem externen Server habe ich fail2ban installiert. Funzt wunderbar. Nach 3 Versuchen 1 Stunde Pause - da kommt niemand mehr.
Wundert mich, dass es sowas bei Synology nicht gibt.
Übrigens: IP-Adresse sagt nicht zwingend was über den Standort aus. Bei mir auffällig sind Chinesen, Ukrainer, Russen und Amis. Muss aber nicht stimmen -> VPN / TOR.

HHE3eich · 09. Aug 2021

berechtigt sicher für NAS, die online sind, aber es gibt bestimmt auch viele NAS, die nur intern laufen und da nervt die Warnung einfach nur ...

ergo-hh · 11. Jun 2022

Ich muss mich hier mal reinhängen:
Auf Grund der Meldung von Synology, man solle das Admin konto doch deaktivieren, habe ich das mal gemacht:

Mit Admin Konto an der Sysnolgy angemeldet
unter Systemsteuerung das Admin Konto angeklickt
'Benutzer kopieren' gewählt
ein neues Konto mit Admin Rechten erstellt.
Das Admin Konto deaktiviert

Soweit, so gut. Ich habe aber dann folgendes Proble:
Unter Windows11 kann ich mir im Windows Explorer mit aktiviertem Admin Synology Konto alle dort freigegebenen Ordner anschauen/bearbeiten. Sowie ich das Admin Konto deaktiviere, erhalte ich aber beim Versuch, mir die Synology Ordner unter Windows anzeigen zu lassen. die Meldung gemäß Anhang.

Windows will also auf jeden Fall mit der Admin Kennung auf die Synology zugreifen. Da ich den Wndows Zugriff auf die Synology schon seit Jahren nutze, habe ich anscheinend vergessen, wo ich Windows sagen kann, dass es nun mit dem neuen Konto auf die Synology zugreifen soll. Kann mir jemand weiterhelfen, oder bin ich völlig auf dem Holzweg?

Da ich ein relativ starkes Passwort für das Admin Konto habe, könnte ich auch dieses weiterhin aktiv halten und mich nicht um den Synology Rat, das Admin Konto zu dekativieren, kümmern. Mich intersiert aber halt auch, wo ich das Brett vorm Kopf habe.

Gruß ergo-hh

Benares · 11. Jun 2022

Schau mal in der "Anmeldeinformationsverwaltung" (Start, "Anmelde..." tippen) von Windows, ob da evtl. noch der alte admin hinterlegt ist.
Besser wäre es allerdings, wenn du für jeden Windows-Benutzer auch einen Benutzer auf der DS anlegst, entsprechend berechtigst, und diesen dann für die Zugriffe verwendest.