AdminTool Admin Tool "Blocked" Problem

[georgum]

Hi,

nun bei mir ist das nun auch der Fall, wollte heute mit dem Admin Tool aif die DS und bekam auch das ominöse "Blocked" Popup.
Da es vorher unter DSM 3.0 ohne Probleme ging und ich das böse "Blocked" erst seit dem Upgrade auf die 3.1 habe, werfe ich mal einfach so in den Raum: "I glaub die neue DSM ist schuld"

Aber das wird schon wieder, bin mir sicher Itari wird sich bei Bedarf dem Problem annehmen.
Leider bin ich Lunix mäßig ein ziemlicher Dau, ich kann da leider nicht weiterhelfen.
Bis dahin......auf auf an die Commandzeile

Greets
Georgum

 

[Tagger]

@Psy87 und @georgum
Ich kann auch nur vermuten, daß seit DSM 3.0 die "authenticate.cgi" entweder anders arbeitet oder zumindest ein anderes Resultat liefert als vorher, Stichwort: synouser. Es gibt ja immer noch das Problem mit dem internen synouser.

Voraussetzung, das meine Variante ("$user='admin';") funktioniert, ist daß der Login in das Admin-Tool nur aus dem lokalen Netzt und nach erfolgreicher Anmeldung am DSM erfolgt. Ansonsten müstte in der "adm.php" auch noch die folgende Zeile manipuliert werden, was ich persönlich dann aber eher als Sicherheitsrisiko ansehen würde:

if (($ip == '203' || $ip == '198' || $ip == '192' || $ip == '172' || $ip == '10.') && $user === 'admin'){

Hier wird auf die ersten 3 Stellen aller lokalen IP-Adressen geprüft.

 

[itari]

Wenn ich mal irgendwann die 3.1 installieren werde, schau ich mir es an. Solange ist das AdminTool halt nicht sicher ... für den Fall, dass man da etwas an den Authentifizierungsbedingungen ändert ... nicht sicher in dem Sinne, dass die DS halt in keiner Weise nicht-triviale Verbindungen zum Internet hin aufmacht.

Itari

 

[bouvrie]

Ich hab das selbe, aber mit DSM 2.3, "BLOCKED" falls ich vom externen PC einloggen wurde. Intern klappt es.

Hab mal die adm.php editiert, und mein externes IP eingefugt. Jetzt scheint es erledigt zu sein.

 

[itari]

Ich hab das selbe, aber mit DSM 2.3, "BLOCKED" falls ich vom externen PC einloggen wurde. Intern klappt es.

Hab mal die adm.php editiert, und mein externes IP eingefugt. Jetzt scheint es erledigt zu sein.

Da man das AdminTool nicht aus dem Web heraus aufrufen soll, wurde genau das, was du außer Kraft setzt, eingebaut.

Itari

 

[sfrix]

Und ich habe nun auch das BLOCKED Problem seit Version DSM 3.0-1354 mit Firefox 3.6.17 und Internet Explorer 8\9.

 

[alexserikow]

ich habe mittlerweile herausgefunden, das ich das BLOCKED-problem nur habe, wenn ich mich nicht als "admin" anmelde. nun habe ich den "admin"-benutzer gesperrt, weil ich relativ viele "angriffe" von bösen jungs per ftp habe ein benutzer habe ich in die admin-gruppe übernommen, mit diesem kann ich aber nicht auf das admin-tool zugreifen, obwohl er admin ist...
kann mir jemand dabei helfen?
gruß und danke

 

[itari]

Du kannst die Zeilen im JavaScript-Skript und PHP-Skript entschärfen ... der Gedanken ist der, dass man sich als 'admin' anmelden muss, um mit6 dem AdminTool zu spielen, weil es sonst zu gefährlich ist. Natürlich kann das jeder für sich handhaben wie er möchte. Das mit der Admin-Gruppen hab ich nicht verstanden ... gibt es das seit neustem? Im AdminTool wird zur Zeit genau auf den Text 'admin' geprüft ... nicht auf irgendwelche Eigenschaften von Benutzern oder so ... ich wüsste auch gar nicht, dass es solche geben würde ... es ist ein schlichtes Verfahren ... Immer dran denken, dass AdminTool sollte eigentlich nur auf DiskStations installiert werden, die keinen Zugang zum Internet haben!!!

