Neuer Admin mit Folgen, kein Zugriff mehr und Sicherheitsrelevant ändert sich damit gar nichts...

Ein neuer Admin muss her, da man den originalen kompromittieren könnte...

Ein Hinweis auf dem Qnap-Desktop erinnert uns daran, sich einen neuen Account für den Administrator anzulegen.


Also legen wir einen neuen Account an, fügen ihn der Gruppe administratoren zu und deaktivieren den alten admin. (Neustart)

Nun fangen die Probleme aber erst an... in der FileStation oder Netzlaufwerken, lassen sich keine Files mehr kopieren/verschieben, man hat schlicht keinen Zugriff mehr.

Alle Rechte wurden richtig vergeben, nur ein aktivieren des alten admin Accounts lässt uns wieder Zugriff haben.


Bildschirmfoto 2021-07-20 um 11.11.22.png


Der Fehler ist, das zwar alle Rechte richtig vergeben sind, aber der neue Admin nicht Besitzer des Ordner ist, denn dieses Recht bleibt beim alten deaktivierten admin Account. Obwohl hier nun als Obergruppe die Administratoren eigentlich greifen müsste, tut sie es aber nicht. Da muss Qnap nochmals nachbessern, es ist in den aktuellen QTS Versionen, nein auch in den aktuellen Beta 5 Versionen falsch.


Als Lösung öffnet man die FileStation /"Ordner" - mit Rechtsklick auf "Eigenschaften", Reiter "Erlaubnis" ganz unten den Besitzer auf den neuen Admin wechseln.

(Achtung beim Original admin Account wird diese Ansicht nicht angezeigt, falls jemand wieder zum alten Account wechseln möchte muss man diese erst beim neu erstellten admin rückgängig machen.) sonst klappt der Zugriff wieder nicht ;-)


Bildschirmfoto 2021-08-18 um 18.23.45.png


Die Sicherheit ist nicht durch das erstellen eines neuen Admin Accounts gegeben, wenn nicht auch die Besitzer der Ordner geändert werden!

Zudem ist auch noch der deaktivierte originale admin Account im Hintergrund erreichbar und lässt sich sogar auswählen, als Besitzer. (FATAL)

Kommentare 10

  • Deinen Schlussfolgerungen stimme ich nicht zu.


    Ich habe den Admin-Account seit einem Jahr deaktiviert, und in der Zeit habe ich ihn nur ein einziges Mal kurz reaktivieren müssen (ssh-Konfiguration verbastelt, und ich musste mich einmal per Telnet einloggen).


    Dass es Rechteprobleme gibt, wenn man lange mit Admin arbeitet und dann auf einen eigenen Administrator-Account wechselt, überrascht nicht. Es geht deutlich besser, wenn man den Standard-Admin von Anfang an links liegen lässt und gleich mit seinem eigenen Administrator loslegt.


    Ich benutze allerdings andere Tools als du. Der Sinn der File-Station hat sich mir nie wirklich erschlossen. Um auf die Verzeichnisse des NAS zugreifen zu können, mounte ich sie und nutze sie an meinen Rechner, und wenn ich mal viel auf dem NAS kopieren möchte, ohne den eigenen Rechner zu belasten, logge ich mich per ssh ein und setze da die Befehle ab. Das geht besser als im Browserfenster herumzuklicken.


    Von der Sicherheit her bringt die Deaktivierung des Admin sehr wohl was, genauso wie die Deaktivierung von root unter Linux. Wenn du ssh oder http im Internet exponiert hast, absichtlich oder nicht, ein Angreifer wird mit hoher Wahrscheinlichkeit nur den Admin-Benutzer mit bekannten Passwörtern durchprobieren.

    • Was dich verleitet ist eine Pseudosicherheit, wenn du gelesen hast, habe ich es auch bei Neuinstallationen getestet! Beim letzten Absatz gebe ich dir vollkommen Recht, nur trügt das Bild, da für einige Funktionen im System leider immer noch der admin Account mitspielt, ob du ihn nun deaktiviert hast oder nicht. Ich möchte hier auch kein Beispiel geben, wie man dieses aushebelt, aber es funktioniert und QNAP ist unterrichtet darüber.


      Hattest du nie nach der Adminaccountänderung, Probleme mit dem Zugriff auf deine Daten? Obwohl die Zugriffsrechte des neuen Admins stimmten? Dann erstelle dir doch mal zum Test einen neuen Admin Account dazu, melde dich mit ihm an und versuche doch mal eine Datei zu verschieben/kopieren. Es funktioniert nicht und ich habe es auf verschiedenen NAS mit QTS probiert. Der Support von QNAP, hat es auch probiert und bisher keine Lösung dafür gefunden.


      Selbst bei Beta 5, wo ein admin Account schon zu Anfang nicht erstellt wird, ist dieser immer noch im System erreichbar und die Ordner werden als Besitzer diesem zugeordnet. Also eine trügerische Sicherheit wenn jemand glaubt das der admin aus dem System ist. Selbst ein rumgefriemel über ssh mit löschen der Accounts, wird dich nicht sicherer machen, da im System einige Funktionen nur dieser Rolle zugeordnet sind. Auch das Fallback über die Gruppe Administratoren funktioniert nicht mit einem neu angelegten Admin. Es ist wirklich egal ob nun frisch installiert oder nicht.


      Ich gehe nun mal von QTS aus und habe keine anderen Tools im Gebrauch... Das Problem liegt ja auch im QTS und nicht an den Tools. Der Sinn der fileStation ist hier nur als Beispiel des Betriebssystems gedacht, aber auch beim Netzwerkzugriff funktioniert es nicht mit dem Zugriff auf die Ordner, die zwar angezeigt werden nur aber kopieren /verschieben nicht möglich ist mit dem neuen admin Account.

    • Der Ausdruck "deaktivierter Admin" bzw. "deaktivierter Root" bei Unix/Linux/OS X führt insofern in die Irre, weil nicht der Admin-/Root-Account deaktiviert ist, sondern lediglich die Anmeldung. Selbstverständlich gibt es Admin bzw. root weiterhin, und ihm gehören viele Prozesse und Dateien. Es geht auch gar nicht anders, denn dazu ist root viel zu tief im Unix-Konzept verankert. Aber wenn man sich nicht mehr direkt als Admin/root anmelden kann, ist eine unter Sicherheitsaspekten problematische Stelle beseitigt (ein Baustein zu mehr Sicherheit, nicht die ultimative Lösung).


      Auch ist im Unix-Konzept keineswegs vorgesehen, dass ein Alternativ-Admin alles darf wie root. Damit ist auch klar, dass er Dateien, auf die z. B. ausschließlich root Zugriff hat, weder lesen, ändern noch löschen darf. Aber der Alternativ-Admin darf sudo ausführen - wobei noch mal sein Passwort abgefragt wird - und damit kann er alles machen, was root darf. (Es wird dringend empfohlen, sudo nur dann zu nutzen, wenn es sein muss. Dann können untergeschobene bösartige Programme nicht so viel Schaden anrichten, und eigene Ungeschicklichkeit zerschießt nicht so schnell das System.)


      Klar zu kritisieren ist, dass es Qnap einem so schwer macht, einen Alternativ-Admin in die sudoers einzutragen. (Das geht nur über die userstart.sh.)


      Wie gesagt, die File-Station nutze ich nicht. In der Shell bin ich durch die Deaktivierung des Admins zu keinem Zeitpunkt eingeschränkt.

  • NACHTRAG


    Bei der Aktivierung des neuen Admin Account, kommt es bei den Apps zu Problemen, das man keinen/eingeschränkten Zugriff mehr hat! Um wieder Zugriff zu erhalten, muss man den alten Admin Account wieder aktivieren.


    Auch eine Neuinstallation der Apps unter dem neuen Admin Account bringt keine Lösung des Problems. Da der alte Admin Account trotz Deaktivierung mit allen Rechten im System vorhanden ist.


    Ich kann zur Zeit jedem nur raten den alten Admin Account trotz Sicherheitsproblemen weiterhin zu benutzen!

    Bis QNAP die Löscher stopft, die eine Aktivierung des neuen Admin Account mit sich bringt.

    • Ich habe sämtliche Apps unter meinem Alternativ-Admin installiert, und sie funktionieren allesamt. Keine Ahnung, warum das bei dir nicht der Fall ist.

  • Mh, merkwürdig. Auf meinem 653D habe ich diese Möglichekeit gar nicht. Firmware: 4.5.4.1741 ...

    • Hallo, ich hatte ja im Blog schon beschrieben, das es bei dem regulären Admin Account anders ausschaut. Diese Anzeige bekommst du erst wenn du dich mit dem neuen Admin Account anmeldest. FileStation/Ordner (rechte Maustaste) Eigenschaften.

    • Das habe ich gemacht. Dennoch sieht es bei mir anders aus. Ich kann hier lieder kein Bild anhängen ...

  • Ich nehme an hier wurde die QTS 5.0 beta eingesetzt? Hast du dieses Problem auch an QNAP gemeldet?

    • Ja es war bei beiden QTS 5 Beta und bei 4.5.4.xxxx, gemeldet beim Support, der sich das nicht erklären konnte und auch keine Lösung hatte für das Problem. Nach langem suchen und probieren hab ich dann wenigstens den Zugriff mit dem neuen Admin wieder hinbekommen.