Gruppe User alle Rechte entzogen

the0bone · 01. Nov 2016

HILFE!

Ich hatte grad einen neuen User angelegt und mich gewundert, warum der (obwohl in keiner Gruppe) einige Rechte hatte, die ich nicht wollte.

Also hatte ich der Gruppe "User" mal eben alles verboten. Also so App technisch.

Bäng! Selbst mein Admin kann jetzt nichts mehr. Zum Beispiel sich beim DSM einloggen.

Was kann ich machen?

Vielen Dank!

rednag · 01. Nov 2016

Da hilft wohl nur der kleine Reset. Eventuell kann man es per SSH wieder hinbiegen, daß weiß ich aber nicht.

the0bone · 01. Nov 2016

Habs hinbekommen - aber der Schock sitzt dabei erst einmal tief.

Der normale Admin User ist bei mir deaktiviert, damit nicht schon mal wer auf die Idee kommt, er könnte den Nutzernamen wissen.
Aber über den Hardware reset, wird der wieder zum Leben erweckt und mit dem konnte ich nun die Gruppe wieder ändern und so meinen "normalen" Admin User wiederbeleben.

Radler · 01. Nov 2016

http://www.synology-forum.de/showth...ausgeschlossen&p=663386&viewfull=1#post663386

Frogman · 01. Nov 2016

the0bone schrieb:
Der normale Admin User ist bei mir deaktiviert, damit nicht schon mal wer auf die Idee kommt, er könnte den Nutzernamen wissen.

Das ist Augenwischerei. Gib dem admin ein starkes Passwort, das allein zählt.

Und nebenbei gesagt: ein neuer User ist automatisch - wie alle anderen auch, einschließlich Administratoren - immer Mitglied der Gruppe 'users', denn Linux läßt einen Nutzer ohne Gruppenzugehörigkeit nicht zu. Diese Gruppe sollte man tunlichst nicht antasten, ebenfalls die Rechte. Besser ist es, Rechte an Ordnern usw. immer über weitere Gruppenzugehörigkeiten bzw. in Einzelfällen auch explizite Nutzerrechte regeln.

heavy · 02. Nov 2016

Vor allem da es ein paar Punkte in der DS gibt die nur der "echte" User admin machen kann. Ebenso braucht man ihn für den SSH Zugriff. (zwei faktor Auth probleme als Hinweis)

the0bone · 02. Nov 2016

heavy schrieb:
Vor allem da es ein paar Punkte in der DS gibt die nur der "echte" User admin machen kann. Ebenso braucht man ihn für den SSH Zugriff. (zwei faktor Auth probleme als Hinweis)

Was aber komisch ist/ wäre.
Weil ich habe vorgestern eine neue DS216j eingerichtet. Der System Admin ist da von vorne rein deaktiviert. Es gibt den Account aber bei der Ersteinrichtung von DSM wird nach einem Admin gefragt.
Der User "Admin" ist wie gesagt deaktiviert.

Und das war bei einem der Bugs (ich glaube es war ein SSH Bug) in den letzten Jahren auch Synos rat. Den default Admin zu deaktivieren.

dil88 · 02. Nov 2016

Ich habe auch schon davon gelesen, dass Synology diesen Rat gibt, ich würde mich aber dem von heavy und anderen anschließen.

Frogman · 02. Nov 2016

the0bone schrieb:
...Der System Admin ist da von vorne rein deaktiviert. Es gibt den Account aber bei der Ersteinrichtung von DSM wird nach einem Admin gefragt.Der User "Admin" ist wie gesagt deaktiviert..

Tja, Synology schießt bisweilen drollige Böcke... auch gut an den ungemein fundierten und hilfreichen Meldungen des Security Advisors zu erkennen

rednag · 02. Nov 2016

Ich gehe da aber etwas konform mit dem TE. Warum soll ich den altbekannten "admin" verwenden den jeder kennt? Abgesehen zur Wartung einiger Pakete. Dann kan man den "admin" auch kurzzeitig aktivieren. So aber muß neben PW auch der User erraten werden, und das ist in meinen Augen eine zusätzliche Hürde. Vielleicht oberflächlich betrachtet, aber ich glaube zumindest daran

Puppetmaster · 02. Nov 2016

rednag schrieb:
So aber muß neben PW auch der User erraten werden, und das ist in meinen Augen eine zusätzliche Hürde. Vielleicht oberflächlich betrachtet, aber ich glaube zumindest daran

Machst du einfach das Passwort länger, meinetewegen um den Namen des neu zu ersinnenden admins, dann hift es dir "entsprechend weniger", den Namen 'admin' schon zu kennen.

Frogman · 02. Nov 2016

Mmh, mit dem 'glauben' ist das immer so eine Sache... Das mündet oft genug in gefühlter Sicherheit. Und Du glaubst gar nicht, wie schnell man Usernamen herausfinden kann... dazu nochmal das Stichwort cross device - Tracking.

rednag · 02. Nov 2016

Natürlich kann man auch den veränderten User (admin" erraten, aber es wäre eine zusätzliche Hürde. Den "admin" kennt jeder. Mit diesem User wird immer wieder versucht Zugriff zu bekommen. Warum also sollte der nichtexistierende User nicht bereits beim Login abgewiesen werden?

heavy · 02. Nov 2016

Also wenn die Syno Stephan heißt und der "neue" Admin dann auch Stephan heißt und dazu noch nichtmal ein Passwort besitzt nützt alles nicht. Was Synology rät oder macht ist manchmal extrem weit weg von alle rationalem. Siehe die deaktivierung des admin accounts wenn er kein passwort hatte, auch wenn es der einzige account auf der DS war. Eventuell gibt es weniger dinge die unter dsm6 nicht nur mit dem "admin" gehen. Unter 5 sind es definitiv der SSH zugang, die Photostation, Mailstation, bestimmte einstellungen im DSM. Bei den "Profi" Nas wird man immer noch bei der installation aufgefordert den user admin mit einem sicheren Passwort anzulegen.

rednag · 02. Nov 2016

heavy schrieb:
Also wenn die Syno Stephan heißt und der "neue" Admin dann auch Stephan heißt und dazu noch nichtmal ein Passwort besitzt nützt alles nicht.

da gebe ich Dir natürlich Recht.

Suche

Gruppe User alle Rechte entzogen

the0bone

Benutzer

rednag

Benutzer

the0bone

Benutzer

Radler

Benutzer

Frogman

Benutzer

heavy

Benutzer

the0bone

Benutzer

dil88

Benutzer

Frogman

Benutzer

rednag

Benutzer

Puppetmaster

Benutzer

Frogman

Benutzer

rednag

Benutzer

heavy

Benutzer

rednag

Benutzer

Kaffeautomat