Angriffe von außen sind bekanntlich im Internet weder etwas Wundersames noch Problematisches. Es ist doch jedem klar, dass jede Sekunde im Internet 'gefährlich' ist, egal wie und mit was. Jeder kennt mittlerweile die Risiken und muss sich dazu eine Strategie überlegen. Die 'bösen' Jungs sind vielleicht gar nicht 'böse', sondern wollen nur die Weltherrschaft erlangen - genauso wie wir auch.

Itari

 

[alexserikow]

Du kannst die Zeilen im JavaScript-Skript und PHP-Skript entschärfen ... der Gedanken ist der, dass man sich als 'admin' anmelden muss, um mit6 dem AdminTool zu spielen, weil es sonst zu gefährlich ist. Natürlich kann das jeder für sich handhaben wie er möchte. Das mit der Admin-Gruppen hab ich nicht verstanden ... gibt es das seit neustem? Im AdminTool wird zur Zeit genau auf den Text 'admin' geprüft ... nicht auf irgendwelche Eigenschaften von Benutzern oder so ... ich wüsste auch gar nicht, dass es solche geben würde ... es ist ein schlichtes Verfahren ... Immer dran denken, dass AdminTool sollte eigentlich nur auf DiskStations installiert werden, die keinen Zugang zum Internet haben!!!

Angriffe von außen sind bekanntlich im Internet weder etwas Wundersames noch Problematisches. Es ist doch jedem klar, dass jede Sekunde im Internet 'gefährlich' ist, egal wie und mit was. Jeder kennt mittlerweile die Risiken und muss sich dazu eine Strategie überlegen. Die 'bösen' Jungs sind vielleicht gar nicht 'böse', sondern wollen nur die Weltherrschaft erlangen - genauso wie wir auch.

Itari

danke für deine info. ich hab jetzt folgendes gemacht:
ich habe die datei "adm.php" bearbeitet und in der zeile

if (($ip == '203' || $ip == '198' || $ip == '192' || $ip == '172' || $ip == '10.') && $user === 'admin'){

den namen des benutzers eingetragen, der per admintool zugriff haben soll. jetzt komme ich leider weder mit "admin" noch mit "Benutzer" drauf, bekomme die BLOCKED-meldung
kann mir kurz jemand sagen wo die datei liegt und wie ich diese mit putty über ssh bearbeiten kann?! DANKE!!

 

[itari]

In der Datei adm.js ... suche auch nach 'admin'

Alternativ kann man auch in der adm.php (ungefähr Zeile 14/15) ändern:

if (isset($_REQUEST['auth'])) {print 'admin'; exit;}

Itari

 

[alexserikow]

Wo liegt die Datei? Ich muss jetzt via ssh die Datei ändern

 

[alexserikow]

Wo liegt die Datei? Ich muss jetzt via ssh die Datei ändern

kann mir mal bitte jemand bei der suche nach der datei helfen?!

 

[itari]

Die Dateien liegen hier: /var/packages/adm/target

Am besten du installierst dir per IPKG den Editor nano (da kommen viele gut mit zurecht). Ansonsten ist der vi dein Freund (Anleitung in unserem Wiki)

Itari

 

[sfrix]

Itari, wann machst Du mal ein Update auf Version 3.1

 

[itari]

Bei mir läuft das unveränderte AdminTool unter DSM 3.1 [1618] seit Wochen sowohl auf der DS207+ als auch auf der DS509+ stabil. Von daher besteht nicht die Notwendigkeit, ein Update speziell für den DSM 3.1 heraus zu bringen. Wenn, dann sollten substanzielle Fehler beseitigt oder Neuerungen enthalten sein. Dafür hab ich aber im Moment keine Zeit. Falls jemand wegen der 'Blocked'-geschichte Schwierigkeiten hat, sollte er die weiter oben angesprochenen Massnahemen durchführen. Ich hab die Schwierigkeiten nicht, und kann daher auch keine Verbesserung vorschlagen. Was ich aber machen werde in der nächsten Version, ist, einen Möglichkeit einzubauen, die User-Prüfung per Option einfacher ein- bzw. auszuschalten. Aber wann diese Version kommen wird, hängt von meiner Zeit ab.

