Upload - Wie am besten/sichersten?

[Diesel83]

Hallo,
ich möchte gern ein Verzeichnis für den Upload bereitstellen.
Es wäre klasse wenn ihr mir dazu paar Tipps geben könnt, wie
ich das am besten realsiere.

Folgendes sollte dabei möglich sein:
- Upload über Web-Browser
- Verschlüsselter Login
- Zugriff nur auf ein einziges Verzeichnis
- Zugriff hat nur ein einziger Benutzer (Zugriff für Admin sperren)
- Verzeichnis darf max. 10MB groß sein bzw. Benutzer kann bis zu
10 MB hochladen, bis das Verzeichnis wieder leer ist. Dann sind wieder
10MB upload möglich.

Meine bisherigen Versuche:
Bei FTP scheitert es am Browser-Zugriff.
Beim File Server kann ich bei Anwendungsberechtigungen den Admin
nicht ausschließen :-(

 

[Matthieu]

Du kannst dem Admin den Zugang prinzipiell nicht verwehren. Ich erinnere nur mal an eine rechtliche Begebenheit: Wenn es Beschwerden gibt, muss der Betreiber eines Servers in der Lage sein, Daten zu löschen (beispielsweise in Fragen des Urheberrechts). Das und einige andere Gründe führen dazu, dass der Admin immer Zugang zu allen auf der Platte gespeicherten Daten hat - und sei es via Kommandozeile. Alleine schon die Fähigkeit, Zugangsdaten über den DSM zu ändern geben ihm jedoch diese Befähigung.

MfG Matthieu

 

[itari]

Ich glaube, dass er nur den Zugang des 'admin' deswegen weg haben möchte, weil er Angst hat, dass er da gehackt wird.

Am besten wäre es, sich selbst per PHP einen kleinen Upload zu schreiben ... oder zu besorgen (z. B. ajaXplorer) ... es gibt doch so viele Code-Schnipsel, um das zu erreichen.

Synology beitet von sich aus nur den ftp an, wo man gezielt User auschließen kann (mit einem Mod)

Itari

 

[Diesel83]

Ich glaube, dass er nur den Zugang des 'admin' deswegen weg haben möchte, weil er Angst hat, dass er da gehackt wird.

Genau deswegen. Werde mich dann mal heut Abend erkundigen, wie das mit PHP realisiert werden kann bzw. werde mich nach den Code-Schnipseln suchen

 

[Ap0phis]

Ok, Vorsicht und Sicherheit in allen Ehren, aber sinnvoll sollte es sein.

0. Ein vernünftiges Passwort ist die halbe Miete!
1. Der Admin-Account könnte auch über andere Wege im LAN gehackt werde.
2. Von ausserhalb verhindert das zu 99,9% die automatische IP-Sperre falls sinnvoll aktiviert!

Bedenke zusätzlich,
dass jede Modifikation im Falle eine Systemwiederherstellung ebenfalls manuell neu eingerichtet werden muß!

Mein Fazit:
Den Admin-Zugang sperren zu wollen, ist nicht so sehr sinnvoll!

 

[jahlives]

Mein Fazit:
Den Admin-Zugang sperren zu wollen, ist nicht so sehr sinnvoll!

Full ack ;-)
sicheres PW für den admin, zusammen mit der automatischen Sperrung (Autoblock) im DSM sollte eigentlich reichen.
@topicstarter
das verwendete PW ist viel wichtiger als der Username (admin). Falsch wäre es nämlich zu denken, nur weil der Username unbekannt ist, würde ein 3-stelliges PW reichen. Zusätzlich kannst du über die Firewall im DSM ziemlich genau definieren, welche Services du von welchen IPs erlauben willst.

 

[itari]

Den Admin-Zugang sperren zu wollen, ist nicht so sehr sinnvoll!

