DSM 4.0 und Admin FTP

[zeus1976]

Hallo Zusammen,

Aus Sicherheitsgründen möchte ich gerne den Admin vom FTP ausschliessen.

Beispiel:
Der Mitarbeiter X kann ohne weiteres mit seinem User den FTP Zugang benützten. Wenn man aber den Zugang mit dem Administrator benützen will, sollte es so eingestellt sein (auf dem NAS), dass es nicht möglich ist. Zurzeit sehe ich keine Möglichkeit über das Webinterface den Administrator vom FTP auszuschliessen.

Wie muss ich hier Vorgehen, damit der Administrator kein FTP Zugang hat? (Konsole?)

Vielen Dank für Eure Hilfe.

Gruss

 

[wolfda]

Ich denke mal nicht das das gehen wird. Irgendeiner muss ja "Admin" sein um alle Einstellungen vorzunehmen. Aber korrigiert mich wenn ich falsch liege...

 

[jan_gagel]

Hallo,

also ich persönlich finde es als große Sicherheitslücke, daß man den admin standardmäßig nicht vom FTP ausschließen kann. Deshalb hab ich mich auch mit diesem Thema beschäftigt, und mußte feststellen, daß man ihn mit wenig Handarbeit auf der Konsole sperren kann.

Hierzu gibt es eine Datei, in der man sämtliche Benutzer eintragen kann, die keinen Zugang via FTP erhalten sollen. Zwar kann man bei allen Usern (außer dem admin) dies auch in der Web-Oberfläche einstellen, aber gerade der admin geht nur über diese Datei:

/etc/ftpusers

Eine Zeile pro User, der sich nicht verbinden darf, reicht aus. Also einfach eine neue Zeile einfügen und dort "admin" reinschreiben.

Ciao Jan

 

[zeus1976]

Hallo,

also ich persönlich finde es als große Sicherheitslücke, daß man den admin standardmäßig nicht vom FTP ausschließen kann. Deshalb hab ich mich auch mit diesem Thema beschäftigt, und mußte feststellen, daß man ihn mit wenig Handarbeit auf der Konsole sperren kann.

Hierzu gibt es eine Datei, in der man sämtliche Benutzer eintragen kann, die keinen Zugang via FTP erhalten sollen. Zwar kann man bei allen Usern (außer dem admin) dies auch in der Web-Oberfläche einstellen, aber gerade der admin geht nur über diese Datei:

/etc/ftpusers

Eine Zeile pro User, der sich nicht verbinden darf, reicht aus. Also einfach eine neue Zeile einfügen und dort "admin" reinschreiben.

Ciao Jan

Super, hat einwandfrei funktioniert. Ich hoffe jetzt auch noch, dass bald eine Lösung für dieses Problem gibt:
http://www.synology-forum.de/showth...dmin-nur-im-LAN-m%F6glich&p=230579#post230579

Vielen Dank für Deine rasche Hilfe.

Gruss

Gruss

 

[jan_gagel]

ja, da hoffe ich auch inständig drauf. Vielleicht wird das soweit vertagt, bis IPV6 da ist, denn da kann man noch besser private von öffentlichen Adressen unterscheiden. Bzw. braucht man da öfter eine Firewall. Die letzten IPV4-Adressbereiche wurden ja schon Mitte oder Ende letzten Jahres verkauft / verteilt und demnach gibt es keine neuen Bereiche mehr. Außerdem soll dieses Jahr der Switch-to-Six-Day sein. Ich hab mir deshalb schonmal vorsorglich eine neue Fritzbox 7390 gekauft, um den alten und nicht IPV6-fähigen Router auszutauschen.
Für mich persönlich ist die Einlog-Möglichkeit für den Admin vom Internet aus schon sehr riskant. Deshalb hab ich weder Port 5000 noch 7000 von außen zugänglich gemacht. Obwohl dies wegen der Audio-Station manchmal recht praktisch sein könnte. Ich will da ja nicht gleich ein Scheunentor aufreißen, nur um etwas Musik zu hören. Deshalb verwende ich da immer meine VPN-Verbindung, auch wenn es anders einfacher wäre.

