Benutzer Pi kann nicht angelegt werden

[DiBo65]

Hallo zusammen,

ich möchte auf meinder DS214 play DSM 7.1.1 den Benutzer pi anlegen. Es wird verweigert einen Benutzer mit dem Namen anzulegen. Ich benötige den Benutzer, um ein tägliches Backup von dem Raspi mit dem Programm Solaranzeige, abzuspeichern.
Vielleicht kann mir jemand einen Tipp geben, wie ich den Benutzer trotzdem anlegen kann.
Ich habe auch schon einen Benutzer mit nur 2 Buchstaben angelegt, das funktioniert, nur pi lässt das System nicht zu.

Gruß
DiBo65

 

[Stationary]

Mit welcher genauen Fehlermeldung? Ich konnte “pi” bei mir auf der DS nämlich anlegen. Kam in Deinem Paßwort vielleicht auch die Sequenz “pi” vor? Das ist nicht erlaubt und führt zu einer Fehlermeldung.

 

[McFlyHH]

Nicht, dass es den Benutzer schon gibt

 

[Monacum]

@McFlyHH hat einen Punkt: Schau mal bei den vom System angelegten Benutzern, ob der schon – warum auch immer – angelegt worden ist.

 

[DiBo65]

Den Benutzer Pi gibt es noch nicht.
Wenn ich Pi als Benutzer eingebe bleibt das Feld rot un es kommt die Fehlermeldung:
Benutzen Sie aus Sicherheitsgründen einen anderen Benutzernamen als "pi"

 

[Benares]

Ich kann auch keinen Benutzer "pi" anlegen, obwohl es definitiv keinen gibt (cat /etc/passwd | grep pi). Benutzer "ab" oder "xy" o.ä. gehen hingegen. Auch "Pi", "pI", "PI" gehen nicht. Keine Ahnung, was die da eingebaut haben.

 

[luddi]

Keine Ahnung, was die da eingebaut haben.

Unglaublich...

 

[Synchrotron]

Na ja, die mögen halt keine Zahlen, die man für die Quadratur des Kreises benötigen kann.

Ernsthaft: Ich denke, man versucht sich irgendwie darin, user zu blockieren, die häufig in Brute-Force-Angriffen verwendet werden. Wenn ich nur einen offenen Port sehe und nicht weiß, was dahinter auf mich wartet, ist "pi" vermutlich einer der häufiger probierten Usernamen, dicht hinter unserem "admin".

Nennst ihn halt anders, und fertig ist der Kitt.

 

[luddi]

Ich denke, man versucht sich irgendwie darin, user zu blockieren, die häufig in Brute-Force-Angriffen verwendet werden.

Das ging mir auch durch den Kopf und es erscheint mir als einzige plausible Erklärung hierfür zu sein.
Nichts desto trotz sollte Synology das auch sauber dokumentieren welche Benutzernamen aus den genannten Sicherheitsgründen nicht erlaubt sind.

Man versucht zwar etlichen Anwendern zu ihrem Glück zu zwingen bzw. sie vor Gefahren zu schützen und dennoch finde ich solch eine Kastration des Systems grauenhaft.

 

[UsetheNAS]

pi ist der Standard User bei Raspberry und wurde dort entfernt. Ich gehe davon aus , dass Synology alle default User nicht zulassen will. Das ist aus Sicht Securty jedenfalls sinnvoll.

 

[luddi]

Das ist aus Sicht Securty jedenfalls sinnvoll.

Was sinnvoll ist oder nicht soll am besten der Anwender selbst entscheiden.

Wenn ich mich mit einem Kfz auf der Straße bewege werde ich auch nicht vom Hersteller per Software gezwungen mich an die Verkehrsregeln zu halten.
Die Verantwortung mich ordnungsgemäß im Straßenverkehr zu verhalten obliegt dem Fahrer des Kraftfahrzeugs und nicht dem Hersteller.

Also kann ich die Befürwortungen bezüglich Sicherheit zum eigenen Schutz nicht nachvollziehen.
Es ist aus meiner Sicht komplett unnötig was Synology hier treibt.

 

[AndiHeitzer]

Ich kann Deinen Ansatz verstehen, der Vergleich hinkt leider.
NAS-(PC-)Anwender sind per Definition nicht unbedingt fachlich in der IT unterwegs.
Von daher kann ich solche Vorgaben schon verstehen.
Bis auf die Tatsache, dass ein Führerschein (grauseliges Wort) recht teuer ist, kann Jeder diesen erwerben/bestehen und dann auf der Strasse rumgurken. Auch da gibt es 'Helden', die auf der Strasse eigentlich nix zu suchen haben. Aber eine Einschränkung findet, bis jetzt jedenfalls, nicht statt.

