ritchtools
Goto Top

Sicherheitsrisiken Synology DS Admin Konto

Hallo Zusammen,

ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat der bisherige Mitarbeiter an allen Geräten das admin-Konto genutzt.

Einen neuen Admin mit anderem Namen habe ich erstellt. Nun möchte ich in die Runde fragen, ist es vernünftig, den alten admin nur einen Großteil der Rechte zu begrenzen?

Vermutlich werde ich dann ja weiterhin von der DS die Meldung bekommen, es gibt Sicherheitsprobleme?

Die Alternative wäre ja eine Reihe von neuen Nutzern zu erstellen und an allen Rechnern die Einstellungen zu ändern, was ja einigen Aufwand darstellt.

Was könnt Ihr empfehlen?

Das war die Meldung:
Der Sicherheitsberater hat gerade eine geplante Prüfung auf DiskStation abgeschlossen. Es wurden mehrere Sicherheitsrisiken gefunden, die Ihre Aufmerksamkeit erfordern. Melden Sie sich bei DSM auf DiskStation an und zeigen Sie den Bericht im Sicherheitsberater an.

Content-Key: 665877

Url: https://administrator.de/contentid/665877

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: vossi31
vossi31 19.04.2021 um 13:20:04 Uhr
Goto Top
Moin,

Melden Sie sich bei DSM auf DiskStation an und zeigen Sie den Bericht im Sicherheitsberater an.
Das würde ich erstmal machen um zu sehen, ob dein Vorhaben überhaupt damit zu tun hat.

Ob es dann notwendig ist weitere eingeschränkte Nutzer anzulegen hängt ja eher mit eurem Berechtigungskonzept zusammen und kann kaum aus dem Forum beantwortet werden. Den voreingestellten Admin würde ich nicht in seinen Rechten einschränken (wenn es überhaupt geht).

Henning
Mitglied: em-pie
em-pie 19.04.2021 um 13:25:03 Uhr
Goto Top
Moin,

ist ein AD vorhanden und wurde die DS ins AD aufgenommen?
  • Wenn beides bejat werden kann: Setze die AD-User/ Gruppen in die Ordnerberechtigungen ein
  • Wenn nur das erste bejat werden kann: Nimm die DS ins AD auf und dann wie zuvor genannt.
In beiden Fällen am Ende noch einen User aus dem AD auswählen, der der zukünftige DS-Admin wird. Fertig

  • Wenn beides Nein: lege einen (oder mehere) neue Benutzer an, und setze die Rechte auf die Ordner/ freigaben neu. Danach legst du einen neuen admin an (z.B. ds_admin) und gibst dem die Adminrechte. Ist das geschehen und du kannst mit dem neuen Admin machen, was du mit dem alten auch konntest: ein langes/ kryptisches Kennwort vergeben und das Kennwort in einem Safe "einschließen" (wobei man ganz leicht den admin Zugang zurücksetzen kann).

Gruß
em-pie
Mitglied: radiogugu
radiogugu 19.04.2021 um 13:29:15 Uhr
Goto Top
Hallo.

Gibt es eine AD Domäne in der Infrastruktur?

Falls ja, dann binde die DS doch in die Domäne und nutze die Domänen-Benutzer und - Gruppen.

Falls nein, dann solltest du deinen eigenen Vorschlag in die Tat umsetzen. Der Aufwand ist es in jedem Fall wert, wenn die Sicherheit dadurch gewinnt.

In jedem Fall würde ich das Admin Konto mit einem sehr, starken Kennwort belegen oder deaktivieren und ein neues Admin Konto erstellen.

Gruß
Marc
Mitglied: lcer00
lcer00 19.04.2021 um 16:33:36 Uhr
Goto Top
Hallo,

Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.

Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.

Grüße

lcer
Mitglied: radiogugu
radiogugu 20.04.2021 um 09:02:25 Uhr
Goto Top
Zitat von @lcer00:

Hallo,

Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.

Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.

Ich habe gerade einmal in die Doku von Synology geschaut und dort ist nur die Gruppe "local administrator" für SSH Zugriff erwähnt.

Also mal eben den SSH Dienst aktiviert und siehe da, der erstellte Admin kann das Gleiche, wie der Benutzer Admin.

Gruß
Marc
Mitglied: lcer00
lcer00 20.04.2021 um 09:08:51 Uhr
Goto Top
Zitat von @radiogugu:

Zitat von @lcer00:

Hallo,

Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.

Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.

Ich habe gerade einmal in die Doku von Synology geschaut und dort ist nur die Gruppe "local administrator" für SSH Zugriff erwähnt.

Also mal eben den SSH Dienst aktiviert und siehe da, der erstellte Admin kann das Gleiche, wie der Benutzer Admin.

Gruß
Marc
OK, damit steht es 1:0 für Synology face-smile

Grüße

lcer