Toggle sidebar

Photo Station Sicherheitsproblem mit "öffentlichen Ordnern"

Status
Für weitere Antworten geschlossen.
K

Kosmos

Benutzer
Mitglied seit
06. Mrz 2009
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich habe folgendes Problem mit der Photo-Station:
Um Bilderordner auch ohne Login zugänglich zu machen, kann man in den Einstellungen des Ordners die Funktion "Als öffentlich einstellen" auswählen.
Damit ist der Ordner für jeden sichtbar. Leider vergibt die Photo-Station damit nicht nur "Leserechte" sondern auch "Schreibrechte" auf diesen Ordner.
Damit ist jeder in der Lage Daten auf die Photo-Station zu laden.
Ich sehe das als ein erhebliches Sicherheitsrisiko, möchte aber auf öffentliche Ordner nicht verzichten.
Kennt jemand eine Möglichkeit die Rechte auf Leserechte zu beschränken?
Ich habe sowohl im Management der Photo-Station als auch im Syno-Management nichts gefunden. Im Forum habe ich auch keinen Eintrag hierzu gefunden. Ich freue mich über jeden Tipp zur Lösung.

Vielen Dank
 
itari

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Kosmos schrieb:
Leider vergibt die Photo-Station damit nicht nur "Leserechte" sondern auch "Schreibrechte" auf diesen Ordner.
Zum Vergrößern anklicken....

Mit welchem Programm könnten deiner Meinung nach diese Schreibrecht missbraucht werden? Mir wäre nicht bekannt, dass man mit der Photo-Station schreibend auf das Dateisystem zugreifen kann.

Itari
 
K

Kosmos

Benutzer
Mitglied seit
06. Mrz 2009
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Davon war ich auch ausgegangen. Zum Austausch von Urlaubsbildern habe ich für jemanden einen Benutzer angelegt, damit er die Bilder aus dem Home-Verzeichnis herunterladen und seine Bilder hochladen kann. Die hochgeladenen Bilder lagen jedoch nicht im Home-Verzeichnis sondern direkt im öffentlichen Ordner der Photo-Station, in der es keinen entsprechenden Benutzer gab. Da ich dem Benutzer keine Zugangsrechte für die Bilder gegeben habe, bin ich davon ausgegangen, dass der Zugang nur über die Photo-Station gegangen sein kann.
Ich habe mir nochmal die Verwaltung angesehen und bin zur Erkenntnis gekommen, der getrennten Benutzerverwaltung zwischen Photo-Station und Disk Station Manager aufgesessen zu sein.
In der Benutzerverwaltung der Photo-Station sind die Benutzer so eingetragen wie sie sich die Bildverzeichnis ansehen dürfen. Zum Hochladen von Bildern haben diese Benutzer auch einen Account im Disk Station Manager. Und hier liegt wohl die Ursache für mein Problem, da alle Accounts automatisch der System default group "users" zugeordnet werden. Die Gruppe "users" hat die Standardrechte RW für das Verzeichnis "photo" und vererbt diese damit an alle Benutzer. Somit haben alle Benutzer per FTP und File Station vollständigen Zugriff auf alle Verzeichnisse unter "photo", unabhängig von der Benutzerverwaltung in der Photo-Station.Während sich in der Photo-Station der Zugrif je Benutzer je Verzeichnis/Unterverzeichnis festlegen lässt, lässt sich in der Benutzerverwaltung des Disk Station Manager nur der Zugriff generell erlauben oder verbieten. Oder habe ich hier etwas übersehen?
 
jahlives

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Das Problem ist, dass die Photostation nicht unter deinem Benutzer läuft. Du meldest dich wohl als USER an, aber der eigentliche Prozess läuft dann unter nobody.
Somit haben alle Benutzer per FTP und File Station vollständigen Zugriff auf alle Verzeichnisse unter "photo", unabhängig von der Benutzerverwaltung in der Photo-Station.
Zum Vergrößern anklicken....
Das liegt daran, dass FTP und Filestation keine eigene Benutzerverwaltung haben, sondern diejenige des Systems benutzen. Erstell dir im DSM eine neue Gruppe und pack dort die User rein, die wirklich auf das Verzeichnis schreiben können sollen. Ändere dann die Gruppe beim fraglichen Verzeichnis und stell sicher, dass keine Schreibrechte für "den Rest der Welt" bestehen.
Code: 
chgrp -R WHAT_EVER /path/to/folder
chmod -R u+rwx,g+rwx,o-w /path/to/folder
So sollten nur noch User in das Verzeichnis schreiben die entweder Eigentümer des Verzeichnisses sind oder in die Gruppe WHAT_EVER gehören
 
itari

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Nur damit es korrekt ist:

1] Benutzerverwaltung von Linux: /etc/passwd usw.
2] Benutzerverwaltung von Samba: /usr/syno/etc/smb.conf
3] Benutzerverwaltung der Photo-Station/des Blogs: wird in einer Postgres Datenbank vorgenommen
4] Benutzerverwaltung des DS-Managers integriert 1] und 2] - enthält aber nicht komplett 1] sondern nur die Schnittmenge von 1] und 2]
5] Benutzerverwaltung von FTP: ist wie 4]
6] Benutzerverwaltung von NFS: ist wie 1]
7] Benutzerverwaltung der File-Station: ist wie 4] plus dem Rest von 1]

Itari
 
jahlives

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Zu 2)
Auch samba nutzt /etc/passwd resp die Benutzer dort drin. Denn erstell mal einen Samba Benutzer der nicht in /etc/passwd drin ist. Klappt ned.
 
itari

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
jahlives schrieb:
Zu 2)
Auch samba nutzt /etc/passwd resp die Benutzer dort drin. Denn erstell mal einen Samba Benutzer der nicht in /etc/passwd drin ist. Klappt ned.
Zum Vergrößern anklicken....

Und du hast recht, wenn du sagst, dass es ohne eine gültige Linux-UID nicht geht. Die eigentliche Rechte-Verwaltung (wer darf was) findet ausschließlich in der smb.conf statt.

Itari
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten
Zurück