Rechte für HyperBackup - wird immer als admin ausgeführt?

Status
Für weitere Antworten geschlossen.

doetsch84

Benutzer
Mitglied seit
21. Dez 2015
Beiträge
94
Punkte für Reaktionen
2
Punkte
14
Hallo Forum,

ich bin gerade dabei, ein HyperBackup meiner Daten auf der DS auf eine externe USB-Platte einzurichten. Und zwar als Datenbank mit Versionierung. Beim rumspielen kamen aber ein paar Fragen auf.

Z.b. ist mir noch nicht ganz klar, mit welchen Rechten ein HyperBackup Job angelegt werden kann bzw. mit welchen der ausgeführt wird.

Frage 1) Um ein HyperBackup anlegen zu können, muss derjenige User in der Gruppe der Administratoren sein, oder? Weil sonst kann ich nach einloggen in DSM HyperBackup gar nicht starten...

Habe also folgendes angelegt:
User "Backup", gehört zur Administratoren-Gruppe und hat Zugriff auf die externe USB-Platte, sonst auf gar keinen Ordner. Der soll nur Backup machen und sonst nicht verwendet werden.
User "Chef", gehört zur Administratoren-Gruppe, hat als normaler Admin Zugriff auf alles, aber NICHT auf die USB-Platte. Der macht normale Admin-Aufgaben.
User "admin", also der System Default Admin, der darf eh alles, wird aber möglichst nie benutzt.
Weitere User, die nicht zur Gruppe Admin gehören und auch keinen Zugriff auf die USB-Platte haben.

Jetzt mit dem User "Backup" ein HyperBackup angelegt mit Ziel USB-Platte und Backup gestartet.

Frage 2) Warum funktioniert das? Der hat bisher ja nicht mal Leserechte auf der Quelle des Backups...

Dann abgemeldet, und mit dem User "Chef" versucht, den selben HyperBackup-Job zu starten. Funktioniert auch.

Frage 3) Wie kann das denn sein? "Chef" habe ich ja extra die Schreibrechte auf der USB-Platte entzogen...

Wenn ich mir den Job in HyperBackup ansehe, steht da auch immer "Besitzer: admin"
HB.PNG

Frage 4) Stimmt es, dass egal wer den HyperBackup-Job anlegt und wer ihn ausführen will der Job IMMER mit admin Rechten ausgeführt wird? Kann man das irgendwie ändern?

Ziel wäre gewesen, einen User anzulegen, der zwar HyperBackup ausführt, sonst aber möglichst nie verwendet wird. Alle anderen User dürfen nicht auf die USB-Platte zugreifen.

Vielen Dank für eure Hilfe!
Grüße
Michael
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.662
Punkte für Reaktionen
1.559
Punkte
314
Hi!

Benutzer der Administratoren-Gruppe sind dafür zuständig den DSM zu verwalten, von daher ist dein Vorhaben mit mehreren Benutzern innerhalb dieser Gruppe zu arbeiten etwas sinnfrei, das jeder Administrator auch alles darf. Das Standard-Administrator-Konto "admin" wird, wie der Name schon sagt, standardmässig an vielen Stellen des DSM genutzt um administrative Aufgaben zu erledigen, so z.B. auch Hyper Backup Aufgaben. Ein deaktivieren des Standard-Administrator-Kontos "admin" halte ich daher ebenfalls für Sinnfrei, auch wenn Synology das in einem ihrer Tutorials beschreibt. Ein starkes Passwort ist hier das Zauberwort.

Auch macht es Sinn, das nur ein Administrator Zugriff auf Hyper Backup hat, weil nur ein Administrator eine für mich sinnvolle Datensicherung durchführen kann um z.B. Datei- und Gruppenrechte, Benutzer-Home Ordner sowie Anwendungsdaten etc. zu sichern.

Daher würde ich an deiner Stelle so vorgehen, das du über den Benutzer "admin" dein System verwaltest sowie entsprechenden Sicherungen mittels Hyper Backup durchführst. Alles andere erledigst du dann mit einem "normalen" Benutzerkonto aus der Gruppe "users". Mehr braucht es in meinen Augen nicht.

