Admins von home-Verzeichnissen und Freigaben ausgrenzen?

[RolfGrisu]

Hallo zusammen,

ich suche eine Möglichkeit, Admins den Zugriff auf Dateien in Home-Verzeichnissen und in Freigabe-Verzeichnissen zu unterbinden. Gibt es da eine Technik, die ein Anwender mit wenig Aufwand nutzen kann?

Die Idee ist vielleicht eine Verschlüsselung auf Datei- oder Verzeichnis-Ebene. Ein Anwender kann dann per Zugriff über SMB und dessen Passwortschutz das die Verschlüsselung "entriegeln" und erhält dann ungehinderten Zugriff zu den Dateien. Ein Admin sieht dann nur verschlüsselte Dateien (auch auf Shell-Ebene), kann aber deren Inhalt nicht lesen. Die in DSM integrierte Verschlüsselung von Verzeichnissen ist sicher wirksam, erfüllt in diesem Fall aber leider nicht diesen speziellen Zweck.

 

[McFlyHH]

Hallo zusammen,

ich suche eine Möglichkeit, Admins den Zugriff auf Dateien in Home-Verzeichnissen und in Freigabe-Verzeichnissen zu unterbinden.
...

Geht nicht und widerspricht auch dem Prinzip eines Admins.

 

[Adama]

Oder anders gesagt: Selbst wenn du ihm die Rechte entziehen kannst, er kann sie sich selbst wieder geben, er ist ja Admin...

 

[ForgottenRealmX]

Alternativ kann der User in seinem Home-Verzeichnis auch selber mithilfe von Encryption Software einen Ordner verschlüsseln. VeraCrypt etc. such dir da was passendes raus, was dir und dem User gefällt.
Denk aber dran, dem User klar zu machen: Passwort weg, Daten weg.

Die Ordner _müssen_ für Admins sichtbar und zugreifbar bleiben, wie soll sonst auch eine auf dem NAS laufende Datensicherung die Ordner sichern?
Davon abgesehen, traut ihr eurem Admin nicht, oder warum soll er nichts sehen können?

 

[metalworker]

da kannst nur ne Verschlüsselung übern Client nutzen.

viele Endpoint Programme haben das schon mit dabei

 

[Kachelkaiser]

Es gibt noch die Alternative eines "geteilten" Admin-Passwortes, d.h. das Passwort wird in zwei oder mehrere Teile auf verschiedene Personen aufgeteilt. Um sich einzuloggen, müssen demnach alle Personen anwesend sein und ihren Teil des PW eintragen. So wird ein Mehraugen-Prinzip möglich.

Ändert aber nix daran, dass der Admin alles sehen und machen darf!

 

[RolfGrisu]

Hallo zusammen,

dass das nicht geht, möchte ich bezweifeln. Auf meinem Ubuntu-Notebook sind die Home-Verzeichnisse verschlüsselt, sie werden mit der Anmeldung über den Key-Manager für den jeweiligen Anwender geöffnet. Es wäre schön, wenn es eine solche Funktionalität auch serverseitig gäbe.

Das Ansatz über den Client Verschlüsselungscontainer einzurichten ist sicher machbar. Ich finde es halt immer schick, wenn auf dem Client so wenig wie möglich installiert und gepflegt werden muss. Wenn es nicht anders geht, werden wir diesen Weg wohl einschlagen.

Bleibt noch das Thema der Datensicherung resp. der Rücksicherung. Ich denke, eine Rücksicherung meiner verschlüsselten Home-Verzeichnisse auf dem Notebook sollte funktionieren (ungetestet)

Die Frage ob man den Admins nicht vertraut möchte ich mit der Gegenfrage beantworten: wieso sollte ich den (zum Teil unbekannten) Admins vertrauen und meine persönlichen Daten unterbreiten? Dieses angestammte Vertrauen ist ein Relikt aus dem letzten Jahrtausend und sicher nicht zeitgemäß.

