13
Host Datei vor Änderungen schützen
Hallo,
ich habe eine Netzwerkressource (NAS) für dessen Freigaben sich keine gezielten Userrechte eintragen lassen, da sich das NAS nicht im AD registrieren lässt.
Dennoch möchte ich, dass lediglich der Server Zugriff auf die Ressource hat (wird als Backup benötigt). Meine Idee war nun, die host Datei der Clients so abzuändern, dass beim Versuch das NAS zu erreichen eine Umleitung auf 127.0.0.1 erfolgt.
Meine Fragen dazu:
1: Macht das Sinn?
2: Wie kann ich die Host Datei vor Änderungen schützen? Meine Idee war hier die Dateirechte für User auf Read Only zu setzten und nur dem Administrator Write Rechte geben.
3: Kann es zu irgendwelchen Einschränkungen (ausser den gewollten) bei dieser Umsetzung kommen, bzw. gibt es vielleicht andere offene Lücken oder andere Lösungen um den Zugriff auf eine Ressource zu schützen?
Viele Grüße
ich habe eine Netzwerkressource (NAS) für dessen Freigaben sich keine gezielten Userrechte eintragen lassen, da sich das NAS nicht im AD registrieren lässt.
Dennoch möchte ich, dass lediglich der Server Zugriff auf die Ressource hat (wird als Backup benötigt). Meine Idee war nun, die host Datei der Clients so abzuändern, dass beim Versuch das NAS zu erreichen eine Umleitung auf 127.0.0.1 erfolgt.
Meine Fragen dazu:
1: Macht das Sinn?
2: Wie kann ich die Host Datei vor Änderungen schützen? Meine Idee war hier die Dateirechte für User auf Read Only zu setzten und nur dem Administrator Write Rechte geben.
3: Kann es zu irgendwelchen Einschränkungen (ausser den gewollten) bei dieser Umsetzung kommen, bzw. gibt es vielleicht andere offene Lücken oder andere Lösungen um den Zugriff auf eine Ressource zu schützen?
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 187539
Url: https://administrator.de/contentid/187539
Ausgedruckt am: 23.11.2024 um 00:11 Uhr
13 Kommentare
Neuester Kommentar
Hi,
setze eine zweite Netzwerkkarte in den Server und nutze einen zweiten IP-Range. Korrekt gemacht, wird das auch noch mitttels eines VLANs getrennt.
Gruß
Netman
setze eine zweite Netzwerkkarte in den Server und nutze einen zweiten IP-Range. Korrekt gemacht, wird das auch noch mitttels eines VLANs getrennt.
Gruß
Netman
1: Jein...über die IP kommen die User trotzdem drauf...
2: Die Idee ist gut und sogar sinnvoll...Du schützt Deine User sogar vor Schadsoftware die die HOSTS-Datei ändern will.
3: Nein, keine Einschränkungen. Andere Lösung: NAS zu ebay rein und sich eine kaufen die man ins AD einbinden kann.
2: Die Idee ist gut und sogar sinnvoll...Du schützt Deine User sogar vor Schadsoftware die die HOSTS-Datei ändern will.
3: Nein, keine Einschränkungen. Andere Lösung: NAS zu ebay rein und sich eine kaufen die man ins AD einbinden kann.
Zitat von @MrNetman:
Hi,
setze eine zweite Netzwerkkarte in den Server und nutze einen zweiten IP-Range. Korrekt gemacht, wird das auch noch mitttels eines
VLANs getrennt.
Gruß
Netman
Hi,
setze eine zweite Netzwerkkarte in den Server und nutze einen zweiten IP-Range. Korrekt gemacht, wird das auch noch mitttels eines
VLANs getrennt.
Gruß
Netman
Hey, schonmal nen guter Tipp
Muss mal schauen ob dafür noch Platz ist Zitat von @Onitnarat:
1: Jein...über die IP kommen die User trotzdem drauf...
2: Die Idee ist gut und sogar sinnvoll...Du schützt Deine User sogar vor Schadsoftware die die HOSTS-Datei ändern will.
3: Nein, keine Einschränkungen. Andere Lösung: NAS zu ebay rein und sich eine kaufen die man ins AD einbinden kann.
1: Jein...über die IP kommen die User trotzdem drauf...
2: Die Idee ist gut und sogar sinnvoll...Du schützt Deine User sogar vor Schadsoftware die die HOSTS-Datei ändern will.
3: Nein, keine Einschränkungen. Andere Lösung: NAS zu ebay rein und sich eine kaufen die man ins AD einbinden kann.
Über die IP?? wenn ich die IP (statisch) und Name jeweils aus 127.0.0.1 umleite?
Hallo,
wenn ich nun ein User wäre... und auf die NAS wöllte und nur weis das Sie NAS heißt...
NSlookup NAS MEINDSNSERVER
\\IP.IP.IP.IP\
dropp gelutscht.
Aber auf die Idee das über die Host Datei machen zu wollen muss man auch erst mal kommen.
Grüße Lenny
PS: kennt sie NAS kein Samba?
wenn ich nun ein User wäre... und auf die NAS wöllte und nur weis das Sie NAS heißt...
NSlookup NAS MEINDSNSERVER
\\IP.IP.IP.IP\
dropp gelutscht.
Aber auf die Idee das über die Host Datei machen zu wollen muss man auch erst mal kommen.
Grüße Lenny
PS: kennt sie NAS kein Samba?
Zitat von @lenny4me:
Hallo,
wenn ich nun ein User wäre... und auf die NAS wöllte und nur weis das Sie NAS heißt...
NSlookup NAS MEINDSNSERVER
\\IP.IP.IP.IP\
dropp gelutscht.
Aber auf die Idee das über die Host Datei machen zu wollen muss man auch erst mal kommen.
Grüße Lenny
PS: kennt sie NAS kein Samba?
Hallo,
wenn ich nun ein User wäre... und auf die NAS wöllte und nur weis das Sie NAS heißt...
NSlookup NAS MEINDSNSERVER
\\IP.IP.IP.IP\
dropp gelutscht.
Aber auf die Idee das über die Host Datei machen zu wollen muss man auch erst mal kommen.
Grüße Lenny
PS: kennt sie NAS kein Samba?
Sry, aber ich verstehe deinen Beitrag nicht.
Wenn ich (als Admin) in die host Datei der User sinnbildlich folgendes eintrage:
192.168.0.2 127.0.0.1
nas 127.0.0.1
und die hostdatei für den standarduser auf read only setze, was bringt ihm dann ein nslookup? Jegliche Anfragen an die IP vom NAs oder den NAmen vom verlaufen "ins Leere"
192.168.0.2 127.0.0.1
^^ das geht nicht!!! Die Hostsdatei dient imho nur dazu einen fehlenden DNS-Server zu simulieren, also Host zu IP-Umsetzung.
^^ das geht nicht!!! Die Hostsdatei dient imho nur dazu einen fehlenden DNS-Server zu simulieren, also Host zu IP-Umsetzung.
Zitat von @Onitnarat:
192.168.0.2 127.0.0.1
^^ das geht nicht!!! Die Hostsdatei dient imho nur dazu einen fehlenden DNS-Server zu simulieren, also Host zu IP-Umsetzung.
192.168.0.2 127.0.0.1
^^ das geht nicht!!! Die Hostsdatei dient imho nur dazu einen fehlenden DNS-Server zu simulieren, also Host zu IP-Umsetzung.
wieder was gelernt
Mist =)Zitat von @Onitnarat:
^^ das geht nicht!!! Die Hostsdatei dient imho nur dazu einen fehlenden DNS-Server zu simulieren, also Host zu IP-Umsetzung.
Nein, Mit der HOSTS kann man auch Anfragen erden, bzw, aufs lokale Interface umleiten. Wird sogar von manchen Virenprogrammen und den anderen benutzt.^^ das geht nicht!!! Die Hostsdatei dient imho nur dazu einen fehlenden DNS-Server zu simulieren, also Host zu IP-Umsetzung.
Ich zitiere aus http://de.wikipedia.org/wiki/Hosts-Datei
Muss ein Hostname in eine IP-Adresse (oder umgekehrt) übersetzt (oder „aufgelöst“) werden, so wird bei Betriebssystemen zuerst versucht, die Namensauflösung lokal anhand der in der Hosts-Datei gespeicherten Zuordnungen durchzuführen, bevor andere Methoden (DNS, WINS, usw.) versucht werden.
##EDIT: entweder oder ist richtig. Aber der DNS wird erst später gefragt##
Gehen tut es, aber tun würde ich es nicht.
Zitat von @MrNetman:
> Zitat von @Onitnarat:
> ^^ das geht nicht!!! Die Hostsdatei dient imho nur dazu einen fehlenden DNS-Server zu simulieren, also Host zu IP-Umsetzung.
Nein, Mit der HOSTS kann man auch Anfragen erden, bzw, aufs lokale Interface umleiten. Wird sogar von manchen Virenprogrammen und
den anderen benutzt.
> Zitat von @Onitnarat:
> ^^ das geht nicht!!! Die Hostsdatei dient imho nur dazu einen fehlenden DNS-Server zu simulieren, also Host zu IP-Umsetzung.
Nein, Mit der HOSTS kann man auch Anfragen erden, bzw, aufs lokale Interface umleiten. Wird sogar von manchen Virenprogrammen und
den anderen benutzt.
Bitte was???? Erst lesen, dann denken, dann nochmal lesen, dann tippen...Du kannst mit der HOSTS-Datei KEINE IP mit einer anderen ersetzen!
sers,
vielleicht könntest du uns ja verraten um welches Modell es sich hier handelt? Details helfen bekanntlich immer.
Alternativ eine sehr dreckige Lösung: Pass die IP der NAS und die Subnetzmaske deiner Clients so an dass sie sich nicht mehr sehen können. Dann musst nurnoch zusehen dass dein Gateway die Verbindung nicht herstellt.
Dreckigst, aber würde klappen.
vLAN wäre natürlich die bessere Lösung. Zumindest aus den Infos die du uns gabst.
Grüße,
Philip
:edit: Mal ganz davon abgesehen dass man sowiso Adminrechte braucht um die HOSTS DAtei zu editieren.
vielleicht könntest du uns ja verraten um welches Modell es sich hier handelt? Details helfen bekanntlich immer.
Alternativ eine sehr dreckige Lösung: Pass die IP der NAS und die Subnetzmaske deiner Clients so an dass sie sich nicht mehr sehen können. Dann musst nurnoch zusehen dass dein Gateway die Verbindung nicht herstellt.
Dreckigst, aber würde klappen.
vLAN wäre natürlich die bessere Lösung. Zumindest aus den Infos die du uns gabst.
Grüße,
Philip
:edit: Mal ganz davon abgesehen dass man sowiso Adminrechte braucht um die HOSTS DAtei zu editieren.
Moin.
Auf einem NAS läuft immer ein OS. Da solltest Du ansetzen oder aber an der Firewall Zugriffe auf dessen IP verbieten. Hosts-Datei wird hier nichts aus genannten Gründen.
PS: die Hosts-Datei ist selbstverständlich schon von Haus aus Read-only für nicht-Admins.
Edit: ach, hat schon jemand angemerkt
Auf einem NAS läuft immer ein OS. Da solltest Du ansetzen oder aber an der Firewall Zugriffe auf dessen IP verbieten. Hosts-Datei wird hier nichts aus genannten Gründen.
PS: die Hosts-Datei ist selbstverständlich schon von Haus aus Read-only für nicht-Admins.
Edit: ach, hat schon jemand angemerkt
Hallo,
bitte verbessere mich wenn ich mich irre aber...
Oder?
Grüße
bitte verbessere mich wenn ich mich irre aber...
Aber der DNS wird erst später gefragt##
Bei einem NSlookup ziel server frage ich den DNS Server direkt. Was in meiner host datei steht ist dabei unerheblich.Oder?
Grüße
