Berechtigungsproblem - NAS von aussen offen

[jedimind91]

Hallo zusammen

Ich bin mir sicher dieses Problem gab es schon einmal in ähnlicher Form.
Vor einigen Tagen habe ich ein DS215J gekauft.

Ganz einfach:

2 User (Admin und Normal)

1x Share media
1x Share Privat

Wenn ich nun den Windows Datendienst aktiviere komme ich mit dem Admin auf das media Share (Passwort Abfrage kommt)

Nun ist es so, dass ich keinen Zugriff habe wenn nur die Admingruppe (keine http und user) lese/schreibrechte hat.

Ein Kollege konnte sogar von aussen einen Order in der Struktur erstellen (wie weiss ich noch nicht, ist momentan im Ausland).

Mein Privatshare soll NUR vom Admin einsehbar sein und das media von beiden Usern aber sonst von niemanden.
Das ganze lässt sich doch eigentlich recht einfach über die Benutzerberechtigungen steuern, sofern das Windows Login auf das Share den Benutzerdaten auf dem Nas übereinstimmt, oder nicht?

Danke vielmals

Gruss JM91

 

[Frogman]

Mach uns bitte Screenshots von den Rechten an den Shares - für die Gruppen users und administrators sowie - sofern vergeben - für einzelne User.

 

[heavy]

Hallo und Willkommen im Forum, was hast du für einen Dienst ins internet Freigegeben?

 

[jedimind91]

Hallo zusammen

Ausser dem Synology Media Server (Zum Streamen) und dem Windows Datendienst läuft nichts.


Via Mediaserver kann ich IMMER auf die Daten im media zugreifen, auch wenn die Gruppe user keine Rechte hat aber als Netzlaufwerk verbinden kann ich es dann nicht mehr (admin und PW geht nicht)

Mein Ziel:
media soll für das LAN bereit stehen (wenn möglich mit PW abfrage)
privat soll NUR für den Admin sein.

Vom WAN her werde ich später einen FTP Zugang einrichten (Filezilla)

Vielen Dank

 

[Fusion]

Wenn etwas nur per Benutzer/Passwort abrufbar sein soll darfst du es NICHT in den Ordnern vorhalten, die der Medienserver indiziert. Wie du nämlich gemerkt hast, ist alles was der Medienserver per DLNA zur Verfügung stellt ohne Zugriffsschutz. Das läßt sich auch nicht ändern, außer einzelne Geräte vom Zugriff auf den Medienserver komplett auszunehmen.

 

[jedimind91]

Hey

Heisst das im Grunde, dass jeder User (auch von Aussen, sofern nicht per Firewall geblockt wird) Schreib und Leserechte auf die per DLNA "Freigestellten" Daten hat?

Das Ändert nur mein Problem nicht, dass auch der Admin keinen Zugriff mehr hat sobald die Gruppe user keine Rechte mehr hat, obwohl "admin" zu Administrators gehört...
Schlussendlich spielt das keine so grosse Rolle, da es sowieso offen ist.

Privat DARF nur der admin darauf zugreifen, ergo niemand hat Rechte, ausser der User "admin" - jedoch funktioniert dass nicht (Pw Abfrage mit den richtigen Daten wird abgelehnt), wenn nur admin und die Admingruppe Schreib/Leserechte haben.
Die Gruppe USER muss Rechte haben, dann komme ich ohne Login in das Share, was wiederum nicht sicher ist.

 

[Fusion]

Die Daten sind lesbar im LAN, schreibbar sind sie normalerweise nicht. Und nach Aussen sollten sie gar nicht erreichbar sein, wenn du nicht selber Löcher in den Router gebohrt hast.

Hinsichtlich der Zugriffe via Windows-Freigabe greifen die Benutzer-einstellungen. Muss ich mir nochmal ansehen, die Bilder sind ein wenig klein geraten

 

[heavy]

Der Admin gehört per def auch zu der Gruppe User und damit hat das explizite Sperren vorrang vor dem Schreibrecht der Gruppe Administrator.
Aber warum legst du nicht im Home Ordner des Users Admin einen Ordner mit den Daten an? Denn darauf hat nur der "jeweilige User" in dem Fall Admin und der Admin zugriff.

 

[jedimind91]

Port Weiterleitung gibt es nicht und gab es auch nie.
Wie konnte der Herr dann einen Ordner in der Struktur erstellen?

@ Heavy
Was meinst du mit Homeordner?

Habs gesehen, Admin gehört zu 2 Gruppen.

 

[Fusion]

Wenn unter Benutzer, Erweitert der Benutzer-Home Dienst aktiv ist bekommt jeder Nutzer in der der Freigabe "homes" seinen eigenen Home Ordner auf den nur er selbst Zugriff hat (der admin kann sich natürlich immer Zugriff verschaffen).

Das der Benutzer "admin" etwas speziell ist, würde ich dir empfehlen diesen außen vor zu lassen und insgesamt 2 neue Benutzer anzulegen und diesen entsprechende Rechte auf Freigaben geben. Falls da noch mehr Nutzer dazukommen kannst du auch gleich 2 Gruppen mit unterschiedlich viel Zugriff anlegen.

 

[heavy]

Und du bist dir absolut sicher dass er die Ordner erstellt hat? Welche sind das denn? Und auch Quickconnect ist und war nie aktiv?

 

[jedimind91]

Ja

Nein, war auch nie an.
Das einzige was möglich ist, ist die kurze Zeit zwischen dem Einschalten und dem ersten Setzen des Admin PW.

Das mit den Homes hat funktioniert, vielen Dank.

 

[Fusion]

Wenn du am Router nichts voreingestellt hast und bei der Einrichtung der DS nicht direkt per uPnP den Router bearbeitet oder Quickconnect eingerichtet hast, ist die DS NICHT von außen erreichbar.
Irgendwas muß offen gewesen oder geöffnet worden sein.

 

[jedimind91]

Meines Wissens sollten diese Einstellungen soweit alle OK sein, das einzige was er wusste, war die öffentliche IP unseres Routers.
Spielt momentan keine so grosse Rolle, warte noch auf seine Antwort und werde es euch wissen lassen.

Danke

Gruss JM91

 

[heavy]

Und auch so schnell; Nein denn wenn dann wäre dein Netz schon so kompromittiert dass ich dir raten würde einen Rießigen Elektromagneten zu nehmen und alle deine Elektro Hardware zu zerstören.
Wenn es die Ordner Music/Video/Photo/Web sind, die Legt die DS selber an sowie man die Pakete aktiviert.

 

[jedimind91]

Und auch so schnell; Nein denn wenn dann wäre dein Netz schon so kompromittiert dass ich dir raten würde einen Rießigen Elektromagneten zu nehmen und alle deine Elektro Hardware zu zerstören.
Wenn es die Ordner Music/Video/Photo/Web sind, die Legt die DS selber an sowie man die Pakete aktiviert.

Wenn was wäre?

 

[heavy]

Das dein Kollege in der Kurzen Zeit ,wie du angegeben hast, in der Der Admin kein Passwort hatte sowohl gerade am PC sas eine Benachrichtung erhalten hat dass du ein Neues Gerät in Betrieb genommen hast. Sich dann durch deinen Router in dein Netzwerk gehackt und dann in deiner DS Ordner angelegt hat.

 

[jedimind91]

Dass ich ein neues Gerät in Betrieb nahm, wusste er (Hat auch ein Syno) aber erklären wie er bis zu der DS kam kann ich allerdings (noch) nicht.
Vielleicht hatte er auch Zugriff auf den PCs meines Mitbewohners (sind auch Freunde) dann hätte er Berechtigung,

Ich werde es bald erfahren.

 

[jedimind91]

So, ich habe meinen Kumpel erreicht.

Das ganze ist ganz einfach -> Das Syno ist sicher - er hat mit dem FTP Zugang vom alten Nas (Thecus) ein bisschen rumgespielt bevor der Kopiervorgang für das Syno ansprang, somit sah es aus, als hätte er direkt auf dem Syno den Ordner angelegt.

Danke
Gruss JM91
/Closed