 

[Benares]

Vermutlich bist du auf deiner DS einziger Benutzer und Admin zugleich. Dass du dir selbst nicht traust, kann ich verstehen .
Nein, mal im ernst. Admins sind dazu da, das wieder zu richten, was Nutzer verbocken. Und dafür ist ein gewisses Vertrauen notwendig
Wenn du unbedingt willst, dass auch Admins deine Daten nicht sehen, musst du die halt nochmals verschlüsseln. Möglichkeiten wurden ja schon genannt.

 

[RolfGrisu]

Zumindest den 2. Satz kann ich nachvollziehen. Wozu braucht dann ein Admin aber Zugriff auf meine Kontoauszüge, Verträge, Versicherungsdaten, Gesundheitsdaten....? Es sind auch nicht nur Admins die da ggf. zugreifen, diverse Crawler habe da auch Interesse - wenn sie es mal bis zur Dateiebene geschafft haben.

 

[Benares]

Hab grad meinen Beitrag noch mal editiert (s. #8) Ich nutze auch VeraCrypt für wirklich sensible Daten. Das ist aus Admin-Sicht eine unlesbare Container-Datei, aus deiner Sicht aber ein Laufwerk.
Wenn du aber deinen Schlüssel verschlampst, kann dir auch kein Admin mehr helfen.

 

[RolfGrisu]

Okay, das schaue ich mir gerne einmal an.

 

[Kachelkaiser]

Mal anders gefragt, wer stellt im Fall der Fälle deine deine Kontoauszüge etc wieder her? Das kann nur der Admin und sonst niemand.

Grundsätzlich welches System du nutzt, es gibt immer einen Admin den man vertraut, egal ab deine NAS oder Google oder dieses Forum hier.

Das ist kein Überbleibsel ais dem letzten Jahrhundert sondern Stand der Technik.

Wenn selbst der Admin keinen Zugriff auf die Bereiche des Systems hat, wer soll dann noch was retten oder warten?

Wie ost es in deiner Arbeitsstelle? Auch dort gibt es Admins, die Zugriff auf alles haben.

 

[heavy]

Wie der Name ja schon sagt, ein Admin muss administrieren und dazu braucht er eben vollen Zugriff, und selbst wenn du dem Admin den Zugriff auf den Ordner sperrst, dann macht er es eben mit dem Root Nutzer, zu dem er sich jederzeit selber machen kann und der hat auf ALLES Zugriff. Bei Synology dann auch auf die Daten des DSM. Also dass was du nicht mal als normaler Admin zu sehen bekommst. Und auch bei Ubuntu komme ich mit ROOT in deine Home Ordner und wenn der Schlüssel auf dem Laufwerk liegt, dann kann ich (eventuell) sogar die Daten entschlüsseln (das lerne ich erst in 4 Monaten, denn ich mache gerade die Ausbildung zum Admin). Denn Root darf RESTLOS alles. Ach ich kann meinen Vorrednern nur beipflichten, wenn du sichern willst dann extern verschlüsseln. Ach und ich hoffe du hast keine DE-Mail Adresse, denn da ist ja bekannt dass der Bundesnachrichtendienst alle Emails mitliest, deshalb müssen sie ja unverschlüsselt verschickt werden damit sie dann unverschlüsselt auf den Servern liegen auf die eben der BND dann Zugriff hat. Und bei Google und Co muss man die AGB´s lesen aber bei einigen steht drin dass sie die Daten filtern. Genauso wie bei Gmail alle Mails durchsucht und ausgewertet werden.

 

[Thonav]

Ich weiß nicht was Du für delikate Dokumente vor wem auch immer schützen willst. Meine sensibelsten und wertvollsten Dokumente sind bei Notaren oder im Grundbuch hinterlegt - meine Aktien liegen auch nicht physisch auf meinem Server, Gold und Geld auch nicht. Hmm - Schmuck und Brillanten?! Geht auch schlecht... Was könnte es bei Dir sein? Illegales? Mag sein, mir aber egal. Dir sind jede Menge Wege genannt worden, Deine Dokumentkopien gegen was auch immer zu sichern. Hoffe nicht, dass Du das Internet nutzt. Das birgt ganz andere Gefahren für Deinen Daten auf Deinem PC.

