Standard Berechtigungen verschärfen

[Joschie]

Moin,

für meine DS 723+ mit OS 7.2 will ich die Standard Linux Berechtigungen des Heim-Verzeichnisses optimieren in Sachen Sicherheit. Aktuell sieht es bei mir so aus:

drwx--x--x+ 1 root          root  106 Mar 11 21:01 .
drwxr-xr-x  1 root          root  562 Apr  2 07:01 ..
drwx--x--x+ 1 admin         users   0 Feb 19 17:31 admin
drwx--x--x+ 1 frau       users   8 Apr  2 12:19 frau
drwx--x--x+ 1 ADMINISTRATOR users  42 Apr  2 11:34 ADMINISTRATOR
drwxrwxrwx+ 1 root          root    8 Apr  2 07:01 @eaDir
drwx------  1 junge        users  54 Apr  2 10:38 junge
drwx--x--x+ 1 standard      users   0 Mar 11 21:01 standard
drwx------  1 muckie      users  36 Apr  2 11:21 muckie

Für <junge> und <muckie> habe ich die Berechtigungen schon angepasst. Könnte es da zukünftig zu Problemen kommen?

Als Backup nutze ich <Borg Backup> von den Clients zu meinem NAS und innerhalb des NAS nutze ich <Hyper Backup> mit Versionierung.

Ich würde gerne den Benutzer <standard> anpassen sowie auch die normalen Benutzer auf nur <u=rwx>.

Seht Ihr da Probleme?

Ich würde natürlich im Aufgabenplaner ein Skript erstellen, der dies regelmäßig prüft und korrigiert.

Danke und Grüße

 

[RichardB]

Ich würde gerne den Benutzer <standard> anpassen sowie auch die normalen Benutzer auf nur <u=rwx>.

Seht Ihr da Probleme?

Ohne jetzt den Code übersetzt zu haben, wenn Du planst, in den Rechten der Standardusergroup usw. herumzubasteln, sehe ich das Problem, dass Deine Syno irgendwann Dinge tun wird, die Du gar nicht willst und Dinge nicht tun wird, die Du gerne hättest.

 

[nas-central.de]

Könnte es da zukünftig zu Problemen kommen?

Einfache Antwort: JA

Der DSM arbeitet mit erweiterten ACL Berechtigungen. Wenn Du diese Berechtigungen weg nimmst, was Du getan hast, und das Ganze auf einfach Berechtigungen reduzierst, werden gewisse Dinge im DSM ggf. nicht mehr richtig oder gar nicht mehr funktionieren.

So lange man sich rein auf Shell Ebene bewegt und die Verzeichnisse nicht im DSM verwendet ist das ok.

 

[Benares]

@Joschie, junge und mucki hast du dir schon verhunzt. Lass die Finger von den Berechtigungen in homes.
Geh mit der Filestation nochmal auf homes (Rechts-Klick, Eigenschaften, Berechtigungen) und lass die Berechtigungen nochmal nach unten vererben, dann sollte es wieder passen.

 

[Joschie]

Dann muss ich halt schauen, dass per Aufgabenplaner die Ordner und Inhalte unter <.ssh/> angepasst werden.

 

[Benares]

???

 

[Joschie]

SSH ist da sehr ristritiv was seinen Arbeitsordner <.ssh/> und deren Inhalt angeht. Sind die Berechtigungen zu offen, dann sperrt SSH und man kann sich nicht verbinden.

 

[Benares]

ssh mach man wohl eher als root, und der ist ist eh nicht unter homes zu Hause.

 

[Jagnix]

Warum fällt mir jetzt der Film " ... denn sie wissen nicht was sie tun" ein.

 

[Syno-OS]

Standard Linux Progamme werten keine WIndows ACLs aus, und Änderungen mit Linux Programme entfernen die WIndows ACLs. Anders ausgedrüct. die Linux Programme interessieren die Windows Einstellungen einfach nicht.

DSM ( und die dazugehörigen Programme/Skripte) arbeiten / achten auf ACL. Du machst dir mit den Berechtigungsänderungen viele Probleme in DSM. (Mit synoacl kann man die WIndows ACL auf Konsole regeln)

Die übergeordneten User Home Berechtigungen sind schon sehr restriktiv und passen sicherheitstechnisch. Daher lass die Finger davon, wenn du nicht genau weißt warum du es machst.

 

[Joschie]

Vielen Dank. Da habt Ihr Recht. Die Berechtigungen sind durchaus ristriktiv unter Synology.