zeitliche Steuerung der Berechtigung auf NLW/Shares

Status
Für weitere Antworten geschlossen.

chieftobitobsn

Benutzer
Mitglied seit
10. Jan 2013
Beiträge
72
Punkte für Reaktionen
5
Punkte
8
Moin zusammen,

wir nutzen das NAS hauptsächlich als flexiblen und zuverlässigen Backup Speicher. Nun wollen wir aufgrund der aktuellen IT Sicherheits Situation die Backups sicherer machen. Dazu möchten wir die Zugriffberechtigung bzw. die Verfügbarkeit der Shares zeitlich steuern, damit diese nur zugreifbar sind, wenn das Backup gerade läuft.

Der Synology Support sschweigt sich dazu aktuell leider aus. Hat einer von euch einen Ansatz, wie das zuverlässig gesteuert/getriggert werden kann?


Gruß Tobsn
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Mit den Hausmitteln die DSM via GUI zur Verfügung stellt wüsste ich keinen Weg. Das ist nicht vorgesehen.

Der bessere Ansatz ist hier das Backup VOM Server aus anzuleihern. Dann braucht keine Benutzer auf dem Client überhaupt Zugriff. Und wenn es ein komplett separates Backup NAS ist braucht man nich nicht mal die Dateidienste smb/afp/NFS überhaupt erst aktiv haben.
Beispiel wäre hier Active Backup for Business aus dem Paketportfolio von Synology.
Für halbwegs wichtige Daten würde ich neben dem Backup auf dem NAS (wenn die Daten original noch auf dem Client liegen) noch eine Sicherung auf einen externen (offline) Datenträger machen (z.b. USB Platte), die nur während des Backup angeschlossen ist.
Arbeiten die Clients nur mit den Dateien auf dem NAS direkt braucht man theoretisch vom Client kein Backup mehr.
Neben dem offline Backup würde ich dann aber noch ein zweites Online Backup, andere NAS oder Cloud, vorhalten.
Und versionierte sollte mindestens eines davon auch sein, wenn man Geräteausfälle und ransomware etc in Schach halten will.
 

chieftobitobsn

Benutzer
Mitglied seit
10. Jan 2013
Beiträge
72
Punkte für Reaktionen
5
Punkte
8
Active Backup for Business ist aktuell eine gute Lösung, aber teilweise nutzen wir noch Novabackup, welches Shares benötigt. Daher die Frage. Mit einer zeitlichen Sperrung hätte man zum großen Teil eine Offline adäquate Sicherung, wenn man mal die Möglichkeit des NAS Server Hacks ausblendet. Bzgl. der USB Platte - das haben wir auch eingerichtet, aber abziehen und anstecken klappt bei Rackgeräte im Serverschrank nicht so richtig gut...

Also wir benötigen schon die Zeitsteuerung der Shares...

Hat jemand eine Idee, wie man das per SSH Skript steuern könnte?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Thinking outside the box... Manchmal kommt man auch auf anderen Wegen ans Ziel (wenn man die Perspektive wechselt).

Ideen? Massig. :)
Aber mehr grad nicht.

Reicht es das komplette Share on/off zu schalten für smb/cifs? Oder ist es diffiziler?
 

chieftobitobsn

Benutzer
Mitglied seit
10. Jan 2013
Beiträge
72
Punkte für Reaktionen
5
Punkte
8
Es reicht, ein an/aus Mechanismus. Wir wollen die Shares sicherheitstechnisch etwas mehr in Richtung Offline Medium bringen, ohne die Nachteile von echten Offline Medien zu haben... Per Skript an/aus reicht vollkommen, da das über die Synology Aufgabensteuerung wieder überwachbar wird.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Ohne zu wissen, ob synology da was prüft und eventuell überschreibt..

Sollte es ja reichen die /etc/samba/smb.share.conf anzupassen bzw jeweils mit einer angepassten Version zu ersetzen und die config neu zu laden, smb control all reload-config, oder ähnlich.
Oder den Dienst neu zu starten. Müsste aber auch nachsehen, ob das via Service, synoservice, synoservicectl oder anderes läuft.
 

chieftobitobsn

Benutzer
Mitglied seit
10. Jan 2013
Beiträge
72
Punkte für Reaktionen
5
Punkte
8
In der smb.conf kann man für die Freigaben den Wert "availiable" dann auf no stellen und die Freigabe ist dann inaktiv, richtig?

Daraus ergeben sich für mich folgende Fragen:
- Für Änderungen der smb.conf muss der gesamte Samba runter, und wieder hochgefahren werden? (schlecht, da dieser auch die Domäne stellen könnte bzw. dann ja kurzzeitig alle Shares betroffen sind...)
- Wie reagiert das Synology DSM, wenn man unter der Motorhaube des Samba arbeitet?

Am besten wäre es, wenn man die Shares einzeln per Skript schalten könnte (bspw. set Share "Data" active false).

Oder wäre eine User Steuerung per Zeit evtl. einfacher möglich? (User Konto inaktiv schalten)
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
In der smb.conf habe ich nur den Abschnitt [global] und in der smb.share.conf habe ich die Gemeinsamen Ordner. Ein "available" sehe ich da allerdings nirgends.

Wenn man alle Sessions unterbrechen will muss man vermutlich Samba neu starten. Sache von ein paar Sekunden vermutlich.
Ein reload der config geht ohne Unterbrechung. Wie es da mit nicht beendeten Sessions des backup users aussieht... keine Ahnung.
Reaktion DSM... kann ich auch nicht beantworten, da ich normal dort nicht an Samba werkel (und auf meinen Linux Servern gibt es ja diese "GUI abhängigkeit nicht, also auch keine interferenzen).

Einen Befehl einzelne Shares inaktiv/aktiv zu schalten kenn ich nicht. Nur hinzüfugen/löschen.
Auch zur zeitlichen Benutzer aktivierung/deaktivierung kann ich dir nicht helfen, ist mir noch nie über den Weg gelaufen.

Vielleicht findet sich jemand der so in die Richtung schon gearbeitet hat. Ich muss erst recherchieren.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat