Ultimate Backup Ultimate Backup

Anthracite

Benutzer
Mitglied seit
24. Apr 2021
Beiträge
16
Punkte für Reaktionen
6
Punkte
3
Prüfen Sie, ob der Standard -admin- Account deaktiviert ist. Dieser muss auf der Quell- und Ziel-DiskStation aktiviert sein.
Hmm. Bei mir ist Admin sowohl auf dem Quell- als auch auf dem Zielsystem deaktiviert, und es funktioniert einwandfrei - ohne Änderung des Skriptes übrigens. Habe ich was falsch gemacht :p?

Auf dem Quellsystem läuft das Skript natürlich trotzdem als root, auch wenn dieser deaktiviert ist, da das Script vom cron gestartet wird.


Das Zielsystem ist ein Qnap, auf dem der Admin aber auch deaktiviert ist.

Die Verbindung erfolgt über einen ssh-Tunnel - aus Sicherheitsgründen, da das Gerät extern steht und der Tunnel über das Internet geht.

Der ssh login geschieht über ssh-Keys.

Der User auf dem Ziel-NAS ist nicht privilegiert (kein Admin, kein Mitglied der Gruppe Administrators).

Der User auf dem Ziel-NAS braucht in sudoers das Recht, rsync ohne Passworteingabe aufzurufen. (Dafür muss ein 'sudo' vor den rsync-Aufruf gequetscht werden, s. u.) Weitere Sonderrechte werden nicht benötigt.

Da es an dieser Stelle, wenn ich mich recht erinnere, nicht möglich war, die Passphrase des privaten ssh-Keys einzugeben, so hat der ssh-Key kein Passwort, und er wird ausschließlich für diese Verbindung benutzt.

Um die Sicherheit weiter zu erhöhen, werden in authorized_keys auf dem Ziel-NAS über ein Skript als Command die Shell-Befehle auf ausschließlich die von Ultimate Backup genutzten Kommandos eingeschränkt. (Das ist durchaus etwas Arbeit.)
In diesem Skript wird bei der Gelegenheit ein "sudo" vor den rsync-Aufruf gesetzt. (Das hätte ansonsten eine manuelle Änderung des von UB erzeugten Skriptes erfordert.)


Alles klar?
Wenn nicht, einfach fragen.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.655
Punkte für Reaktionen
1.549
Punkte
314
@framp
Die Nervensäge nennt sich Sicherheitsberater und man kann nach dem Scan entweder eine für sich unangebrachte Warnung durch überspringen außer Gefecht setzten oder man stellt im Sicherheitsberater unter Erweitert die Sicherheitsrichtlinie auf benutzerdefiniert und entfernt den Haken bei “Das Konto admin ist aktiviert“. Dieser Vorgang ist unter DSM6 sowie DSM7 identisch.

@peterhoffmann
Auch eine guter Tipp, wie man nervige Hinweise mundtot machen kann. (y) Ich bin mir grad auch nicht sicher, ob der o.a. Schalter im Sicherheitsberater ein anderer ist, als den, den du grade verlinkt hast.

@Anthracite
Da das alles schon etwas her ist und ich selber Ultimate Backup seit geraumer Zeit nicht mehr nutze, muss ich mich erst nochmal in das Thema einlesen, bevor ich da mehr zu sagen kann. Hier im Thread findet man an verschiedenen Stellen etwas zum Error 44 und dieser Fehler hängt eindeutig mit dem fehlen des admin Kontos zusammen. Da aber nie eindeutig klar war, warum der Fehler auftritt und der Error Code 44 auch nicht weiter dokumentiert ist, haben wir damals extra „Unbekannter Fehler" davor gesetzt.

Im übrigen kommt Basic Backup zwangsläufig ohne den Standard Benutzer admin aus. Lokal läuft dabei das rsync Script zwar weiterhin als root, auf Remote Servern reicht aber ein eingeschränkter SSH Benutzer mit den nötigen Schreibrechten.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: framp

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
der o.a. Schalter im Sicherheitsberater ein anderer ist, als den, den du grade verlinkt hast.
Heute tauchte die Meldung bei mir wieder auf. 😒😞

Die Datei:
Code:
/usr/syno/synoman/webman/modules/DisableAdminNotification/config
zeigt ein Änderungszeitpunkt von 8 Uhr, was ich nicht war. 🧐
Der gestern auf "false" geänderte Punkt "autoLaunch" stand wieder auf "true".

Im "Sicherheitsberater" vom DSM steht bei mir kein Haken bei "Das Konto Admin ist aktiviert".

Ich habe jetzt gerade keine Zeit dem genauer nachzugehen. Diese "Bevormundungspolitik" nervt mich aber einfach nur ab. Ich kaufe ein Produkt, will es nach meinen Regeln benutzen und bekomme nur Vorschriften wie ich es benutzen soll. 🤮

Ich habe die Variabel "autoLaunch" wieder auf "false" gesetzt. Beim Einloggen im DSM erscheint die Meldung nicht mehr. Mal sehen, ob morgen früh um 8 Uhr das System daran wieder was ändert. 🔨
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.645
Punkte für Reaktionen
34
Punkte
74
Ultimate Backup unter DSM 7 zu deinstallieren geht notfalls über die Konsole… das kann ich aus dem Stehgreif aber nicht erklären. Ist aber schon irgendwie komisch, das du das nicht über das Paketzentrum deinstalliert bekommst.
Gibt es dafür schon irgendwo ein "Anleitung" dazu?
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.655
Punkte für Reaktionen
1.549
Punkte
314
Theoretisch sollten nachfolgende Befehle, die man als root ausführen sollte, zum Erfolg führen, um Ultimate Backup aus dem DSM zu entfernen. Theoretisch deshalb, da du das natürlich auf deine eigene Kappe nimmst, sollte dabei etwas schief gehen. Praktisch habe ich das aber schon selbst so durchgeführt, wenn auch nicht bei Ultimate Backup… egal.

Bash:
/bin/rm -rf /usr/syno/etc/packages/SecureSignIn/preference/UltimateBackup
/bin/rm -rf /var/packages/UltimateBackup
/bin/rm -rf /volume1/@appconf/UltimateBackup
/bin/rm -rf /volume1/@appdata/UltimateBackup
/bin/rm -rf /volume1/@apphome/UltimateBackup
/bin/rm -rf /volume1/@appstore/UltimateBackup
/bin/rm -rf /volume1/@apptemp/UltimateBackup
/bin/rm -rf /volume1/@userpreference/UltimateBackup

Natürlich musst du noch darauf achten, auf welchem Volume du Ultimate Backup installiert hattest. Ggf. musst du den Pfad entsprechend anpassen. Man könnte durch eine Abfrage auch noch prüfen, ob der Ordner überhaupt vorhanden ist, also ungefähr so…

Bash:
if [ -d /usr/syno/etc/packages/SecureSignIn/preference/UltimateBackup ]; then
   /bin/rm -rf /usr/syno/etc/packages/SecureSignIn/preference/UltimateBackup
fi

… aber das bleibt ja jedem selbst überlassen.

Tommes
 
  • Like
Reaktionen: tschortsch

DS213+

Benutzer
Mitglied seit
27. Jun 2013
Beiträge
93
Punkte für Reaktionen
5
Punkte
8
Hat einer eine Idee, warum der entschlüsseln Button bei mir nicht angezeigt wird?

1708892679044.png
Per Konsole entschlüsseln nach der Hilfe geht wunderbar.

1708892776075.png

Das Script sichert prima und hängt den verschlüsselten Ordner wieder aus, wie es auch sein soll. Angezeigt wird aber das es ihn nicht trennt? Jemand eine Idee?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat