USB-Festplatte zugriff automatisch für nicht-admins sperren

[eleboek]

Hi,
wenn ich meine ext. USB HDD an meine DS414 (DSM5.0) anschließe wird diese sofort komplett mit der Filestation im Netzwerk freigegeben, sodass ich u.a. unter windows über die netzwerkfreigabe darauf zugreifen kann.
Wie kann ich verhindern, dass die DS automatisch USB-Datenträger die angeschlossen werden im Netzwerk zugänglich macht? Wenn es wenigstens nur die Admins sehen könnten wäre das schonmal besser als garnichts, aber so kann jeder direkt auf die HDD zugreifen. Gibt es irgendwo einstellungen für standardvorgehensweisen die ausgeführt werden sollen wenn neue usb-geräte erkannt werden, o.ä. ? Weil das jeder einfach so drauf zugreifen kann geht meiner meinung nach garnicht, insbesondere wenn ich z.b. daten auf der HDD backupe auf welche sonst nur admins zugriff haben - damit würde ich ja solange meine sicherheitsregeln die ich in der benutzerverwaltung eingestellt habe aushebeln bis ich die festplatte wieder abziehe ...
das ich die rechte nachträglich in der filestation anpassen kann hab ich schon gesehen, allerdings ist mir das zu umständlich/unsicher das ganze jedesmal zu ändern, bzw. die zeit die zwischen "einstecken der hdd" und "an den pc laufen zum entziehen der berechtigungen für alle nicht-admins" vergeht könnte man ja trotzdem darauf zugreifen. außerdem wird das in der zukunft vermutlich sonst vergessen ...

danke
eleboek

 

[TheGardner]

Ich konnte das bei meiner DS nur so bewerkstelligen, dass ich die USBshare1, USBshare2 und USBshare3 Einträge allesamt in den Gruppeneinstellungen verboten habe. Falls Du bei Dir keine Gruppen eingerichtet hast, müsstest Du das in den Usereinstellungen eines jeden Users einzeln vornehmen! Anders als über Systemsteuerung - User/Gruppe ist das nicht möglich! Auch solltest Du für diese Aktion alle drei USB Ports mit Sticks und/oder Festplatten belegen, damit Du alle drei USB Einträge in den Berechtigungseinstellungen gleich mit erschlägst!

 

[ottosykora]

habe ich auch gerade probiert, aber wie kommst du dann an die Daten drauf. Ist es dann eine Gruppe in der bei der der Admin nicht Mitglied ist?

 

[JudgeDredd]

Wie wäre es denn erst einmal zu schauen, warum ein Zugriff überhaupt möglich ist und diese Berechtigung dann einfach zu entfernen ?
Das setzen von Verweigerungsrechten halte ich nur für die Zweitbeste Idee.

 

[TheGardner]

habe ich auch gerade probiert, aber wie kommst du dann an die Daten drauf. Ist es dann eine Gruppe in der bei der der Admin nicht Mitglied ist?

der Admin ist ja schon in der Gruppe administrators, und die (wer immer dort alles drin ist) dürfen die USB Platten ansehen und lesen/schreiben. Alle anderen (Gruppen/User) nicht.

 

[ottosykora]

macht Sinn, verhält sich etwas anders hier, bei diesem Fall wird es einfach geblockt auch für den Admin, muss es noch anders probieren

 

[TheGardner]

Hmm komm hier nicht (mehr) ganz mit! Deswegen schmeisse ich mal noch paar Grundlagen hier rein:

Standardmäßig sind die USB-Ports/Anschlüsse und die daran hängenden Festplatten immer "gleich" für alle freigegeben! Das ist mir sofort nach Erhalt der DS412+ (die ich hab) aufgefallen! Dieser Zustand ist so gesehen erstmal total "Shaise" - allerdings kann ich Synology auch verstehen, dass die das so implementieren müssen und nicht anders herum, weil Laien nicht erst groß suchen sollen, wo sie denn die Berechtigungen setzen müssen, wenn sie mal eine USB Platte anschließen wollen.
Obwohl ichs als Standard-Prozess gern so hätte: Ein USB-Gerät wird als erstes immer NUR vom Admin erkannt und von niemandem anderes - bis der Admin in den User/Gruppen Einstellungen ansagt, wer das Speichergerät noch alles sehen darf...