 

[Kachelkaiser]

Hoffe nicht, dass Du das Internet nutzt. Das birgt ganz andere Gefahren für Deinen Daten auf Deinem PC.

zumal sich da auch die Katze in den Schwanz beißt. Jde Cloud hat Admins, denen man vertrauen muss. Und die kennt man noch weniger als den seines Heim-NAS

 

[metalworker]

Vorallem was meinst du mit Crawlner ? Wo hast du denn deine Synology laufen?
Vielleicht solltest du genauer erzählen um was es genau geht.

Und wie der Rest schon sagte . Ein Admin braucht halt einfach rechte um Arbeiten zu können.
Und wenn du nen bösen und neugierigen Admin hast .Dann gibt er sich die rechte.

Bei größeren Firmen wird das so gelöst das ein Admin nie alle Rechte für alles hat.
Totzdem gibts immer welche die deine Freigaben einsehen könnten wenn Sie wollen.

 

[TheGardner]

Dass ihr immer allem und jedem Admin Rechte gewährt, das wird irgendwann eines jeden Untergang sein...
Ein Admin Konto sollte nur 1-2x pro NAS existieren und nur im äußersten benutzt werden und niemals für den täglichen Betrieb...bla bla bla... wahrscheinlich von den Alten hier schon x-mal hergebetet und immer wieder aufgesagt worden...

Und nein! Es ist nicht mühevoll, ständig zwischen seinem normalen Konto und dem Admin Konto hin und her zu springen. Wenn es sein muss, dann musst DU halt in den sauren Apfel beißen und niemand anderes...

 

[metalworker]

na darum gehts hier ja auch gar nicht .
Das mal nicht als SU permanent arbeitet klar.

Hier gehts ja darum das dieser halt auf die Homes kommt

 

[TheGardner]

Ja, schon verstanden! Aber das soll auch immer so bleiben, dass der auf die Homes kommt. Der Admin soll auch sämtliche Pornos aller Beteiligten sehen können und weiß der Geier was noch!

DAS ist der Grund, wieso er nicht benutzt werden sollte !!!! Nicht das Pferd von hinten aufzäumen und anfangen dem Admin Account irgendwelche Rechte auf Ordner wegzunehmen...
Der Admin ist ein Account! Kein Mensch! Niemand hat Admin zu sein und wenn jemand Admin-Rechte brauch, dann sollte dieser jemand vertrauenswürdig sein und wenn er es nicht ist, dann sollte die Vertrauenswürdigkeit halt auf mehrere Personen ausgeweitet werden, die dann bei jeder Aktion halt anwesend sein müssen, weil das Passwort des ADMIN halt unter den "vertrauenswürdigen" Personen aufgeteilt werden musste...

Klar kann man die Homesverzeichnisse ausgrenzen (für Admins ausblenden), aber das wird wieder andere Probleme auf den Plan rufen, welche auch nicht gewollt sind.
Einfach mal nicht jedem als Admin einrichten, sondern halt den Leuten, die Admin sein sollen noch einen Zweituser beschaffen, der halt Admin sein soll.

 

[Puppetmaster]

Mal anders gefragt, wer stellt im Fall der Fälle deine deine Kontoauszüge etc wieder her? Das kann nur der Admin und sonst niemand.

Das kann der admin machen. Dabei sollte es keinen Unterschied machen, ob er eine verschlüsselte Datei oder eine Klartext-Datei wiederherstellt. Der Inhalt ist für den Vorgang (und auch für das Backup) unerheblich.

Ich kann das Anliegen des TE voll und ganz verstehen. Es geht hier nicht um Vertrauen oder nicht Vertrauen. Es gibt für den Admin schlicht und einfach keine Notwendigkeit den Inhalt von Dateien zu kennen für seinen Job.
Home Verzeichnisse lassen sich, wie der TE das auch schon anhand einer anderen Linux-Distri geschildert hat, oft schon von Hause aus verschlüsseln, so dass kein anderer Anwender (auch nicht der Admin) den Inhalt kennt. Zugriff hat er dennoch. Das muss an Vertrauen dann auch genügen.

Fazit aber: Synology kann das aktuell nicht und ohne eine Drittsoftware wie das angesprochene VeraCrypt oder andere wird es nicht gehen.