Itari

 

[Alfons403]

Es läuft auch mit der 1742 bei meiner 211+.

Ich habe nur festgestellt, dass ich mich als admin einloggen muss und nicht
als Benutzer mit Admin Rechten.
Was noch irritiert ist nur das es zwei Verschiedene Icons für das AdminTool gibt,
jeweils mit einer eigenen "Bezeichnung" - AdminTool + Diskstation AdminTool und -AdminTool + AdminTool-?

 

[itari]

Was noch irritiert ist nur das es zwei Verschiedene Icons für das AdminTool gibt,
jeweils mit einer eigenen "Bezeichnung" - AdminTool + Diskstation AdminTool und -AdminTool + AdminTool-?

Das liegt daran, dass es für den DSM kleiner 3.0 zwei Aufrufpositionen gab: einmal im Desktop und einmal im Menü. Im DSM 3 werden halt beide Konfigurationsdateien ausgelesen und führen zu 2 Icons, die auch noch unterschiedlich aussehen und benamt sind. Kann man aber selbst entfernen, indem man eines der beiden Konfigurationsdateien einfach löscht - ist irgendwo hier mal genauer diskutiert worden.

Itari

PS. das mit dem Eingeloggt-sein-müssen ist ein Sicherheits-Feature, welche man wie oben angedeutet auch außer Kraft setzen kann. Die Idee ist aber, weder das AdminTool im Web zu verwenden, noch sonst wie anderen Usern zum Spielen zu geben, weil man halt alles kaputt machen könnte ... wer allerdings will, kann sich ja auch 'abgespeckte' AdminTool-Versionen basteln (einfach das Menü anpassen und die dazugehörigen Module löschen). Und es gibt ja auch eine Anleitung, wie man selbst Erweiterungen schreiben kann ... also alles höchst flexibel.

 

[mande]

Hallo

Ich in relativ neu hier und würde mich nicht direkt als DAU bezeichnen. Allerdings eine eine Bearbeitung z.B. der adm.php würde ich mich nicht unbedingt herantrauen. Ich habe den StationHelper von matthieu installiert. Bei der Installation des AdminTools bin ich aus meiner "bescheidenen" Sicht heraus korrekt vorgegangen, obwohl das Suchen der richtigen Informationen nicht ganz einfach war. IPKG habe ich http://ipkg.nslu2-linux.org/feeds/optware/cs08q1armel/cross/stable/syno-mvkw-bootstrap_1.2-7_arm.xsh installiert für meine 211j.

Es erscheint nun beim Aufrufen des AdminTools unter Firefox (auch unter opera) der bekannte Blocked-Fehler und eine zusätzliche Fehlermeldung (siehe Bild).

Kann mir da jemand weiterhelfen?

Danke und Grüsse aus CH

Andreas

 

[itari]

Hast du im DSM einen Icon zum Aufruf von phpinfo? Hast das Init_3rdparty.spk installiert und gestartet? Meist liegt es daran, dass der System-Apachen noch nicht PHPfähig ist und das wird er ja erst durch den ausgeführten Zustand der Init_3rdparty.spk.

Itari

 

[mande]

Hast du im DSM einen Icon zum Aufruf von phpinfo? Hast das Init_3rdparty.spk installiert und gestartet? Meist liegt es daran, dass der System-Apachen noch nicht PHPfähig ist und das wird er ja erst durch den ausgeführten Zustand der Init_3rdparty.spk.

Itari

Danke Itari für Deine Antwort. Ja und ja, PHPInfo-Icon ist da und Init_3rdparty.spk habe ich vorgängig installiert und läuft auch.