6
Sicherheitsrisiken Synology DS Admin Konto
Hallo Zusammen,
ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat der bisherige Mitarbeiter an allen Geräten das admin-Konto genutzt.
Einen neuen Admin mit anderem Namen habe ich erstellt. Nun möchte ich in die Runde fragen, ist es vernünftig, den alten admin nur einen Großteil der Rechte zu begrenzen?
Vermutlich werde ich dann ja weiterhin von der DS die Meldung bekommen, es gibt Sicherheitsprobleme?
Die Alternative wäre ja eine Reihe von neuen Nutzern zu erstellen und an allen Rechnern die Einstellungen zu ändern, was ja einigen Aufwand darstellt.
Was könnt Ihr empfehlen?
Das war die Meldung:
Der Sicherheitsberater hat gerade eine geplante Prüfung auf DiskStation abgeschlossen. Es wurden mehrere Sicherheitsrisiken gefunden, die Ihre Aufmerksamkeit erfordern. Melden Sie sich bei DSM auf DiskStation an und zeigen Sie den Bericht im Sicherheitsberater an.
ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat der bisherige Mitarbeiter an allen Geräten das admin-Konto genutzt.
Einen neuen Admin mit anderem Namen habe ich erstellt. Nun möchte ich in die Runde fragen, ist es vernünftig, den alten admin nur einen Großteil der Rechte zu begrenzen?
Vermutlich werde ich dann ja weiterhin von der DS die Meldung bekommen, es gibt Sicherheitsprobleme?
Die Alternative wäre ja eine Reihe von neuen Nutzern zu erstellen und an allen Rechnern die Einstellungen zu ändern, was ja einigen Aufwand darstellt.
Was könnt Ihr empfehlen?
Das war die Meldung:
Der Sicherheitsberater hat gerade eine geplante Prüfung auf DiskStation abgeschlossen. Es wurden mehrere Sicherheitsrisiken gefunden, die Ihre Aufmerksamkeit erfordern. Melden Sie sich bei DSM auf DiskStation an und zeigen Sie den Bericht im Sicherheitsberater an.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665877
Url: https://administrator.de/contentid/665877
Printed on: April 20, 2024 at 02:04 o'clock
6 Comments
Latest comment
Moin,
Ob es dann notwendig ist weitere eingeschränkte Nutzer anzulegen hängt ja eher mit eurem Berechtigungskonzept zusammen und kann kaum aus dem Forum beantwortet werden. Den voreingestellten Admin würde ich nicht in seinen Rechten einschränken (wenn es überhaupt geht).
Henning
Melden Sie sich bei DSM auf DiskStation an und zeigen Sie den Bericht im Sicherheitsberater an.
Das würde ich erstmal machen um zu sehen, ob dein Vorhaben überhaupt damit zu tun hat.Ob es dann notwendig ist weitere eingeschränkte Nutzer anzulegen hängt ja eher mit eurem Berechtigungskonzept zusammen und kann kaum aus dem Forum beantwortet werden. Den voreingestellten Admin würde ich nicht in seinen Rechten einschränken (wenn es überhaupt geht).
Henning
Moin,
ist ein AD vorhanden und wurde die DS ins AD aufgenommen?
Gruß
em-pie
ist ein AD vorhanden und wurde die DS ins AD aufgenommen?
- Wenn beides bejat werden kann: Setze die AD-User/ Gruppen in die Ordnerberechtigungen ein
- Wenn nur das erste bejat werden kann: Nimm die DS ins AD auf und dann wie zuvor genannt.
- Wenn beides Nein: lege einen (oder mehere) neue Benutzer an, und setze die Rechte auf die Ordner/ freigaben neu. Danach legst du einen neuen admin an (z.B. ds_admin) und gibst dem die Adminrechte. Ist das geschehen und du kannst mit dem neuen Admin machen, was du mit dem alten auch konntest: ein langes/ kryptisches Kennwort vergeben und das Kennwort in einem Safe "einschließen" (wobei man ganz leicht den admin Zugang zurücksetzen kann).
Gruß
em-pie
Hallo.
Gibt es eine AD Domäne in der Infrastruktur?
Falls ja, dann binde die DS doch in die Domäne und nutze die Domänen-Benutzer und - Gruppen.
Falls nein, dann solltest du deinen eigenen Vorschlag in die Tat umsetzen. Der Aufwand ist es in jedem Fall wert, wenn die Sicherheit dadurch gewinnt.
In jedem Fall würde ich das Admin Konto mit einem sehr, starken Kennwort belegen oder deaktivieren und ein neues Admin Konto erstellen.
Gruß
Marc
Gibt es eine AD Domäne in der Infrastruktur?
Falls ja, dann binde die DS doch in die Domäne und nutze die Domänen-Benutzer und - Gruppen.
Falls nein, dann solltest du deinen eigenen Vorschlag in die Tat umsetzen. Der Aufwand ist es in jedem Fall wert, wenn die Sicherheit dadurch gewinnt.
In jedem Fall würde ich das Admin Konto mit einem sehr, starken Kennwort belegen oder deaktivieren und ein neues Admin Konto erstellen.
Gruß
Marc
Hallo,
Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.
Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.
Grüße
lcer
Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.
Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.
Grüße
lcer
Zitat von @lcer00:
Hallo,
Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.
Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.
Hallo,
Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.
Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.
Ich habe gerade einmal in die Doku von Synology geschaut und dort ist nur die Gruppe "local administrator" für SSH Zugriff erwähnt.
Also mal eben den SSH Dienst aktiviert und siehe da, der erstellte Admin kann das Gleiche, wie der Benutzer Admin.
Gruß
Marc
Zitat von @radiogugu:
Ich habe gerade einmal in die Doku von Synology geschaut und dort ist nur die Gruppe "local administrator" für SSH Zugriff erwähnt.
Also mal eben den SSH Dienst aktiviert und siehe da, der erstellte Admin kann das Gleiche, wie der Benutzer Admin.
Gruß
Marc
OK, damit steht es 1:0 für Synology Zitat von @lcer00:
Hallo,
Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.
Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.
Hallo,
Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.
Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.
Ich habe gerade einmal in die Doku von Synology geschaut und dort ist nur die Gruppe "local administrator" für SSH Zugriff erwähnt.
Also mal eben den SSH Dienst aktiviert und siehe da, der erstellte Admin kann das Gleiche, wie der Benutzer Admin.
Gruß
Marc
Grüße
lcer