 

[luddi]

der Vergleich hinkt leider.

Nicht unbedingt. Denn wie du selbst schreibst gibt es auch im Straßenverkehr genügend Idioten die einen Führerschein besitzen.

Für das Betreiben einer Diskstation oder das Internet braucht es zwar keine Lizenz, aber man muss dennoch lernen damit sorgfältig umzugehen.

Ich sag ja immer, Dummheit schützt vor Strafe nicht. Ob man sich widerrechtlich im Straßenverkehr verhält oder Sicherheitsmaßnahmen in der IT ignoriert bzw. nicht in Kenntnis darüber ist trägt man schlussendlich allein die Verantwortung.

 

[UsetheNAS]

Sicher darf jeder Anwender selbst entscheiden was er macht. Dabei gibt es gute und bessere Entscheidungen.
Wenn du heute einen Server ins Internet stellst dauert es keine 5min und du hast alle default scans gesehen.

 

[Thonav]

Verstehe das Problem überhaupt nicht. Alleine aus Sicherheitsgründen würde ich keinen 2 stelligen Benutzer wählen. Wenn die Synology das nicht zulässt, begrüße ich es und wähle einen anderen. Dann muss ich eben beim PI eine anderen wählen und auf diesem einen neuen Benutzer erstellen. Fertig.

 

[luddi]

Wenn du heute einen Server ins Internet stellst dauert es keine 5min und du hast alle default scans gesehen.

Na und? Und wenn jemand möchte dass der User einen Namen bekommen soll wie er im log auftaucht dann soll er es doch tun. Unabhängig davon ob es eine potentielle Gefahr darstellt.

Jeder ist seines eigenen Glückes Schmied.

Und zudem gibt es auch in diesem Beispiel Anwendungsfälle wie z.B. ein isoliertes Netzwerk ohne jeglichen Zugriff von außen. Weshalb sollte man in diesem Fall den User vor Gefahren von außen schützen?

Mir ist das zu einfach wenn der Großteil hier behauptet solche Mechanismen aus Sicht des Herstellers seien gut. Es ist zu global gedacht und geht nicht auf den einzelnen use case ein sondern zielt wieder mal nur auf die breite Masse ab.

Wenn es hier so viele Befürworter gibt dann nehmen wir doch ein anderes Bespiel.
Hier im Forum lese ich permanent die Empfehlung VPN zu verwenden anstatt Portfreigaben weil das angeblich sicherer sei. In bestimmten Situationem mag das auch sein und ich bin sicher kein Gegner von VPN. Nur der Nutzen hängt stark vom use case ab.
Aber wenn nach der Meinung der Mehrheit VPN doch viel besser ist, warum stellt denn niemand von denjenigen bei AVM ein Feature request um Portfreigaben zu unterbinden bzw. zu entfernen um nur noch VPN zuzulassen?

 

[AndiHeitzer]

sondern zielt wieder mal nur auf die breite Masse ab.

Und genau hier treffen wir uns.
Die Diskstations sind nun mal für den Massenmarkt gedacht.
Entsprechend ist das vernünftig, gewisse Szenarien vorzugeben. Unter DSM6 kannst den 'pi' anlegen
AVM hatte mal die Unterscheidung zwischen NORMALO und EXPERTE ... das gibt es heute nicht mehr, warum auch immer.
Genau hier würden sich wohl alle wieder finden, die NORMALOS, die keinen 'pi'-User anlegen dürfen und die EXPERTEN, denen solche Vorgaben erspart blieben ...
Das ist aber nur meine (zu kurze?) Sichtweise.

 

[AndiHeitzer]

Hier im Forum lese ich permanent die Empfehlung VPN zu verwenden anstatt Portfreigaben weil das angeblich sicherer sei. In bestimmten Situationem mag das auch sein und ich bin sicher kein Gegner von VPN. Nur der Nutzen hängt stark vom use case ab.

Ich habe hier auch recht lange rumgetan ...
Mein USECASE ist, dass ich alle Mobilgeräte damit bestückt habe und mein PI-HOLE mir ziemlich viel Schrott aus dem I-Net von den Geräten fern hält.
Das Einzige was mich daran stört, wenn die Fritte durchstartet, dann muss auf jedem mobilen Gerät der Wiregard durchgestartet werden.

 

[DiBo65]

Das nützt mir alles nichts,
hat nicht einer einen Tipp, wie ich den Benutzer trotzdem anlegen kann?

 

[geimist]

Probiere es mal über das Terminal (oder im Aufgabenplaner) als root:
synouser --add "pi" "GanzSicher1234" "Raspi" 0 "mail@example.com" 0

Ich habe es jetzt auf DSM 7.2 erfolgreich getestet, wo man den User pi auch nicht in der GUI anlegen konnte.