 

[zeus1976]

ja, da hoffe ich auch inständig drauf. Vielleicht wird das soweit vertagt, bis IPV6 da ist, denn da kann man noch besser private von öffentlichen Adressen unterscheiden. Bzw. braucht man da öfter eine Firewall. Die letzten IPV4-Adressbereiche wurden ja schon Mitte oder Ende letzten Jahres verkauft / verteilt und demnach gibt es keine neuen Bereiche mehr. Außerdem soll dieses Jahr der Switch-to-Six-Day sein. Ich hab mir deshalb schonmal vorsorglich eine neue Fritzbox 7390 gekauft, um den alten und nicht IPV6-fähigen Router auszutauschen.
Für mich persönlich ist die Einlog-Möglichkeit für den Admin vom Internet aus schon sehr riskant. Deshalb hab ich weder Port 5000 noch 7000 von außen zugänglich gemacht. Obwohl dies wegen der Audio-Station manchmal recht praktisch sein könnte. Ich will da ja nicht gleich ein Scheunentor aufreißen, nur um etwas Musik zu hören. Deshalb verwende ich da immer meine VPN-Verbindung, auch wenn es anders einfacher wäre.

Die Implementierung wär wirklich cool, aber zurzeit ist abwarten angesagt. Ich löse es zurzeit auch über VPN.

Gruss

 

[joku]

bis IPV6 da ist,
[...]
Ich hab mir deshalb schonmal vorsorglich eine neue Fritzbox 7390 gekauft,

Hallo, IPv6 ist da und warum benutzt Du es da nicht ? Gruß Jo

Internet / Zugangsdaten / IPv6

[V] Unterstützung für IPv6 aktiv
IPv6-Anbindung

o Immer ein Tunnelprotokoll für IPv6-Anbindung nutzen
o 6to4

 

[jan_gagel]

ehrlich gesagt? ich verwende IPv6 nicht, da es bisher immer nur zu Problemen geführt hat, laut Telekom-Mitarbeiter noch nicht zuverlässig läuft und auch noch nicht unterstützt wird. Dann hänge ich doch sehr an meinen IPv4-Adresen, die kann ich sogar im Schlaf den Geräten zuordnen. Und die Sicherheit über NAT liegt mir auch am Herzen. Da entscheide ich im Router, welcher Port auf welches Gerät weitergeleitet wird, standardmäßig ist die Sicherheit relativ hoch, da ja nix weitergeleitet wird. So kann ich entscheiden, daß meine DiskStation nur FTP und HTTP (Port 80) von außen bekommt, intern aber völlig offen ist. Bei IPv6 müßte ich da die Firewall der DS zwischenschalten. Für mich ist IPv4 mit NAT eine saubere Lösung, IPv6 total undurchsichtig... Oder muß man in Zukunft Routing-Tabellen auf Port-Ebene im Router pflegen, um eine ähnliche Funktion wie NAT zu bekommen?

Aber mal angenommen, die FB bekommt IPv6-Adresse, soll ja laut den Medien dann ein ganzes Subnetz bekommen, muß ich dann an den Clients auch IPv6 sprechen, um IPv6-Homepages angezeigt zu bekommen? Kann ich mit meinen lokalen Geräten noch IPv4 sprechen, geht also ein Dual-Stack-Mode? Ich hab hier den DNSmasq auf der DS und auf einem dd-wrt-Router laufen, der mir lokale und nicht lokale Adressen auflöst. Da müßte ich dann auch einiges umstellen, wo ich nicht genau weiß, wie ich das Ganze angehe.

Für mich bringt IPv6 (schon alleine wegen der Umstellung und dem Wegfall des für mich sicheren NAT) mehr Nachteile als Vorteile.

So, jetzt aber genug OT..

 

[joku]

welcher Port auf welches Gerät weitergeleitet wird,
[..]
geht also ein Dual-Stack-Mode?

Du solltes es mal einrichten, die Portweiterleitung solltest Du auch einrichten, es geht beides, also Dual-Stack-Mode.
Gruß Jo