Homes und Home Ordner, jeder Benutzer sieht alles von anderen Benutzern

[losycuno]

Habe zum ersten Mal eine Synology DS216+ gekauft (gebraucht vom Bekannten) und mit 2x 2TB HDD im RAID1 bestückt und DSM 7.2.1 neu installiert.

Problem 1 (scheinbar gelöst):​

Nach Anlegen der Benutzer ist mir aufgefallen, dass jeder Benutzer auch die persönlichen Home Ordner aller anderen Benutzer und Administratoren sehen kann.

Befehl über SSH ergab folgendes:

sudo synoshare --list_acl homes
Ausgabe:
SYNOSHARE ACL Perm List: Name ............[homes] ACL RO List .....[] ACL RW List .....[User1,@administrators] ACL NA List .....[] ACL Custom List .[User2,#owner,#everyone]

Wie in einem anderen Beitrag empfohlen habe ich folgenden Befehl ausgeführt:
sudo synoshare --set_share_default_acl homes

Danach sieht es jetzt so aus und die User können andere Home Ordner nicht mehr sehen, nur noch eigene:
sudo synoshare --list_acl homes
SYNOSHARE ACL Perm List: Name ............[homes] ACL RO List .....[] ACL RW List .....[@administrators] ACL NA List .....[] ACL Custom List .[#owner,#everyone]

Das passt also jetzt.
Wünschenswert wäre es, wenn DSM selbst erkennt, das da was nicht stimmt und nachfragt ob die Berechtigungen so wirklich gewünscht sind oder doch lieber auf Standard-Einstellungen zurückgesetzt werden sollen.

Problem 2:​

Der Admin kann jedoch noch alle Inhalte von den Usern sehen. Gibt es eine Möglichkeit dass die persönlichen Daten wirklich nur der jeweilige User sieht? Zum Beispiel wenn die Tochter nicht möchte, dass der Vater (Admin) ihre vom Smartphone gesicherten Fotos einsehen kann und sich auch nicht nachträglich ohne deren Wissen die Lese-Rechte setzen kann.

Problem 3:​

Ist eine einfach Einbindung des Netzlaufwerks bei den Usern möglich (PC/Smartphone/Tablet)? Wie zum Beispiel auf Android, wenn man sich mit dem Google-Konto angemeldet hat, hat man Zugriff auf alle Google Dienste (Google Fotos, Google Drive, ...)

Zur Zeit muss ich auf dem Android Smartphone, wenn ich mein Bücher-Ordner öffnen möchte, die APP Synology DS File aufrufen, dort die IP Adresse vom DS216+, Benutzername sowie Passwort eingeben.

Auf dem Windows Rechner muss ich die Ordner-Freigabe auf jedem PC oder Notebook einbinden (Benutzername+Passwort eingeben), damit ich meinen Dateies unter \\DS216plus sehen kann.

Ist es möglich, dass wenn ich mich an einem neuen Windows Rechner mit meinem Windows-Benutzer anmelde, auch automatisch schon meine Dateien auf der Synology sichbar sind?

Überall jedes mal die IP oder SMB-Freigabe, Benutzer und Passwort eingeben ist etwas umständlich. Zuest muss man sich als User am Windows PC anmelden, dann nochmal als User an der Synology um seinen Ordner auf dem NAS zu sehen...

 

[Benie]

2. Nicht möglich. Der Admin hat immer über allem die Hand drauf

Ist eine einfach Einbindung des Netzlaufwerks bei den Usern möglich (PC/Smartphone/Tablet)?

Über Netzverkverbindungen mit der DS verbinden (keine Netzlaufwerke), Verknüfung im Schnellzugrif anlegen welche Ordner eingesehen können muß über die Rechtevergab gesteuert werden,

Android Smartphone, ............. APP Synology DS File aufrufen, dort die IP Adresse vom DS216+, Benutzername sowie Passwort eingeben.

Zugangsdaten können in der App gespeichert werden

Auf dem Windows Rechner muss ich die Ordner-Freigabe auf jedem PC oder Notebook einbinden

geht nicht anderst

an einem neuen Windows Rechner mit meinem Windows-Benutzer anmelde, auch automatisch schon meine Dateien auf der Synology sichbar sind?

Nein

dann nochmal als User an der Synology um seinen Ordner auf dem NAS zu sehen...

Zugangsdaten bei Eingabe der Daten für die der Verbindung , dauerhaft Speichern, anklicken.

 

[metalworker]

Warum hast du das so seltsam über SSH gelöst ?

Du hättest doch einfach im DSM die Rechte richtig anpassen müssen ?


Und grundlegend sieht ein Admin halt erstmal alles auf dem Server. Das liegt in der Natur der sache.
Wenn du es ordentlich einrichtest dann arbeitst du selbst auch nicht mit nem Admin Zugang .
Sondern nutzt dem nur im Ausnahmefall.

 

[ottosykora]

Beispiel wenn die Tochter nicht möchte, dass der Vater (Admin) ihre vom Smartphone gesicherten Fotos einsehen kann und sich auch nicht nachträglich ohne deren Wissen die Lese-Rechte setzen kann.

Ja, man kann auch dem admin die Rechte entziehen, dumm ist nur dass sich der Admin sich diese Rechte jederzeit wieder selber zuteilen kann

das ist aber so ziemlich bei jedem Computer so, es gibt jemand der etwas verwalten muss

 

[TheGardner]

Mann, das ewige Lied...

Kein Schwein begreift wie User-technisch wirklich einzurichten ist, weil alle nur noch mit Windows rummachen und Apple es auch nicht wirklich aufzeigt, damit es einer versteht! Es muss ja keiner mehr verstehen - soll ja auch alles automatisch laufen, ohne viel Fragen zu stellen....
...und dann kauft einer eine Synology (oder will mal Linux ausprobieren) und die Frage kommt, wieso gibt es eigentlich einen Ordner homes ???? Es reicht doch home als Ordner aus...

Problem 1 = Lösung ist, einen Admin-User anzulegen, der einen Namen hat, welcher von niemandem erraten werden könnte. Nicht Paul, nicht Martha, nicht admin - sondern e2plpo (<-- und jetzt nicht überlegen, was das bedeuten könnte, es bedeutet einfach NICHTS)
Dann noch User mit normalen Berechtigungen, wie Mudder, Vadder, Tochter, Sohn, Onkel, Tante, Oma, Opa anlegen und jeder sieht seinen eigenen Shais und wenn nötig dann noch Ordner wie /music oder /video (oder was weiß ich, wie die heißen sollen). Da alle die gleichen Rechte haben, sind unter Gott, alle gleich - d.h. die sind alle in der Gruppe user und man kann auch eine Gruppe familie einrichten, die halt Zugriff auf /music und /video bekommt und wenn dann noch Ordner nötig sind wie /pornos (für Vati) dann wird halt noch eine Gruppe porno gemacht, wo Vati extra Zugriff angehakt bekommt. Und will Mutti auch ma, dann kann man sie ja auch nachträglich noch dort hin-zu-fü...äh haken.

Ferddsch!

Problem 2 = Lösung ist, der Admin muss Schiedsrichter bleiben, wenn die Tochter rumschreit, dass der Sohn ihre Nacktbilder mit ihren Login Daten aus ihren Ordnern rausgeklaut hat und will sie die wieder haben, ehe Sohn die in seiner Freundesgruppe breit tratscht... Dann muss Papi administrativ schimpfm und dem Sohn die Bilder wieder aus den Rippen leiern und nach Tochter verschieben. Das kann er nur mit administrativen Gott-gleichen Berechtigungen, wenn er halt die Zugangsdaten von e2plpo weiß.

Problem 3 = Lösung ist, dass Du das tatsächlich nur so machen kannst, wie Du beschrieben hast. D.h. auf Mobiltelefon bleiben nur die DS Apps, die das Ganze auf ein erträgliches Niveau bringen, auch wenn Du das ganz und gar nicht gut findest.
Beim PC ists einfacher, da musst Du immer nur EIN Mal das Netzlaufwerk ( \\192.168.XXX.XXX\video ) anlegen und mit entsprechenden Haken und Zugangsdaten versehen ist das dann immer da (nach jedem Neustart). Sinds es mehrere Ordner, müssen mehrere Netzlaufwerke angelegt werden (für jeden freigegebenen Ordner - jeweils ein Laufwerk V für Videos, M für Musik, H für homes usw....)

SMB Freigaben haben eigentlich die Angewohnheit, dass man sie nur einmal richtig einstellen/anlegen muss, damit sie fortan dann für immer automatisch da sein können. Das sollte auch bei Dir so sein.

Bei Tablets bin ich etwas überfragt - aber es gilt die Devise, ist es Android, dann geht es immer so, wie auf dem Mobiltelefon. Läuft Windows auf dem Tablet, dann so, wie beim PC/Laptop.

 

[Kachelkaiser]

Toller Beitrag @TheGardner.

Für das Thema Mobil gibt es auch diverse Apps, die einen SMB einbinden können, damit entfällt auch der ständige Login.

Ich selbst benutze Dateimanager+

https://play.google.com/store/apps/details?id=com.alphainventor.filemanager

 

[Rotbart]

Wenn du DSM neu installiert hast sollte eigentlich m.W.n Problem 1 gar nicht existieren.

 

[ottosykora]

habe mich auch gefragt wie das Problem 1 eigentlich zu Stande kam

Ev die DS gekauft, mit vermurkstem DSM und möglicherweise Daten vorheriger User oder so was?

Bei wem wäre dann der Fehler zu suchen?

 

[Tommes]

Hi!

Ergänzend zu deinen Ausführungen @TheGardner würde ich noch ein paar, nicht ganz so emotionsgeladene Dinge hinzuzufügen, wenn du erlaubst...

Du hast schon recht mit deiner Aussage, das Windows (für MacOS kann ich leider nicht sprechen) sich von Linux ruhig eine Schreibe abschneiden könnte, was die Benutzerverwaltung angeht. Aber ehrlich gesagt macht es Synology nicht wirklich besser, da der Benutzer-Home-Dienst zunächst überhaupt nicht aktiv ist, egal wie viele Benutzer du im DSM anlegst. Zudem verweist bei Synology ein symbolischer Link von /var/services/homes auf /volume[x]/homes, was auch niemand versteht. Mir erschließt sich das jedenfalls nicht. Linux arbeitet meines Wissens nicht mit /homes UND /home, sondern nur mit /home. Zu allem Überfluss werden durch den DSM selber, nicht immer, aber immer wieder mal, die Rechte des Ordners /homes bzw. der Benutzer-Home-Ordner falsch gesetzt, was zur Folge hat, das der Zugriff auf den ~/.ssh Ordner eines Benutzers nicht erfolgen kann, um darüber eine public key Verbindung per SSH herzustellen.

Außerdem erfindet Synology für alles und jedes das Rad neu, indem sie ständig eigene Befehle wie synouser, synogroup, synoshare usw. raus hauen und sorgen damit nur für noch mehr Verwirrung. Solange die Befehle gut dokumentiert sind, wie die grade erwähnten, könnte ich noch davon absehen, die meisten Befehle sind jedoch so gut wie undokumentiert... und das für Dinge, die Linux von Haus aus mit an Bord hat. Egal...

Ich halte von der ganzen Benutzerverwaltung, so wie Synology das praktiziert, nicht wirklich viel. Zumindest nicht in Verbindung mit persönlichen Daten unterschiedlicher Benutzer. So was kann man nur guten Gewissens machen, wenn es sich dabei um keine vertraulichen Daten handelt. Ansonsten gehört so was verschlüsselt. Aus diesem Grunde habe ich auf meiner DS den Benutzer-Home-Dienst gar nicht erst aktiviert und arbeite stattdessen nur mit freigegebenen Ordnern und entscheide darüber, welcher Benutzer was sehen darf und was nicht. Und selbst wenn es z.B. meinem Sohn mal gelingen sollte, unsere Steuerunterlagen zu sichten, wäre das für mich absolut nicht schlimm. Löschen wäre natürlich schlecht, aber dagegen kann man ja was tun... im Zweifel ein zeitnahes Backup!

Alternativ bliebe nur, das man auf der DS ein einziges Administratorkonto erstellt und das Passwort in mindestens zwei Teile aufteilt, wovon z.B. der erste Teil beim Admin des Systems bleibt, der zweite Teil bei einem Familienmitglied. So bleibt zumindest das Vier-Augen-Prinzip gewahrt, da für die Password-Abfrage immer beide Teile benötigt werden. Aber wenn man schon so große Geheimnisse in der Familie hat, dann sollte man seinen persönlichen Krempel lieber irgendwo anders hin speichern oder bestenfalls verschlüsselt auf der DS ablegen.

Ach ja... Zugriff per SMB ist natürlich nur im lokalen Netzwerk oder per VPN möglich, ansonsten würde sich z.B. WebDAV anbieten.

Tommes

 

[NSFH]

Solange ich Synos nutze ist es noch NIE passiert, dass die Home Ordner anderen als dem Besitzer und dem Admin zugänglich waren.
Das passiert ausnahmslos nur dann, wenn man unbedarft an den Rechten der Ordner herum pfuscht!

 

[Tommes]

Ich muss mich bezüglich dieses Punktes korrigieren...

Zu allem Überfluss werden durch den DSM selber, nicht immer, aber immer wieder mal, die Rechte des Ordners /homes bzw. der Benutzer-Home-Ordner falsch gesetzt, was zur Folge hat, das der Zugriff auf den ~/.ssh Ordner eines Benutzers nicht erfolgen kann, um darüber eine public key Verbindung per SSH herzustellen.

Das ist so natürlich nicht richtig und nehme deshalb diese haltlose Unterstellung zurück. Ich habe mich hier durch ein Problem irritieren lassen, welches damals im Basic Backup Thread im Zusammenhang mit SSH aufgepoppt ist. Vermutlich sind die Rechteprobleme erst im Nachhinein entstanden, jedoch lässt sich das nicht mehr nachverfolgen.