Weiterhin sollte ein externer Datenträger nur zum Zeitpunkt der Sicherung mit der DS verbunden sein, ansonsten sollte er räumlich getrennt an einem sicheren Ort aufbewahrt werden.

Tommes
 

doetsch84

Benutzer
Mitglied seit
21. Dez 2015
Beiträge
94
Punkte für Reaktionen
2
Punkte
14
Danke erst mal für die Antwort.

Eigentlich will ich dem "admin" ja auch keine Rechte entziehen. Meine Idee war ähnlich wie dein Vorschlag: Der System "admin" macht das Backup. Für Verwaltungsaufgaben wollte ich einen anderen Admin nehmen, der auf die USB-Platte gar nicht drauf darf. Das wäre sozusagen eine weitere Sicherheitsstufe gewesen, das der Admin, mit dem man sich immer wieder mal einloggt, nicht auf die USB-Platte darf.

Im Grunde funktioniert das sogar, mit dem zweiten Admin komm ich nicht auf die Platte drauf. Nur halt HyperBackup darf er trotzdem ausführen....

Und zu deinem letzten Punkt: Ja, geplant ist, das Backup auf die USB-Platte monatlich auszuführen, danach automatisch auswerfen zu lassen und anschließend per Zeitschaltuhr den Strom der USB-Platte zu kappen...
Nur das räumlich getrennt schenk ich mir in dem Fall (noch). Das komm dann vllt. später noch dazu, überlege eine zweite USB-Platte zu nehmen und die zwei Platten von Zeit zu Zeit auszutauschen. Das getrennte Backup ist dann zwar nicht mehr ganz aktuell, aber immerhinn... ;)

Grüße
Michael
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.662
Punkte für Reaktionen
1.559
Punkte
314
Eigentlich will ich dem "admin" ja auch keine Rechte entziehen.
Dem "admin" kannst du auch keine Rechte entziehen, du könntest diesen höchstens deaktivieren.

Meine Idee war ähnlich wie dein Vorschlag: Der System "admin" macht das Backup. Für Verwaltungsaufgaben wollte ich einen anderen Admin nehmen, der auf die USB-Platte gar nicht drauf darf.

Irgendwo hast du einen Denkfehler. Denn wenn ein Administrator einem anderen Administrator die Rechte für irgendwas entzieht, so kann sich derjenige die Rechte doch wieder selber zuweisen, da er ja selber ein Administrator ist. Daher macht es in meinen Augen keinen Sinn mit zwei oder mehr Administratorkonten zu arbeiten. Entweder ich bin Admin und hab somit Zugriff auf alles, oder halt nicht.

Das du die Backup-Festplatte nach der Sicherung auswirfst und per Zeitschaltung wieder ausschaltest ist schon mal ein Anfang. Denk aber bitte auch daran, das deine Backup-Festplatte durch einen Blitzeinschlag evtl. gleich mit gegrillt werden kann. Ebenso sagt ein potentieller Einbrecher bestimmt nicht nein zu der externen Festplatte. Aber gut... ist ja jedem selbst überlassen.

Tommes
 

doetsch84

Benutzer
Mitglied seit
21. Dez 2015
Beiträge
94
Punkte für Reaktionen
2
Punkte
14
Also aus DSM-Sicht geb ich dir recht: Wenn sich der zweite Admin einloggt, kann er sich auch alle fehlenden Rechte wieder holen, Rechte wegzunehmen macht also keinen Sinn.

Aber aus Windows-Sicht seh ich das ein wenig anders: Wenn sich ein Schadprogramm auf dem Win-PC einnistet, ist die Wahrscheinlichkeit recht groß, dass dieser Virus den zweiten Admin-Account samt Passwort ausspähen könnte, da dieser Admin ja doch immer mal wieder eingegeben/benutzt wird.
Sollte das aber passieren, so hat das Schadprogramm von Win aus immer noch keine Möglichkeit, auf die USB-Platte zu kommen. Wenn der Virus sich mit dem ausgespähten Passwort auch noch in DSM einloggen kann und sich rechte holen kann, dann ist die Schlacht natürlich verloren.

Das Ausspähen des System-admin PWs dagegen ist unwahrscheinlicher, da eben möglichst nie verwendet werden soll.

