Sicherheitsrisiken Synology DS Admin Konto
Hallo Zusammen,
ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat der bisherige Mitarbeiter an allen Geräten das admin-Konto genutzt.
Einen neuen Admin mit anderem Namen habe ich erstellt. Nun möchte ich in die Runde fragen, ist es vernünftig, den alten admin nur einen Großteil der Rechte zu begrenzen?
Vermutlich werde ich dann ja weiterhin von der DS die Meldung bekommen, es gibt Sicherheitsprobleme?
Die Alternative wäre ja eine Reihe von neuen Nutzern zu erstellen und an allen Rechnern die Einstellungen zu ändern, was ja einigen Aufwand darstellt.
Was könnt Ihr empfehlen?
Das war die Meldung:
Der Sicherheitsberater hat gerade eine geplante Prüfung auf DiskStation abgeschlossen. Es wurden mehrere Sicherheitsrisiken gefunden, die Ihre Aufmerksamkeit erfordern. Melden Sie sich bei DSM auf DiskStation an und zeigen Sie den Bericht im Sicherheitsberater an.
ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat der bisherige Mitarbeiter an allen Geräten das admin-Konto genutzt.
Einen neuen Admin mit anderem Namen habe ich erstellt. Nun möchte ich in die Runde fragen, ist es vernünftig, den alten admin nur einen Großteil der Rechte zu begrenzen?
Vermutlich werde ich dann ja weiterhin von der DS die Meldung bekommen, es gibt Sicherheitsprobleme?
Die Alternative wäre ja eine Reihe von neuen Nutzern zu erstellen und an allen Rechnern die Einstellungen zu ändern, was ja einigen Aufwand darstellt.
Was könnt Ihr empfehlen?
Das war die Meldung:
Der Sicherheitsberater hat gerade eine geplante Prüfung auf DiskStation abgeschlossen. Es wurden mehrere Sicherheitsrisiken gefunden, die Ihre Aufmerksamkeit erfordern. Melden Sie sich bei DSM auf DiskStation an und zeigen Sie den Bericht im Sicherheitsberater an.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665877
Url: https://administrator.de/forum/sicherheitsrisiken-synology-ds-admin-konto-665877.html
Ausgedruckt am: 07.04.2025 um 20:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Ob es dann notwendig ist weitere eingeschränkte Nutzer anzulegen hängt ja eher mit eurem Berechtigungskonzept zusammen und kann kaum aus dem Forum beantwortet werden. Den voreingestellten Admin würde ich nicht in seinen Rechten einschränken (wenn es überhaupt geht).
Henning
Melden Sie sich bei DSM auf DiskStation an und zeigen Sie den Bericht im Sicherheitsberater an.
Das würde ich erstmal machen um zu sehen, ob dein Vorhaben überhaupt damit zu tun hat.Ob es dann notwendig ist weitere eingeschränkte Nutzer anzulegen hängt ja eher mit eurem Berechtigungskonzept zusammen und kann kaum aus dem Forum beantwortet werden. Den voreingestellten Admin würde ich nicht in seinen Rechten einschränken (wenn es überhaupt geht).
Henning
Moin,
ist ein AD vorhanden und wurde die DS ins AD aufgenommen?
Gruß
em-pie
ist ein AD vorhanden und wurde die DS ins AD aufgenommen?
- Wenn beides bejat werden kann: Setze die AD-User/ Gruppen in die Ordnerberechtigungen ein
- Wenn nur das erste bejat werden kann: Nimm die DS ins AD auf und dann wie zuvor genannt.
- Wenn beides Nein: lege einen (oder mehere) neue Benutzer an, und setze die Rechte auf die Ordner/ freigaben neu. Danach legst du einen neuen admin an (z.B. ds_admin) und gibst dem die Adminrechte. Ist das geschehen und du kannst mit dem neuen Admin machen, was du mit dem alten auch konntest: ein langes/ kryptisches Kennwort vergeben und das Kennwort in einem Safe "einschließen" (wobei man ganz leicht den admin Zugang zurücksetzen kann).
Gruß
em-pie
Hallo.
Gibt es eine AD Domäne in der Infrastruktur?
Falls ja, dann binde die DS doch in die Domäne und nutze die Domänen-Benutzer und - Gruppen.
Falls nein, dann solltest du deinen eigenen Vorschlag in die Tat umsetzen. Der Aufwand ist es in jedem Fall wert, wenn die Sicherheit dadurch gewinnt.
In jedem Fall würde ich das Admin Konto mit einem sehr, starken Kennwort belegen oder deaktivieren und ein neues Admin Konto erstellen.
Gruß
Marc
Gibt es eine AD Domäne in der Infrastruktur?
Falls ja, dann binde die DS doch in die Domäne und nutze die Domänen-Benutzer und - Gruppen.
Falls nein, dann solltest du deinen eigenen Vorschlag in die Tat umsetzen. Der Aufwand ist es in jedem Fall wert, wenn die Sicherheit dadurch gewinnt.
In jedem Fall würde ich das Admin Konto mit einem sehr, starken Kennwort belegen oder deaktivieren und ein neues Admin Konto erstellen.
Gruß
Marc
Hallo,
Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.
Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.
Grüße
lcer
Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.
Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.
Grüße
lcer
Zitat von @lcer00:
Hallo,
Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.
Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.
Hallo,
Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.
Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.
Ich habe gerade einmal in die Doku von Synology geschaut und dort ist nur die Gruppe "local administrator" für SSH Zugriff erwähnt.
Also mal eben den SSH Dienst aktiviert und siehe da, der erstellte Admin kann das Gleiche, wie der Benutzer Admin.
Gruß
Marc
Zitat von @radiogugu:
Ich habe gerade einmal in die Doku von Synology geschaut und dort ist nur die Gruppe "local administrator" für SSH Zugriff erwähnt.
Also mal eben den SSH Dienst aktiviert und siehe da, der erstellte Admin kann das Gleiche, wie der Benutzer Admin.
Gruß
Marc
OK, damit steht es 1:0 für Synology Zitat von @lcer00:
Hallo,
Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.
Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.
Hallo,
Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.
Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.
Ich habe gerade einmal in die Doku von Synology geschaut und dort ist nur die Gruppe "local administrator" für SSH Zugriff erwähnt.
Also mal eben den SSH Dienst aktiviert und siehe da, der erstellte Admin kann das Gleiche, wie der Benutzer Admin.
Gruß
Marc
Grüße
lcer