Tommes

 

[Thonav]

Das Problem besteht aus meiner Sicht aus der doch mangelnden Information zum Thema "home Ordner" seitens Synology.
Die User sehen in den Berechtigungen den Ordner homes und aktivieren den für den normalen User, wie sie ja auch andere gemeinsame Ordner nutzen wollen. Das der Ordner home auch ohne irgendeinen Haken für den User aktiviert und nutzbar ist, wird nirgends erwähnt.
Ich habe daher absolutes Verständnis dafür, dass dieses Problem in regelmäßigen Abständen immer wieder neu angesprochen wird.

 

[losycuno]

Vielen Dank für die vielen Antworten.

Das Problem besteht tatsächlich für Einsteiger wie mich darin, dass man bei der Neuinstallation keine Berechtigungen ändern soll bei den Home und Homes Ordner.

Es klappt auch nicht so richtig, wenn man im Home oder Homes Ordner einen Unterordner wie zum Beispiel Ebooks hat und auf diesen Unterordner manchen Usern nur lesenden Zugriff geben will.

Besser ist es in DSM -> Systemsteuerung -> Freigegebener Ordner zusätzlich zu "Homes" einen weiteren freigegebenen Ordner Ebooks zu erstellen und dann unter DSM -> Systemsteuerung -> Freigegebener Ordner auf diesen neuen Ordner klicken unter weiter unter Bearbeiten -> Berechtigungen die Zugriffrechte auf "Schreibgeschützt" für den jeweiligen Benutzer oder gar ganze Gruppe zu setzen, damit die die Ebooks nicht versehentlich löschen oder verschieben können.

Dann klappt es sofort, dass einige User nur lesend auf den Ordner zugreifen können.

Nur bei bei den Home und Homes Ordner ist so ein Durcheinander, dass es nicht so funktioniert wie gewünscht. Als Anfänger denkt man, man soll nur in dem Home Ordner weitere Unterordner erstellen - aber da funktioniert das mit den Berechtigungen nicht so einfach, wie einen neuen Ordner ausserhalb von Home bzw. Homes zu erstellen...

 

[NSFH]

Sorry, aber was du da schreibst ist haltlos, hast es einfach verkackt, da Synology genau erklärt, wie Home-Ordner funktionieren und rät ausdrücklich davon ab hier Änderungen durchzuführen.
Wieder mal ganz klar: Wer lesen kann ist klar im Vorteil!
https://kb.synology.com/de-de/DSM/tutorial/default_permissions_of_homes

 

[Tommes]

Naja, Ordner auf die mehrere Benutzer mit teils unterschiedlichen Berechtigungen zugreifen können oder nicht, heißen nicht umsonst gemeinsame Ordner. Wohingegen der persönliche Ordner /home einzig und allein für den jeweiligen Benutzer vorgesehen ist und für niemanden sonst (auch wenn ein Admin die Möglichkeit hat, alle Benutzer unter /homes einzusehen und zu verwalten)

 

[synfor]

Nur bei bei den Home und Homes Ordner ist so ein Durcheinander, dass es nicht so funktioniert wie gewünscht.

Wenn man nicht dran herumfummelt, gibt es dort kein durcheinander. Das sind private Ordner, in denen andere nichts zu suchen haben.

 

[Tommes]

Das ist ja lustig …ich hab zugegebenermaßen das von @NSFH verlinkte Dokument, bisher auch noch nie wirklich durchgelesen *räusper*

• Administratoren können sich möglicherweise nicht über SSH mit RSA-Schlüsseln anmelden.

Damit schließt sich für mich der Kreis.

 

[TheGardner]

Vielen Dank für die vielen Antworten.

Das Problem besteht tatsächlich für Einsteiger wie mich darin, dass man bei der Neuinstallation keine Berechtigungen ändern soll bei den Home und Homes Ordner.

Es klappt auch nicht so richtig, wenn man im Home oder Homes Ordner einen Unterordner wie zum Beispiel Ebooks hat und auf diesen Unterordner manchen Usern nur lesenden Zugriff geben will.

Nur bei bei den Home und Homes Ordner ist so ein Durcheinander, dass es nicht so funktioniert wie gewünscht. Als Anfänger denkt man, man soll nur in dem Home Ordner weitere Unterordner erstellen - aber da funktioniert das mit den Berechtigungen nicht so einfach, wie einen neuen Ordner ausserhalb von Home bzw. Homes zu erstellen...

Du hättest die Ordner home und homes nicht angreifen dürfen. Alles was Du machen willst/wolltest, geht NUR indem Du z.B. den Ordner eBook oberhalb erstellst (also so wie /music /video oder was auch immer). Da hättest Du dann mittels einer neuen Gruppe ebooks dann User dort teilnehmen lassen können. Fertig wäre die Laube!