Ist sicher kein großer Gewinn an Sicherheit, aber in meinen Augen immerhin... schön wäre halt noch gewesen, wenn der zweite Admin auch das HyperBackup nicht ausführen kann.

Und zu Blitz und Diebstahl: Da würde dann ja der zweite Schritt mit den wechselnden Platten helfen... Klar, am besten wäre die Platte nach jedem Backup auszustecken und wegzuschließen, aber ich kenn mich, ohne automatisches Backup vergess ich es oder hab grad was "ganz dringendes" anderes zu tun... und dann hab ich gar kein Backup :eek: :D

Grüße
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.662
Punkte für Reaktionen
1.559
Punkte
314
Ach ich weiß nicht, irgendwie kommen wir zwei nicht auf einen Nenner was das angeht. Meine Ansichten und Überzeugungen weichen doch stark von deinen ab, aber ich möchte dir diese auch nicht aufzwingen. Wenn du der Überzeugung bist, das dein Weg gut und richtig ist, dann geh ihn. Ich würde aber wohl einen anderen gehen. Aber jeder so wie er mag.

Am Rande bemerkt... ich hab mal mit einer DS109 angefangen und seit je her arbeite ich stets als "admin". Selbst meine verbundenen Netzlaufwerke laufen über "admin". Sicherlich ist das nicht im Sinne des Erfinders und manch einer würde jetzt vielleicht die Hände über den Kopf zusammen schlagen, aber bisher hatte ich wohl Glück gehabt. Anderseits bedarf es auch keines Admin-Acounts um z.B. deine Daten ungewollt zu verschlüsseln, so wie es grade ja zum Volkssport geworden ist. Für mich ich wichtig ein Backup zu haben, nein... gleich mehrere Backups zu haben. Das ist für mich erstmal der heilige Gral. Alles andere ergibt sich dann aus dem, was man mit seiner DS so anstellt. Aber ich Quatsch schon wieder zu viel...

Tommes
 

doetsch84

Benutzer
Mitglied seit
21. Dez 2015
Beiträge
94
Punkte für Reaktionen
2
Punkte
14
Ja, irgendwie hast du recht, wir sind da wohl verschiedener Ansicht :) Aber wär ja auch blöd wenn alle das selbe denken würden, da gäb's ja gar keinen Grund mehr für ein Forum ;)

Und wie du sagst, ich will dir auch meine Meinung nicht aufdrücken, sag aber nochmal danke für die Antworten!

Grüße
 

naturpur

Benutzer
Mitglied seit
26. Jan 2009
Beiträge
46
Punkte für Reaktionen
4
Punkte
14
...Aber aus Windows-Sicht seh ich das ein wenig anders: Wenn sich ein Schadprogramm auf dem Win-PC einnistet, ist die Wahrscheinlichkeit recht groß, dass dieser Virus den zweiten Admin-Account samt Passwort ausspähen könnte, da dieser Admin ja doch immer mal wieder eingegeben/benutzt wird.
Sollte das aber passieren, so hat das Schadprogramm von Win aus immer noch keine Möglichkeit, auf die USB-Platte zu kommen. Wenn der Virus sich mit dem ausgespähten Passwort auch noch in DSM einloggen kann und sich rechte holen kann, dann ist die Schlacht natürlich verloren.

Das Ausspähen des System-admin PWs dagegen ist unwahrscheinlicher, da eben möglichst nie verwendet werden soll.

Ist sicher kein großer Gewinn an Sicherheit, aber in meinen Augen immerhin... schön wäre halt noch gewesen, wenn der zweite Admin auch das HyperBackup nicht ausführen kann....

Hi, ich bin auch gerade am einrichten und über das Problem gestolpert bzw. hatte dieses bisher in Kauf genommen.
Kurz mein Senf hierzu: Als "besitzer" steht in HyperBackup immer der, der den Job angelegt hat. Ich hab daher ein neuen Benutzer angelegt "backupadmin", der in der Gruppe admin ist, damit er HyperBackup ausführen kann. Der Nutzer hat schreibrechte, aber die Gruppe admin (und users) haben keine Schreibrechte, also nur lesen oder gar nichts. Den Job kann nun jeder starten, der in der admingruppe ist. Aber die andern Nutzer haben erstmal keine Schreibrechte und somit kann ein "automatisch" arbeitender Trojaner wie Ransomware nicht einfach auch das Backup angreifen, sondern ein Mensch müsste erstmal Hand anlegen, was ich für deutlich besser halte. Viele Schadprogramme arbeiten ja nur automatisch. Ich vermute, es lässt sich nicht vermeiden, dass die Admins sich wieder Schreibrechte geben können, aber Ändern von Backups ist erstmal zumindest nicht mehr direkt möglich.

