Ultimate Backup Ultimate Backup

[Anthracite]

Prüfen Sie, ob der Standard -admin- Account deaktiviert ist. Dieser muss auf der Quell- und Ziel-DiskStation aktiviert sein.

Hmm. Bei mir ist Admin sowohl auf dem Quell- als auch auf dem Zielsystem deaktiviert, und es funktioniert einwandfrei - ohne Änderung des Skriptes übrigens. Habe ich was falsch gemacht ?

Auf dem Quellsystem läuft das Skript natürlich trotzdem als root, auch wenn dieser deaktiviert ist, da das Script vom cron gestartet wird.


Das Zielsystem ist ein Qnap, auf dem der Admin aber auch deaktiviert ist.

Die Verbindung erfolgt über einen ssh-Tunnel - aus Sicherheitsgründen, da das Gerät extern steht und der Tunnel über das Internet geht.

Der ssh login geschieht über ssh-Keys.

Der User auf dem Ziel-NAS ist nicht privilegiert (kein Admin, kein Mitglied der Gruppe Administrators).

Der User auf dem Ziel-NAS braucht in sudoers das Recht, rsync ohne Passworteingabe aufzurufen. (Dafür muss ein 'sudo' vor den rsync-Aufruf gequetscht werden, s. u.) Weitere Sonderrechte werden nicht benötigt.

Da es an dieser Stelle, wenn ich mich recht erinnere, nicht möglich war, die Passphrase des privaten ssh-Keys einzugeben, so hat der ssh-Key kein Passwort, und er wird ausschließlich für diese Verbindung benutzt.

Um die Sicherheit weiter zu erhöhen, werden in authorized_keys auf dem Ziel-NAS über ein Skript als Command die Shell-Befehle auf ausschließlich die von Ultimate Backup genutzten Kommandos eingeschränkt. (Das ist durchaus etwas Arbeit.)
In diesem Skript wird bei der Gelegenheit ein "sudo" vor den rsync-Aufruf gesetzt. (Das hätte ansonsten eine manuelle Änderung des von UB erzeugten Skriptes erfordert.)


Alles klar?
Wenn nicht, einfach fragen.

 

[peterhoffmann]

Sofern ich mich erinnere kann man dieses Nerven abstellen.

Ich nehme an, dass ihr die Meldung beim Einloggen unter DSM6 meint?
Falls ja => https://www.synology-forum.de/threads/dsm-6-2-4-25554-ist-da.113126/page-2#post-925079
Ist beim letzten Update von DSM6 auch wieder auf "true" gesetzt worden. Das habe ich dann wieder ändern dürfen und seitdem ist (wieder) Ruhe.

 

[Tommes]

@framp
Die Nervensäge nennt sich Sicherheitsberater und man kann nach dem Scan entweder eine für sich unangebrachte Warnung durch überspringen außer Gefecht setzten oder man stellt im Sicherheitsberater unter Erweitert die Sicherheitsrichtlinie auf benutzerdefiniert und entfernt den Haken bei “Das Konto admin ist aktiviert“. Dieser Vorgang ist unter DSM6 sowie DSM7 identisch.

@peterhoffmann
Auch eine guter Tipp, wie man nervige Hinweise mundtot machen kann. Ich bin mir grad auch nicht sicher, ob der o.a. Schalter im Sicherheitsberater ein anderer ist, als den, den du grade verlinkt hast.

@Anthracite
Da das alles schon etwas her ist und ich selber Ultimate Backup seit geraumer Zeit nicht mehr nutze, muss ich mich erst nochmal in das Thema einlesen, bevor ich da mehr zu sagen kann. Hier im Thread findet man an verschiedenen Stellen etwas zum Error 44 und dieser Fehler hängt eindeutig mit dem fehlen des admin Kontos zusammen. Da aber nie eindeutig klar war, warum der Fehler auftritt und der Error Code 44 auch nicht weiter dokumentiert ist, haben wir damals extra „Unbekannter Fehler" davor gesetzt.

Im übrigen kommt Basic Backup zwangsläufig ohne den Standard Benutzer admin aus. Lokal läuft dabei das rsync Script zwar weiterhin als root, auf Remote Servern reicht aber ein eingeschränkter SSH Benutzer mit den nötigen Schreibrechten.

 

[peterhoffmann]

der o.a. Schalter im Sicherheitsberater ein anderer ist, als den, den du grade verlinkt hast.

Heute tauchte die Meldung bei mir wieder auf.

Die Datei:

/usr/syno/synoman/webman/modules/DisableAdminNotification/config

zeigt ein Änderungszeitpunkt von 8 Uhr, was ich nicht war.
Der gestern auf "false" geänderte Punkt "autoLaunch" stand wieder auf "true".

Im "Sicherheitsberater" vom DSM steht bei mir kein Haken bei "Das Konto Admin ist aktiviert".

Ich habe jetzt gerade keine Zeit dem genauer nachzugehen. Diese "Bevormundungspolitik" nervt mich aber einfach nur ab. Ich kaufe ein Produkt, will es nach meinen Regeln benutzen und bekomme nur Vorschriften wie ich es benutzen soll.

Ich habe die Variabel "autoLaunch" wieder auf "false" gesetzt. Beim Einloggen im DSM erscheint die Meldung nicht mehr. Mal sehen, ob morgen früh um 8 Uhr das System daran wieder was ändert.

 

[tschortsch]

Ultimate Backup unter DSM 7 zu deinstallieren geht notfalls über die Konsole… das kann ich aus dem Stehgreif aber nicht erklären. Ist aber schon irgendwie komisch, das du das nicht über das Paketzentrum deinstalliert bekommst.

Gibt es dafür schon irgendwo ein "Anleitung" dazu?

 

[Tommes]

Theoretisch sollten nachfolgende Befehle, die man als root ausführen sollte, zum Erfolg führen, um Ultimate Backup aus dem DSM zu entfernen. Theoretisch deshalb, da du das natürlich auf deine eigene Kappe nimmst, sollte dabei etwas schief gehen. Praktisch habe ich das aber schon selbst so durchgeführt, wenn auch nicht bei Ultimate Backup… egal.

/bin/rm -rf /usr/syno/etc/packages/SecureSignIn/preference/UltimateBackup
/bin/rm -rf /var/packages/UltimateBackup
/bin/rm -rf /volume1/@appconf/UltimateBackup
/bin/rm -rf /volume1/@appdata/UltimateBackup
/bin/rm -rf /volume1/@apphome/UltimateBackup
/bin/rm -rf /volume1/@appstore/UltimateBackup
/bin/rm -rf /volume1/@apptemp/UltimateBackup
/bin/rm -rf /volume1/@userpreference/UltimateBackup

Natürlich musst du noch darauf achten, auf welchem Volume du Ultimate Backup installiert hattest. Ggf. musst du den Pfad entsprechend anpassen. Man könnte durch eine Abfrage auch noch prüfen, ob der Ordner überhaupt vorhanden ist, also ungefähr so…

if [ -d /usr/syno/etc/packages/SecureSignIn/preference/UltimateBackup ]; then
   /bin/rm -rf /usr/syno/etc/packages/SecureSignIn/preference/UltimateBackup
fi

… aber das bleibt ja jedem selbst überlassen.

Tommes

 

[DS213+]

Hat einer eine Idee, warum der entschlüsseln Button bei mir nicht angezeigt wird?


Per Konsole entschlüsseln nach der Hilfe geht wunderbar.



Das Script sichert prima und hängt den verschlüsselten Ordner wieder aus, wie es auch sein soll. Angezeigt wird aber das es ihn nicht trennt? Jemand eine Idee?