So wäre es super! Und genau das scheint eleboek auch zu wollen! Die USB-Festplatte (egal wo sie angesteckt wird) soll nicht gleich von jedermann zu sehen sein! Das ist sie aber standardmäßig - bis man über die Gruppeneinstellungen oder bei den einzelnen Usern explizit sagt: "User xy darf keinerlei Geräte an den drei verfügbaren USB-Anschlüssen sehen!"

Und: man muss das auch erstmal wissen! Sonst bekommt man "die Sichtbarkeit" überhaupt nicht mit. Und das ist eigentlich das Fatale! User "Hein Blöd" ist bei mir nämlich mal an Daten rangekommen, die ihm explizit verboten waren, weil ich Rindviech nicht mitbekommen habe, dass Hein Blöd standardmäßig die USB Festplatte sehen kann, wo das Backup aller Daten weggesichert wird!
Und ums mal noch auf die Spitze zu treiben: Ich war gar nicht so doof gewesen und hatte diesen Fall schon vor seinem Eintreten erkannt. Allerdings habe ich anfangs nur ein Verbot von USBshare1 ausgesprochen - in dem Moment unwissend, dass ich das mit allen drei Ports machen muss - und um dies zu bewerkstelligen - dort auch übergangsweise erstmal etwas anzustecken, damit die USBshares erstmal zu sehen sind.
Nur den USBshare1 gesperrt zu haben, hat mir nicht viel gebracht, wenn mir später ein User Daten klaut/sieht, die halt zufällig an USBshare2 oder 3 zu sehen sind ;-)

 

[JudgeDredd]

Da externe Laufwerke ja in der Gruppe "Users" sind, wird diese Gruppe bei Euch wohl irgendwelche Rechte besitzen, die es den Benutzern ermöglicht darauf zuzugreifen. Nun geht Ihr her und verweigert explizit bestimmten Benutzern oder auch allen die Berechtigung. Was spricht dagegen, einfach der Gruppe "Users" die Berechtigung zu entziehen ?

 

[TheGardner]

Wäre ne Möglichkeit! Ist nicht aber der User admin auch in dieser Gruppe (wenn auf der DS keine andere Gruppe eingerichtet ist) und würde damit keinen Zugriff mehr auf die USBshares haben?

 

[JudgeDredd]

Grundsätzlich ist der Admin in der Gruppe "Administrators", durch die er wiederum die Rechte erhält. Wenn Du auch dieser Gruppe die Rechte entziehst, dann kann er entweder gar nicht mehr zugreifen oder Du richtest eine eigene Gruppe für externe Laufwerke ein, in die Du alle User die eben zugreifen dürfen "reinwirfst".

 

[TheGardner]

Jep! Danke für die Ausführungen! Das sollte das Problem jetzt für jedermann lösen!

 

[ottosykora]

ja hier klappt eben nicht genau bei mir.

Da ja alle immer noch bei den users sind, und wenn ich den users die Berechtigung wegnehme, sehe ich e auch als Admin nicht mehr. Verbot kommt ja vor dem Erlaubnis.
Ich habe auch eine extra Gruppe gebildet, aber das funktioniert in diesem Fall auch nicht, da ich nicht erlauben kann was woanders verboten ist.
Den Administratoren kann ich alle Rechte geben, wenn die jedoch über andere Gruppe, also zum Bsp users den Verbot haben, sehe ich den usb auch als Admin nicht mehr.

 

[TheGardner]

Eigentlich brauchst Du nur folgendes machen:

- alle 3 USB Ports mit Speichersticks und USB-Festplatten belegen, so dass Du (als admin eingeloggt) usbshare1, usbshare2 und usbshare3 siehst
- dann alle Änderungen zurücknehmen, die Du bisher unter Systemsteuerung - Benutzer gemacht hast! Also theoretisch müsste dann bei allen Usern nirgens mehr ein Haken drin sein!
- dann unter Systemsteuerung - Gruppe gehen und unter Users - Berechtigungen bei usbshare1, usbshare2 und usbshare3 einen Haken unter Kein Zugriff setzen!
- dann unter Systemsteuerung - Gruppe gehen und unter administrators - Berechtigungen bei usbshare1, usbshare2 und usbshare3 einen Haken unter >Lesen/schreiben setzen!

Und fortan dürfte keiner die USB-Laufwerke mehr sehen, ABER der admin schon!


Zum Verständnis: die Gruppe administrators steht über der Gruppe users. D.h. für administrators gelten die Berechtigungen nicht, welche unter users gelten!

 

[ottosykora]

bei den Administratoren ist lesen/schreiben für usb

wenn ich bei den users kein Zugriff für usb markiere, verschwindet usb ganz, leider

eigenartigerweise kann ich es jedoch bei einzelnen Usern auf kein Zugriff stellen, dann funktioniert es. Muss es jedoch für jeden einzelnen machen.

 

[TheGardner]

Ja, das ist dann die Variante, welche ich anfangs schon mal beschrieben habe! Ist natürlich aufwändig jeden User einzeln etwas zu verbieten! Normalerweise macht man das über Gruppen - auch im Hinblick auf zukünftige Probleme bzw. Lösungen! Man setzt so quasi neue Gruppen über die Gruppe users und lässt letztere ganz links liegen, da alle weiteren Berechtigungen in diesen neuen Gruppen für alle User behandelt werden!

Mal als Beispiel bei mir:

Ich habe die Gruppen:

- administrators (Synology Voreinstellung)
- video users
- audio users
- software users
- photo users
- users (Synology Voreinstellung)

Jeder Gruppe sind verschiedene Benutzer zugeordnet und manchmal sind auch Benutzer in zwei oder drei Gruppen vertreten. Die Gruppe users (welche von Anfang an da gewesen ist) hat keine Eintragung mehr unter Berechtigungen (nicht einen Haken). Alle Berechtigungen werden quasi in den video, audio, software und photo Gruppen erstellt.
Genauso wenig haben die Benutzer (einzeln) unter Users (in der Systemsteuerung) nen Eintrag - auch dort fehlen bei mir sämtliche Haken, weil ja alles schon in den Gruppen verwaltet wird!
Es darf einem allerdings nicht passieren, dass es einen User gibt, welcher in keiner der obigen Gruppen auftritt - dann gilt für den natürlich wieder die Standard-Gruppe users wo er (da nirgens nen Haken gesetzt) alles darf.

 

[JudgeDredd]

@ottosykora

bei den Administratoren ist lesen/schreiben für usb

Wenn in der Gruppe "Administrators" lesen/schreiben aktiviert ist, dann:
1.) Funktioniert der Zugriff
... oder ...
2.) Bist Du mit einem Benutzer angemeldet der eben NICHT in dieser Gruppe ist.
... oder ...
3.) Du hast entweder direkt bei dem angemeldeten Benutzer oder in einer Gruppe bei der er Mitglied ist, das "verweigern" gesetzt.

Alles andere wäre ein Bug im Synology Rechtesystem. Das kann ich mir kaum vorstellen.

Gruß,
Andreas

 

[ottosykora]

ich habe versucht zum Bsp meiner Gruppe ftpusers den Zugriff zu verbieten via die Gruppe. Dann sieht es jedoch auch der Admin persönlich nicht mehr in der Filestation.

Wenn ich jedoch jedem einzelnen Mitglied der ftpusers den Zugang versperre, dann geht es, die ftpuser haben keinen Zugriff der Admin jedoch schon.

Ist mir auch etwas merkwürdig, bei den 'normalen' von Hand angelegten gemeinsamen Ordnern auf dem Root von dem Volume geht alles wie erwartet. Nur bei dem usb muss noch genau alles untersuchen, etwas ist da anders als sonst scheint mir.

Die Versuche habe ich auf meiner 4.3 gemacht, dort ist alles auf -nix Rechte gestellt, nichts mit ACL.

 

[JudgeDredd]

Gruppe ftpusers den Zugriff zu verbieten

Lass doch mal das verbieten weg. Das ist absolut unüblich und sollte nur in wirklich sehr gut durchdachten Rechtekonzepten verwendet werden.
Wenn Du sämtliche "verweigern"-Rechte entfernst und NUR die Gruppe für USB berechtigst, welche das auch dürfen soll und dort die entsprechenden Benutzer zufügst, dann klappt das auch.

 

[TheGardner]

Übersetzt hieße das:

- gib der Gruppe ftpusers "gar nichts" (nicht verweigern und nicht lesen/schreiben auf die USB Ports)

UND:

- nimm den admin aus der Gruppe ftpusers raus! Dieser user sollte nur in der Gruppe administrators (die alles können) vorkommen, nirgends anders!
- leg Dir einen nomalen User (Zweituser, z.B. ottosykora) an, den Du in die Gruppe ftpusers hinzufügst und arbeite in Zukunft einfach mit dem!