Ich finde, dass man sehr gut damit leben könnte, wenn der 'Admin'-Zugang nur im LAN zu verwenden wäre (wäre ja dann auch über VPN zugänglich). Auch wäre es halt schön, wenn man für jede Anwendung (selbst für den DSM) einzeln einstellen könnte, ob der 'admin' seine Finger dabei haben dürfte. Ich würde die Notbremse in den DS-Assistenten (oder den einfachen Reset) einbauen, über den man dann den 'admin' aus seine Fesseln befreien könnte, falls man sich mal ausgesprerrt hätte. Auch eine Umbenennung wäre nicht schlecht. Auf einem Unix/Linux-System im produktiven Umfeld, hau ich den User 'root' auch immer weg und setze statt dessen den 'tyr' (Dienstag), 'wodan' (Woensdag=Wednesday~Mittwoch), 'thor' (Donnerstag) oder 'frija' (Freitag) ein (ist schon erstaunlich, dass 4 Tagesbezeichnungen der Woche germanische Gottheiten sind). Hauptsache, die UID ist ja '0' ... der Rest findet sich dann schon *gg*

Itari

PS. Sonntag und Mondtag sind ja recht klar, was die Wortbedeutung angeht ... bleibt noch die Geschichte des Samstag (Sabbat). Neben dem Tag/Abend vor dem Sonntag (Sonnabend) gibt es sprachlich noch den 'Tag des Wassers bzw. der Wäsche' bei den Wikingern ... Lördag (Laugardagur) ... Laugentag

 

[Diesel83]

@itari
sehe es genauso wie du.

Neuer Tag, neues Problem :-(
Für die Fernwartung meiner DS leitet der Router den Port 5001 an meine DS weiter. Klappt soweit auch bestens.
Allerdings können sich auch alle meine LAN-"Gäste-User" übers Web einloggen, was ich allerdings nicht möchte,
auch wenn diese nur wenig Rechte auf der DS haben. Ist doch echt kacke, das man die Rechte auf
LAN- und Web-Ebene nicht trennen kann.

 

[itari]

Ist doch echt kacke, das man die Rechte auf LAN- und Web-Ebene nicht trennen kann.

Nö 'Kacke' ist es nicht, weil man ja üblicherweise keinen Unterschied zwischen LAN und Internet haben möchte ... das Internet ist ja bewusst so gemacht, dass es immer und überall funktionieren soll. Wer das regulieren will, kann dies ja per Firewall einstellen, dafür ist eine Firewall ja da. Auf der Anwendungsebene setzt man meist eine Anwendungsproxy ein (es gibt ein paar, die man sich per IPKG installieren kann). Ist nur alles kompliziert, weil viele Leute ja heutzutage hautsächlich damit ihr Geld verdienen.

Itari

 

[jahlives]

Für die Fernwartung meiner DS leitet der Router den Port 5001 an meine DS weiter. Klappt soweit auch bestens.
Allerdings können sich auch alle meine LAN-"Gäste-User" übers Web einloggen, was ich allerdings nicht möchte,
auch wenn diese nur wenig Rechte auf der DS haben. Ist doch echt kacke, das man die Rechte auf
LAN- und Web-Ebene nicht trennen kann.

Fixe IPs im LAN vergeben und dann via Firewall im DSM den Zugriff steuern. Und die Trennung zwischen LAN uns WAN hast du ja anhand des Subnetzes. Also musst du eigentlich nur im DSM die Firewall entsprechend einrichten z.B. kannst du erst eine Regel erstellen, die deinem LAN Client den Port 5001 erlaubt. Dann eine Regel die diesen Port für den Rest des LAN-Subnetzes verbietet. Schon kannst nur noch du in deinem LAN drauf zugreifen und der Rest nimmer. Da du allerdings den Port 5001 eh nach aussen offen hast, solltest du unbedingt die autoblock-Funktion im DSM aktivieren und ausreichend sichere PWs verwenden.
Das Problem bei der fixen IP ist, dass jeder Client sich theoretisch die IP deines Clients einstellen könnte. Es ist also nicht unmöglich diesen Schutz zu umgehen, aber es erfordert doch einiges mehr als wenn du die Firewall und fixe IPs ned hast