Bug / Sicherheitsproblem / Zugriffsberechtigung,

[Stege]

Hallo oder doch nur Fehlkonfiguration,

Ich hoffe nicht das ich ein Bug in DSM 7 gefunden habe und hoffe das liegt an meiner Fehlkonfiguration, daher erstmal die Frage an Sie alle.
Aktuelles DSM DSM 7.1.1-42962 Update 3
-Einen User angelegt
-Berechtigungen alle auf "Kein Zugriff" außer 1 Ordner der eine "Schreibgeschützen" Zugriff hat
-Unter Anwendungen "Alle Verweigern" außer File Station steht auf "Zulassen"
wenn der Nutzer sich nun einloggt und geht auf die Eigenschaften einer Datei:
Sieht dieser nicht nur unter Allgemein den vollständigen lokalen Volumenpfad sondern unter Berechtigungen auch andere Benutzer oder Gruppen.

Dem nicht genug:
-erstelle ich einen User
-Berechtigungen alle auf "Kein Zugriff" außer 1 Ordner der ein Lesen/Schreib Zugriff hat
-Unter Anwendungen "Alle Verweigern" außer File Station steht auf Zulassen
wenn der Nutzer sich nun einloggt und geht auf die Eigenschaften einer Datei:
Sieht dieser nicht nur unter Allgemein den vollständigen lokalen Volumenpfad sondern unter "Erstellen" unter dem Auswahlfeld "Benutzer oder Gruppen" sämtliche Nutzerkonten auf dem System inkl. Beschreibung / Emailadresse und man kann hier noch heraus bekommen wer hier zur Gruppe der Administratoren gehört.

Mal von dem ganzen Datenschutzquatsch(DGSVO) abgesehen ist das ein erhebliches Sicherheitsrisiko finde ich. Währe schön wenn jemand das mal validieren kann. Wie seht Ihr das oder kann man das besser Konfigurieren als ich es gemacht habe?

Grüße Stege

 

[Kurt-oe1kyw]

Willkommen im Forum.

Nö, du hast da ganz arg was an den Rechten verpfuscht.
Wenn die Rechte vom Admin der DS korrekt vergeben wurden, dann sieht der User nur home (sofern Homedienst gestattet wurde) und jenen Ordner welchen du ihm freigegeben hast.
Alles andere ist für ihn nicht da, auch nicht in der Filestation.
Somit hat der User gar keine Möglichkeit überhaupt eine Datei anzuklicken um deren Eigenschaften zu sehen. (*)

Vermutlich hast du den User in einer Gruppe wo ihm dies gestattet wurde.
Ist der User nur in der Systemgruppe "users" dann kann er nichts sehen, ausser du hast an der Systemgruppe users etwas verstellt und geändert.

Daher immer unser Hinweis:
ALLE System-USER und SYSTEM-GRUPPEN (das sind alle jene die nach der Installation vom DSM autom da sind, oder jene welche durch Programmpakete autom erstellt werden) NICHT ÄNDERN! Am besten gar nichts darin Anfassen!

ALLE Benutzer und Gruppen die du selber erstellt und anlegst mit der Schaltfläche "Erstellen", da kannst du dich herumspielen.
Schlimmstenfalls löschen und neu Anlegen, aber Hände weg von den System-Usern und System-Gruppen.
Da kommt dann so was wie bei dir heraus.

(*) Wenn du verhindern möchtest das der User auch nicht zB über Netzlaufwerkverbindung wie SMB usw diese nicht berechtigten Daten sehen kann, dann im DSM die Option "Ordner und Dateien für User ohne Berechtigung verbergen" aktivieren.
Dann sieht der User sie auch dort nicht.

 

[ottosykora]

momentan ist mir nicht ganz klar wo sieht der Benutzer etwas von 'Benutzer und Gruppen' ?
Wenn sich ein normaler Benutzer anmeldet, dann sieht er so was gar nicht

 

[Benares]

Hallo @Stege,
willkommen im Forum.
Ich hab's jetzt 3 Mal gelesen, weiß aber nicht, was genau du jetzt da bemängelst

Schau erstmal, was in der Systemsteuerung bei den Dateidiensten und bei den Freigegeben Ordnern eingestellt ist.
Unter SMB gibt es zunächst mal diese Option

bei jedem der Freigegeben Ordner dann diese

Damit sollte der Großteil der Ordner/Dateien, auf die ein Benutzer keinen Zugriff hat, schon mal weg sein.

Sieht der Benutzer trotzdem noch irgendwelche Ordner, kann er sich natürlich auch dessen Berechtigungen anschauen. Das ist in Windows ganz genauso.

Übrigens: Man entrechtet nicht ("Zugriff verweigern"), sondern man berechtigt eher. Dabei aber auch auf die Gruppenmitgliedschaften des Users achten und schauen, was er darüber darf. Nur wenn er über seine Gruppenmitgliedschaften (z.B. die Zwangsgruppe "users") etwas darf, was er nicht können soll, kommen Entrechtigungen mit ins Spiel.

 

[ottosykora]

ahh, ich vermute es geht hier um den Permission Inspector wenn man auf die Eigenschaften einer Datei geht und dann unter Erweitert...

aber das gibt es doch auch bei anderen Betriebssystemen?


BTW in dem Screenshot steht oben Berechtigungs Editor, den sieht aber eine normaler User so nicht

 

[Stege]

Hallo,

Danke erst einmal für eure Antworten,
@Kurt-oe1kyw
an der Systemgruppen administrators / http / users habe ich nichts verstellt oder geändert.
Ich habe den User jetzt mehrfach angelegt über "Erstellen" und bin die Abfrage durchgegangen.
Die Option "Ordner und Dateien für User ohne Berechtigung verbergen" habe ich angehakt.


@ottosykora
Einen einfachen Nutzer wie oben beschrieben angelegt:
Berechtigungen alle auf "Kein Zugriff" außer 1 Ordner der ein Lesen/Schreib Zugriff hat
Unter Anwendungen "Alle Verweigern" außer File Station steht auf Zulassen

 

[Stege]

@Benares
auch Dir danke für deine Antwort.
die beiden Optionen habe ich auch so eingestellt.
Der Nutzer sieht ja auch nur die Ordner welche ihm freigegeben wurden.
Danke für den Hinweis mit dem vererben der Gruppenrichtlinien aber der TestACC ist nicht in einer anderen Gruppe drin.
Ich habe früher mal gelernt das verweigern vor zulassen geht(so wie es auch drunter steht (NO ACCESS > READ/WRITE > READ ONLY). Erstmal alles verweigern und nur das zulassen was nötig ist und da die Gruppe "users" ja über mehr Berechtigungen verfügt als ich bereit bin zu geben wie z.b. DSM/FTP/SMB usw.

 

[ottosykora]

den Editor kannst du hier sehen nur wenn du Berechtigung hast an den Berechtigungen was zu ändern, das kann zum Bsp sein weil du diesen File erstellt hast

Und ja, derjenige, der Berechtigung editieren darf, kann auch veranlassen, dass andere Benutzer die Berechtigungen und andere Attribute nicht lesen können

Wenn dies nicht sichtbar wäre, dann könnte es der Eigentümer auch nicht bearbeiten, aber das ist hier das Ziel.

Schaut man andere Files an, dann hat man den Editor nicht, man kann aber die Berechtigungen betrachten wenn es der Besitzer oder der Admin erlaubt hat

dazu wäre noch zu sagen, die Berechtigungen werden vererbt, also von dem übergeordneten Ordner übernommen falls die nicht unterbrochen wurde

 

[Benares]

Ich habe früher mal gelernt das verweigern vor zulassen geht

Das ist auch so. Zeig mal die Berechtigungen auf A10Hex, die dir die Filestation dort zeigt (Eigenschaften, Berechtigungen). Normalerweise wird da von "Test" vererbt und die Berechtigungen sollten daher graugetastet dargestellt werden.

 

[Stege]

Das ist auch so. Zeig mal die Berechtigungen auf A10Hex, die dir die Filestation dort zeigt (Eigenschaften, Berechtigungen). Normalerweise wird da von "Test" vererbt und die Berechtigungen sollten daher graugetastet dargestellt werden.

 

[Kurt-oe1kyw]

Stege ich muss mich bei dir Entschuldigen!
Du hast Recht!
Jetzt konnte ich das ganze Nachstellen. Da hat Synology was verbockt, das darf nicht sein!

Freunde Stege hat Recht, ich habe nur den ersten Post nicht richtig Verstanden. Ich hatte den User komplett gesperrt, somit konnte er nur sein Homes sehen, sowie Photo, weil Photo ja eine eigene Rechteverwaltung hat und darüber die Rechte erteilt werden.
ABER jetzt habe ich einen freigegebenen Ordner zugelassen und da passiert tatsächlich furchtbares!
Der User kann zwar nichts ändern, aber er sieht alle Details der anderen User, obwohl er selber ein normaler User ist und keine Rechte haben sollte.

Ich habe im Moment nur die Erklärung weil das mit der Berechtigung für DSM zusammenhängt, ich denke wenn man ihm DSM entzieht wird es nicht mehr gehen.

Das Problem ist der User sieht alle anderen Usernamen, deren Emailadressen und deren Gruppenzugehörigkeit.
Es ist leicht reproduzierbar.
Legt einen Testuser an, sperrt alle freigegebenen Ordner und nur einen einzigen stellt ihr für diesen User auf Lesen und Schreiben.
Dann passiert genau das was Stege uns sagen will/wollte.

Im Detail, Testuser der DSM und die Filestation nutzen darf und nur Lesen/Schreiben auf einen einzigen freigegebenen Ordner hat meldet sich im DSM an, klickt auf die Filestation.
Er sieht korrekterweise nur seine einzige Freigabe, also den freigegebenen Ordner, das passt.
Jetzt öffnet er einen Unterordner und sieht die Datein darin, das ist ok, dazu ist er berechtigt.
Er markiert die Zeile dieser Datei, rechte Maustaste Eigenschaften > neues Fenster Eigenschaften > User sieht hier die Details seiner Datei.
Pfad, Änderungsdatum, und wer der Besitzer der Datei ist.
ABER schaltet er jetzt oben um auf das Register "Berechtigungen" > peng! Synology setzenn 5!

Er sieht, zwar hellgrau und für ihn inaktiv, aber er sieht es:
ALLE Usernamen, welche Berechtigungen sie erhalten haben und beim Klicken auf die Schaltfläche "Erweiterte Optionen" > Berechtigungsprüfung:
Die vollständige Auflistung der Berechtigungen bis ins Detail und was hier eben fatal ist, klickt er in diesem Bildschirm auf das kleine Dreieck bei Benutzer oder Gruppe: DANN sieht er ALLE User, deren Status, Emailadressen usw, zwar hellgrau aber er sieht es UND wenn er sich jetzt einen Usernamen aus der ihm zugänglichen Liste wählt, wird dieser in die Zeile "Benutzer oder Gruppe" eingetragen und drunter erscheint die komplette History der Attribute und Eigenschaften für den ausgewählten User!
Er kann zwar nicht verstellen oder ändern, aber er sieht alles.


Das sollte Synology schnell abstellen.

 

[Benares]

@Stege
Ja und, was stört dich? Dass man im "Berechtigung-Editor" auch andere Gruppen/Benutzer sieht?
@Kurt-oe1kyw, was meinst du?

 

[Stege]

@Stege
Ja und, was stört dich? Dass man im "Berechtigung-Editor" auch andere Gruppen/Benutzer sieht?

Ja Natürlich. Das ist nicht nur ein Angriffspunkt sondern schon die halbe Miete Alle Accounts auf einem Silber Tablet präsentiert und dann brauch man nur noch die Passwörter.
Szenario: Wenn ich eine Möglichkeit gebe mir Daten zukommen zu lassen über einen öffentlichen Account darf man trotzdem nicht alle Accounts auf meinem System sehen. Und dann kann ich noch nach hochrangigen Zielen suchen?
Zudem darf dann jeder die Mailadressen von allen Nutzern meiner Syn haben? Denke das ist höhst bedenklich weil ich dann genau weis welche Ziele ich als erstes angreifen muss/kann (Ob per Pishing,Wörterbuchattaken oder sonst was).

selbst wenn ich benutzerdefinierte Berechtigungen vergebe nur die 4 :

Selbst dann kann ich das noch

 

[Benares]

Das ist aber m.W. unter Windows lokal auch nicht anders - Und wozu hinterlegst du überhaupt Zusatzdaten wie Beschreibung und E-Mail pro User wenn das "geheim" sein soll?

 

[Kurt-oe1kyw]

Benares, ich schliesse mich Stege an, das darf so nicht sein. Das muss Synology dringend in Ordnung bringen, siehe mein Bild welches ich im Beitrag # 11 nachgereicht habe.
User der Admingruppe können das sehen/sollen das sehen.
Aber nicht ein Normaluser.

Die Email muss hinterlegt werden wenn man die Begrüssungsemail für die User senden will.
Bzw was noch viel schlimmer ist, du als Admin hinterlegst diese Infos nicht und der normale User loggt sich korrekt ein, klickt auf Optionen > Persönliches und kann dort ja selber die Beschreibung eintippen und seine Emailadresse hier nachträglich eintippen und rechts unten Speichern.
Dann hast du als Admin es nicht gemacht, aber der User selber und ich glaube nicht dass der erfreut sein wird, wenn er erfährt das seine Daten durch ein paar Mausklicks durch jeden anderen Normaluser sichtbar gemacht werden können.

Für mich gehört das Register "Berechtigungen" abgeschaltet für den Normaluser dann kann er nicht weiter schauen wo alle, tatsächlich ALLE Usernamen, Systemuser und Benutzergruppen für ihn zu sehen sind.
Meinetwegen soll er noch unter "Allgemein" die Eigenschaft der Datei sehen die er angeklickt hat, da sieht er den kompletten Ordnerpfad und den Besitzernamen der Datei. Also wer die Datei erstellt hat.

Im Augenblick bleibt nur dem User die Rechte auf die FileStation zu entziehen, dann kann er auch nichts mehr Anstellen
DSM Anmelden geht dann noch und jene Pakete die halt gestattet wurden, aber die FileStation steht ihm nicht zur Verfügung.

 

[Stege]

Ich habe im Moment nur die Erklärung weil das mit der Berechtigung für DSM zusammenhängt, ich denke wenn man ihm DSM entzieht wird es nicht mehr gehen.

Hier im 4 Bild ist aber DSM auch entzogen oder meinst Du noch woanders?

 

[Kurt-oe1kyw]

Ich meine in den Anwendungen im Bild 4.
Es reicht aber den Haken in der Zeile "FileStation" in die Spalte "Verweigern" zu setzen.
Dann kann der User DSM nutzen und im Hauptmenü jene Pakete die du ihm gestattet hast, aber er kann über die Hintertür Dateieigenschaften der Filestation nichts mehr Anstellen und User anschauen.
Der User hat dann keine Filestation auf seinem DSM Desktop, bzw. in seinem DSM > Hauptmenü
Am Beispielbild unten, kann der User nur die Audiostation und die Hilfe verwenden, alles andere gibt es nicht, auch keine Filestation:



Die Gruppenberechtigungen zählen hier nicht, weil das VERWEIGERN eine höhere Priorität hat als Zulassen.
Da der User die Filestation durch den Admin der DS auf "Verweigern" stehe hat, aber seine Gruppe es darf wird es ihm selbst trotzdem verweigert und Filestation ist nicht da für ihn. Weil eben Verweigern eine höhere Priorität als Zulassen hat.

 

[Benares]

Warum sollte Synology da etwas ändern, was Microsoft so vorsieht? SMB/Samba bildet ja schließlich Windows unter Linux nach.
Ein Admin legt Benutzer und Gruppen an und versieht sie wahlweise mit Meta-Daten, um sie leichter identifizieren zu können.
Auch ein "normaler" Benutzer sollte die Rechte auf "seine" eigenen Objekte selbst pflegen können und sieht ggf. dann auch die hinterlegten Meta-Daten, warum nicht? Was ist so schlimm daran? Wie würdet ihr das Problem lösen?

Edit:
... und selbst wenn man einem Benutzer die Rechte auf die Filestation verweigert, sieht er die Rechte auch über SMB im Explorer unter Eigenschaften, Sicherheit doch und kann sie ggf. ändern - bringt also nichts.

 

[sky63]

Alle Accounts auf einem Silber Tablet präsentiert und dann brauch man nur noch die Passwörter.

Naja, DAS ist ja bei anderen Systemen genauso gegeben. Bei den Linuxen reicht ein Blick in die passwd, auf ein AD kann ich auch lesend zugreifen und sehe andere Accounts.

Gruss,
sky

 

[Stege]

Ich meine in den Anwendungen im Bild 4.
Es reicht aber den Haken in der Zeile "FileStation" in die Spalte "Verweigern" zu setzen.
Dann kann der User DSM nutzen und im Hauptmenü jene Pakete die du ihm gestattet hast, aber er kann über die Hintertür Dateieigenschaften der Filestation nichts mehr Anstellen und User anschauen.
Der User hat dann keine Filestation auf seinem DSM Desktop, bzw. in seinem DSM > Hauptmenü

ist doch verweigert? oder meinst Du generell der Gruppe users DSM entziehen?