DS411j - FTP - benutzerfreigaben - wie kann ich das aufs interne netz einschränken?

[pointe]

hallo zusammen,

nachdem mir hier super beim einrichten des ftp geholfen wurde habe ich nun noch eine frage.

wenn ich nun über filezilla auf ftp zugreife, kann ich mich scheinbar mit jedem benutzeraccount auf den server einwählen. ich hatte erst gedacht, dass das nur für den benutzer "FTP-User" gehen würde - aber das klappt eben bei jedem - ist ja auch logisch.

ich habe nur etwas angst, dass jemand einfach mal für den nutzer "admin" das passwort rausfindet und mir die ganzen 8tb daten zerstört.

kann ich benutzer auch für den ftp zugang sperren?

lg
peter

 

[thedude]

Normale Benutzer kannst du im DSM für die diversen Dienste auch sperren. In dem Menü wird bei mir aber admin nicht gelistet. Was man wohl machen kann, ist admin generell die Rechte an Freigaben zu nehmen (so hab ich das, ich nutze admin nur für den DSM). Evtl. wirkt sich das auch auf FTP aus, das musste mal ausprobieren.

gruss
dude

 

[pointe]

ich bin wohl mit blindheit geschlagen "Normale Benutzer kannst du im DSM für die diversen Dienste auch sperren"

ich finde nicht, wo ich benutzer für ftp sperren kann - sicher bin ich nur zu blöde zum suchen ;-(

 

[thedude]

Also ich habe auf meiner produktions DS noch ein recht altes DSM (englisches 2.2) Da geht das unter "privileges"->"application setting". Im prinzip da wo man auch Usern die Download Station, Audio Station oder File Station erlaubt. Da gibts auch einen Haken "FTP". Allerdings ist in der Liste admin bei mir nicht gelistet. Evtl. kannst Du dir die Suche also auch sparen. Probier es eher mal im Menü der "gemeinsamen Ordner"...

cheers
dude

 

[pointe]

über gemeinsame ordner kann ich bei den privilegeinstellungen nur die zugriffe allgemein vergeben - aber ich finde nicht, wo man dort die ftp zugriffe der einzelnen benutzer einschränken kann.

 

[goetz]

Hallo,
unter Bedienfeld -> Anwendungsberechtigungen kannst Du den Usern die Rechte erteilen oder entziehen.

Gruß Götz

 

[pointe]

ich finde nur anwendungseinstellungen - bin ich zu blind?
https://picasaweb.google.com/lh/photo/a9LNXPDtT5ON3gJv3cJsTS942zce7CKUvH-l-sVBLnk?feat=directlink

 

[goetz]

Hallo,
Ja,
zwei Zeilen höher rechts, sichtbar sind nur Anwendungsber und ein halbes e.

Gruß Götz

 

[pointe]

super - gefunden - dort also einfach FTP ausschließen ;-)

danke!!!

nur ist dort nicht der "admin" aufgeführt - oder hat der eh keine FTP berechtigung?

 

[goetz]

Hallo,
admin ist nun mal Chefe, um den auszuschließen muß man /etc/ftpusers bearbeiten und admin hinzufügen.
ftpusers - list of users that may not log in via the FTP daemon

Gruß Götz

 

[pointe]

ich habe nur etwas angst, dass sich son blödes ftp hackprogramm als admin das kennwort hackt, und meine 8tb platt macht

 

[thedude]

Du solltest dir unabhängig davon 2 fragen stellen... Musst du wirklich von aussen (und dann auch noch per ftp!) auf diese Daten zugreifen und wenn die Daten so wichtig sind - warum existiert kein Backup?

Gruß
Dude

 

[pointe]

ich möchte die möglichkeit haben auf bestimmte bereiche von außen zugreifen zu können - und in einigen bereichen vielleicht auch schreibberechtigungen vergeben.
darum möchte ich nur die zugriffe möglichst so weit einschränken, dass es nicht mit einfachen mitteln möglich ist diese zu knacken.

und der admin ist dabei scheinbar eine echte lücke, da ich für ihn nicht jedes mal zwingend ein ewig langes kennwort eintippen möchte, wenn ich mich z.b. mit dsm auf den ds411j einklinken möchte.

wenn ich einfach nur bestimmten nutzern ein recht aufwändiges kennwort für den ftp zugang vergebe mionimiere ich die gefahrenquelle doch erheblich - oder sehe ich das falsch?

zum thema datensicherung - bei 8tb ist das nicht immer so einfach - außer ich kaufe mal eben noch einen ds411j - aber das ist mir leider etwas zu kostspielig.

lg
peter

 

[Trolli]

Zumindest das wichtige Zeug sollte man auf jeden Fall nochmal als Backup haben. Irgendwann erwischt es jeden mal mit dem Datenverlust.

Ich würde grundsätzlich gerade für den admin schon ein komplexes Passwort vergeben. Man macht sich sonst meiner Meinung nach zu viele Sicherheitslücken auf.

 

[pointe]

die wichtigen sachen habe ich natürlich auch extra gesichert oder auf einem extra server.

geschafft - mit putty.exe die ip vom ds411j eingegeben dann enter
im eingabefenster
root - enter
password - enter (eingabe wird nicht angezeigt)
vi /etc/ftpusers
da kommen dann alle user die nicht über ftp zugreifen dürfen.
an den rest erinnere ich mich leider nicht genau.

mir hatte mein bruder dabei geholfen - vielleicht hilft der link ja denen weiter die auch den admin und root vom ftp zugang abschneiden wollen.

http://www.discountnetz.com/faq/4-nas/20-ich-moechte-auf-meiner-linkstation-den-root-zugang-zum-proftpd-ftp-server-konfigurieren-immer-wenn-ich-mich-als-user-root-mit-passendem-passwort-bei-proftpd-anmelden-will-kommt-jedoch-eine-fehlermeldung-das-passwort-sei-falsch-wo-ist-das-problem-

 

[Trolli]

Ja, unter dem Link wird allerdings ein anderer NAS-Server behandelt. Auf den DiskStations läuft kein proftpd-Server. Die Datei ftpusers ist allerdings wohl bei den meisten FTP-Servern vorhanden und funktioniert auch auf die gleiche Weise.

 

[pointe]

vielleicht kann ja jemand mit mehr erfahrung die befehle ergänzen?
dann kann jeder das nachvollziehen der dem admin den ftp zugang sperren möchte.

 

[Trolli]

Deine Anleitung in Beitrag #15 ist eigentlich vollständig. Möglicherweise muss man abschliessend noch den FTP-Dienst neu starten, damit die Änderung wirksam wird:

/usr/syno/etc/rc.d/S99ftpd.sh restart

Bin mir aber nicht sicher, ob das überhaupt notwendig ist.

 

[pointe]

bisher ist bei meiner anleitung noch nicht der admin der liste hinzugefügt
aber mein bruderherz hat mir noch mal auf die sprünge geholfen:

mit putty.exe programm download und starten
die ip vom ds411j eingegeben dann enter
dann kommt ein dos eingabefenster
dort im eingabefenster
root - enter
password - enter (eingabe wird nicht angezeigt)
vi /etc/ftpusers -enter
da kommen dann alle user die nicht über ftp zugreifen dürfen.
ans ende der datei springen mit - shift G
dann o drücken (zeile anhängen)
dann nurnoch admin eingeben
dann mit esc aus dem einfügemodus raus gehen
dann :wq
dann fertig