Alternative hierzu wäre einfach: Job mit einem Admin anlegen und nur diesem die Schreibrechte aufs Backup geben. Selbst "du" als Admin arbeitest dann aber mit einem einfachen User ohne Adminrechte. Das sollte dem SMB-Zugriff ja reichen.

Ich finde allgemein ist das Thema nicht ganz gut ausgearbeitet bei Synology, wenn man dies auch in Geschäftsbereichen nutzt. Vielleicht hilft hier aber NFS-Berechtigungen einzusetzen bzw. die DS in AD einzubinden. .... das ist aber nichts für mich zuhaue :)
 

naturpur

Benutzer
Mitglied seit
26. Jan 2009
Beiträge
46
Punkte für Reaktionen
4
Punkte
14
Gibt es doch etwas mehr Schutz? Backup-Rechte verbessert einsetzen (HyperBackup)

...Aber aus Windows-Sicht seh ich das ein wenig anders: Wenn sich ein Schadprogramm auf dem Win-PC einnistet, ist die Wahrscheinlichkeit recht groß, dass dieser Virus den zweiten Admin-Account samt Passwort ausspähen könnte, da dieser Admin ja doch immer mal wieder eingegeben/benutzt wird.
Sollte das aber passieren, so hat das Schadprogramm von Win aus immer noch keine Möglichkeit, auf die USB-Platte zu kommen. Wenn der Virus sich mit dem ausgespähten Passwort auch noch in DSM einloggen kann und sich rechte holen kann, dann ist die Schlacht natürlich verloren.

Das Ausspähen des System-admin PWs dagegen ist unwahrscheinlicher, da eben möglichst nie verwendet werden soll.

Ist sicher kein großer Gewinn an Sicherheit, aber in meinen Augen immerhin... schön wäre halt noch gewesen, wenn der zweite Admin auch das HyperBackup nicht ausführen kann....

Hi, ich bin auch gerade am einrichten und über das Problem gestolpert bzw. hatte dieses bisher in Kauf genommen.
Kurz mein Senf hierzu: Als "besitzer" steht in HyperBackup immer der, der den Job angelegt hat. Ich hab daher ein neuen Benutzer angelegt "backupadmin", der in der Gruppe admin ist, damit er HyperBackup ausführen kann. Nur dieser Nutzer hat Schreibrechte auf den Backupordner, aber die Gruppe admin (und users) haben keine Schreibrechte, also nur lesen oder gar nichts.

Den Job kann nun jeder starten, der in der admingruppe ist im Nutzerkontext des backupadmins, also ohne selbst Schreibrechte auf den Ordner zu besitzen! Aber die andern Nutzer haben erstmal keine Schreibrechte und somit kann ein "automatisch" arbeitender Trojaner wie Ransomware nicht einfach auch das Backup angreifen, sondern ein Mensch müsste erstmal Hand anlegen, was ich für deutlich besser halte. Viele Schadprogramme arbeiten ja nur automatisch. Ich vermute, es lässt sich nicht vermeiden, dass die Admins sich wieder Schreibrechte geben können, aber Ändern von Backups ist erstmal zumindest nicht mehr direkt möglich.

Alternative hierzu wäre einfach: Job mit einem Admin anlegen und nur diesem die Schreibrechte aufs Backup geben. Selbst "du" als Admin arbeitest dann aber mit einem einfachen User ohne Adminrechte. Das sollte dem SMB-Zugriff ja reichen.

Ich finde allgemein ist das Thema nicht ganz gut ausgearbeitet bei Synology, wenn man dies auch in Geschäftsbereichen nutzt. Vielleicht hilft hier aber NFS-Berechtigungen einzusetzen bzw. die DS in AD einzubinden. .... das ist aber nichts für mich zuhaue :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat