Gruppe everyone löschen?

Zitat von "lanos"

geht das? ist bei mir ausgegraut.

Nein -

Gruss
Michael

Hallo Lanos,

was versuchst du vor Ort? Wahrscheinlich liegt es daran, das du in keiner anderen Gruppe eingetragen bist!

Hier schauts korrekt aus...

[~] # id -a christian
uid=500(christian) gid=100(everyone) groups=100(everyone),0(administrators),507(blubb)

Christian

Zitat von "lanos"

getestet und negativ
habe mal usermod eingegeben, aber auch das kennt die NAs nicht

Sage uns doch mal was du überhaupt willst - oder was nicht geht?

Gruss
Michael

Ich hänge mich hier mal dran, weil ich dasselbe Problem habe:

User im Webinterface mehreren Gruppen zugeordner, aber id -a <user> gibt nur gid=100(everyone) zurück. usermod scheint nicht auf dem NAS verfügbar zu sein, wie sind Gruppenänderungen möglich?
christian: Webinterface zeigt die Zugehörigkeiten wie in Deinem Screenshot auch.
Fileberechtigungen stellen sich ähnlich undurchsichtig dar, wie von lanos beschrieben. Noch ein seltsames Phänomen: Als Owner vieler Dateien wird der User 1000 oder 1001 angezeigt, den es aber gar nicht gibt, zumindest gibt passwd da nichts her.
<edit> OK, der Punkt hat sich erledigt, sind die IDs vom Linux Client. Frage: Macht das Sinn, die mit dem NAS synchron zu halten?

Drauf gekommen bin ich, weil ich immer wieder mal Probleme mit Zugriffen auf bestimmte Files habe. Das geht so weit, dass auch One Touch Copy einige Files nicht sichern kann.

Gibt es irgendwo eine Beschreibung, die das File Security Konzept von QNAP vollständig beschreibt? Alles was ich bisher gefunden habe, beschränkt sich auf Screenshots des WEB Admin Tools. Das scheint aber doch einige intransparente Dinge zu tun und ich wüsste gern, wie ich sicherstellen kann, dass diejenigen, die zugreifen sollen, dies auch dürfen und alle anderen eben nicht. Das scheint nicht so einfach zu funktionieren, wie das Tool das suggeriert.

Zugriff erfolgt bei mir über Windows mit SMD und Linux mit NFS (leider immer noch nur V3, das ist schon eine extrem schwache Vorstellung 2011!).

Zitat von "cbr"

OK, der Punkt hat sich erledigt, sind die IDs vom Linux Client. Frage: Macht das Sinn, die mit dem NAS synchron zu halten?

Auf jeden Fall,
sonst ist kein vernünftiges arbeiten möglich.
In Firmen wird es durch NIS ( Syncronisation der Benutzer ) bzw. LDAP als zentrale Benutzerdatenbank bewerkstelligt.

Hallo.

Ich krame diesen alten Thread mal aus, da ich bei meiner Suche hier gelandet bin

Konnte sonst auch mit google nicht viel dazu finden.

Aber wie zwei Posts über mir cbr bereits erwähnte, habe ich sogar ganze Usergruppen 1000 und 1001.

Was ist das und warum sind die da?

In der Gruppenverwaltung tauchen diese nicht auf.

Aber bei den Berechtigungen der Freigabeordner scheinen sie ab Ebene 2 auf... also noch nicht direkt am Freigabeordner, aber auf jedem Ordner darunter.

Und warum hat der eine Lese-Schreib Rechte und der andere nur Lese-Rechte?!?

Ich hatte die Home Ordner einmal kurz aktiviert, dann aber wieder deaktiviert...

Kann/Soll ich diese Gruppen ignorieren?

Kann ich diese Gruppen löschen?

Kann ich diesen Gruppen die Zugriffe komplett verwähren?

Unbenannt.jpg

Vielen Dank schon mal für die Aufklärung und Hilfe

LG

Zitat von Kamikaze01

habe ich sogar ganze Usergruppen 1000 und 1001.

Was ist das und warum sind die da?

Willst Du das wirklich wissen?

Wenn ja, dann suche Dir eine Einführung in UNIX oder in Linux und lese dort zu Benutzern und deren Verwaltung. Jeder Benutzer in UNIX (und Linux) gehört einer oder mehreren Benutzergruppen an. Es gibt dabei auch Standardbenutzer und Standardbenutzergruppen. 1000 ist dabei eine die Nummer eine Standardbenutzergruppe. Allem Anschein nach ist auf Deinem System das Mapping zwischen dieser Gruppe und ihrem Namen gelöscht worden, weil sonst in Deinem Screenshot der Name statt der Nummer auftauchen müsste. Bei den Benutzergruppen und Benutzern gibt es eine Kategorisierung in System und sonstige. Die Systemkategorie verwendet Nummern kleiner als 1000 und die sonstigen beginnen mit 1000, sowohl bei den Gruppen als auch bei den Benutzern. Diese Kategorisierung gibt es schon seit vielen Jahrzehnten und ist deutlich älter als Linux, mindestens aus den 1980-er Jahren. Die Konvention auf die Grenze 1000 hat sich im Verlauf der Zeit gewandelt. Diese war ursprünglich mal bei 100 und hat sich in mehreren Schritten auf 1000 erhöht. Es gab Hersteller, die diese Grenze bereits um 1988 auf 1000 erhöht hatten, während andere erst wenige Jahre vor dem Ende des vergangenen Jahrtausends diesen Schritt gegangen sind. Als ich in Linux eingestiegen bin, gab es Distributoren, die diese Schwelle bereits bei 1000 hatten während andere Distributoren diese noch bei 500 hatten.

Standardbenutzer und Standardbenutzergruppen zu löschen kann Nebenwirkungen haben. Man sollte wissen, was man damit tut und entsprechende Vorkehrungen getroffen haben, z.B. sicherstellen, dass die Benutzer aus den zu löschenden Standardbenutzergruppen weiterhin Gruppenmitgliedschaften haben. Auch sind nicht alle Benutzergruppen zwingend sondern optional. Typisches Beispiel für optionale Benutzergruppen sind solche für Backup oder für Wechselmedien, die zum Einsatz kommen, wenn man auch Nicht-Administratoren entsprechende Berechtigungen erteilen will, ohne diesen gleich umfassendere Administratorrechte zu vergeben.

Ich mache darauf aufmerksam, dass sowohl Linux und QTS seine Benutzerverwaltung hat, Samba seine eigene Benutzerverwaltung, und diverse Datenbanken wieder ihre eigene Benutzerverwaltung. Diese können miteinnder zusammen hängen, müssen aber nicht.

Wenn ich jetzt auf einem meiner QNAP NAS einmal die Gruppen ansehe, so scheint dort diese Standardgrenze mit 100 gewählt worden zu sein und nur sehr wenige Gruppen zu existieren. Während auf einem QNAP NAS die Gruppen 1000 und 1001 existieren, gibt es diese auf einem schwächeren meiner QNAP NAS nicht. Auf demjenigen System, auf dem sie existieren, kann ich die Nummer 1000 eindeutig einem Dienst bzw. Applikation zuordnen, und sehe einen Standardnamen für die Nummer 1001. In meinem Fall weiß ich, dass dieser Standardname eine ähnliche Bedeutung hat wie ein anderer, vorhandener Standardname guest. Diese werden für minimale Gastrechte gerne verwendet und sollten daher i.d.R. nicht gelöscht werden. Und der Name mit der verwendeten Nummer 1000 sagt mir, dass ich diese nicht löschen will, solange nicht alle Dienste und Applikationen deinstalliert wurden, die diese verwenden.

Die Frage nach dem Umgang mit Deinen Gruppen kannst nur Du beantworten. Finde heraus, welche Gruppe mit welcher Verwendung und welchen Benutzern in Zusammenhang steht, wer die Namenszuordnung bereits gelöscht hat und wie diese lautete vor dieser Namenszuordnung, weil diese hilfreiche Hinweise liefert, wo diese zum Einsatz kommt. Kann es sein, dass auf Deinem System ein Nichtadministrator über Administratorrechte verfügt und diese Namenszuordnung eigenmächtig gelöscht hat?

Wenn Du keine Gästerechte vergeben willst auf Deinem System und auch nicht analysieren willst, wer sich dennoch solche Rechte verschaffen will, dann ist die Entziehung jeglicher Rechte eine Option für solch eine Gruppe. Auf dem einen meiner Systeme wäre dies denkbar für die Benutzergruppe mit der Nummer 1001. Ob diese Benutzergruppe bei Dir diese Rolle spielte, musst Du entweder denjenigen fragen, der diese Namenszuordnung auf Deinem System gelöscht hat, oder in einer Datensicherung nachlesen, die aus der Zeit vor dieser Löschung stammt. Diese Namenszuordnung steht in der Datei /etc/group, wenn es sich um die Benutzergruppen des Betriebssystems QTS bzw. Linux handelt.

Gastrechte werden gerne genutzt für Anwenderwebsessions, seltener für die Webserversessions. Webserver sind beliebte Dienste zur Bereitstellung einer Benutzerschnittstelle. Von daher sollte die Bedeutung deutlich werden, was für Nebenwirkungen bei voreiligem Rechteentzug zu erwarten seien. Andererseits kann ein derartiger Rechteentzug von Nichtadministratorgruppen ein temporärer Weg sein, solche Zuordnungen und Abhängigkeiten aufzuspüren, ohne Gewähr auf Vollständigkeit dieser Erkenntnisse.

Vermutlich sollte Deine Sorge weniger diesen Benutzergruppen gelten sondern mehr der Auffindung, wer diese Berechtigungen unberechtigterweise mißbraucht, indem er diese Namenszuordnung gelöscht hat, ohne dies und die Motivation zu dokumentieren. Diese Person kann noch weiteren Schaden bereits angerichtet haben und weiteren Schaden anrichten. Du solltest daher Dein Administratorkennwort SOFORT ändern, in der Hoffnung, dieser unbekannten Person damit vorerst diese Berechtigung entzogen zu haben.

Soweit die europäische DSGVO anwendbar ist auf Dein NAS, bist Du vermutlich auch verpflichtet, ein weitergehendes Schutzkonzept zu implementieren, das insbesondere die Nutzung privilegierter Konten überwacht, um unberechtigte Datenzugriffe und -weitergaben auf personenbezogene oder personenbeziehbare Daten identifizieren zu können, und fristgerecht entsprechende Behördenmeldungen und Information der betroffenen Personen durchführen zu können. Selbst wenn die DSGVO für Dein NAS nicht anwendbar ist, wäre eine solche Sicherheitslösung eine Erwägung wert, damit Du solche unberechtigten Zugriffe erkennen und zuordnen kannst.

WoW... okay... das muss ich jetzt erst mal verdauen.

Habe Deinen Beitrag aufmerksam gelesen und (hoffentlich) soweit verstanden.

Ich denke jedoch nicht, dass mein NAS von jemand anderem verwendet wird oder wurde außer von mir.

Ich habe niemanden meine Zugangsdaten gegeben, ein ewig kompliziertes und langes Passwort und auch keine extra User die nicht von mir verwaltet werden.

Ich sitze hinter einem VPN, habe ein HTTPS Zertifikat und jede IP wird für immer geblockt wenn sie sich falsch einloggt.

Des weiteren habe ich nur jene Zugänge frei gegeben, welche ich benötige. So wird SSH nur dann aktiviert, wenn ICH es benötige, danach gleich wieder deaktiviert...

Ich denke eher, dass die Namenszuordnung verloren gegangen sein wird, da ich mein NAS komplett neu aufgesetzt habe, danach aber alte Einstellungen wieder eingespielt habe, während dem Resync für das Raid unabsichtlich 2x neu gestartet hatte und dann für alle Geräte im Haushalt die auf das NAS zugreifen eigene User angelegt habe.

Ich hatte Schwierigkeiten mit SMB und musste zeitweise um etwas zu testen einem dieser User (für ein Gerät im Haushalt) auch admin Rechte geben.

Ich habe auch zu Testzwecken einen "Testuser" als Admin angelegt und gleich wieder gelöscht...

Des weiteren ist der reguläre admin-User deaktiviert, wurde aber für bestimmte Zwecke mehrfach wieder aktiviert und deaktiviert.

Möglicherweise ist hier irgendwo die Namensgebung verloren gegangen.

Nichts desto trotz habe ich Deinen Rat befolgt und mal die PWs geändert!!!

Ich danke Dir wirklich vielmals für die Mühe, die Arbeit und die informationen mir das so schön und lange zu erklären !!

Das war sehr hilfreich und ich bin wieder ein wenig schlauer als vorher - von daher chef1 --> Bildungsauftrag für heute erfüllt

Werde mal versuchen mir die /etc/group anzusehen.

/edit: die /etc/group sieht eigentlich normal aus... soweit ich es beurteilen kann.
Die Datei hat nur 3 Zeilen (administrators, everyone und guest) und dahinter stehen jeweils die User wie ich sie zugeordnet habe.

Dort sind keine verwaisten User und keine 1000 oder 1001 Einträge bzw. andere User-Gruppen zu finden.

Habe das NAS neu gestartet - Usergruppen 1000 und 1001 sind nach wie vor auf Ebene 2 eines Freigabeordners zu sehen.

Des weiteren habe ich jetzt auch einen User 1006 dort stehen...??!? wtf ?

Wie kann ich rausfinden welche Apps diese User/Gruppen benötigen?!

Unbenannt.jpg

Zitat von Kamikaze01

Ich sitze hinter einem VPN,

Aha, und wie ?

MalwareRemover und Cleanme trotzdem mal laufen lassen.

Zitat von Kamikaze01

Ich denke eher, dass die Namenszuordnung verloren gegangen sein wird, da ich mein NAS komplett neu aufgesetzt habe, danach aber alte Einstellungen wieder eingespielt habe, während dem Resync für das Raid unabsichtlich 2x neu gestartet hatte und dann für alle Geräte im Haushalt die auf das NAS zugreifen eigene User angelegt habe.

Weder beim Neuaufsetzen noch bei der Neuanlage von Anwendern passiert solch ein Verlust der Namenszuordnung. Die anderen beiden vermuteten Ursachen können dagegen Einfluss gehabt haben. Alte Einstellungen wieder einspielen, wenn sich die Konfiguration nicht geändert hat, und sie zuvor richtig waren, sollte ebenfalls als Ursache ausscheiden. Aber ob sie zuvor richtig waren, ist nicht so einfach zu bewerten. Und oftmals wird ein Neuaufsetzen dazu genutzt, die Konfiguration absichtlich zu ändern. Von daher ist die Sicherung der alten Einstellungen zwar sinnvoll, aber ich würde es bevorzugen, diese nicht automatisch zurückzuspielen. Ein automatischer Vergleich, ok. Aber das Zurückspielen würde ich lieber manuell oder halbautomatisch bevorzugen, mit Vorabkontrolle, nicht nachträglicher Kontrolle. Oder alternativ eine zweite Einstellungssicherung beim Neuaufsetzen mit anderem Speicherplatz anlegen, um nachträglich die alte Einstellungssicherung mit der Einstellungssicherung beim Neuaufsetzen vergleichen zu können. Und ein oder mehrere Neustarts während einem Resync kann abhängig vom RAID-Level deterministisch bleiben oder undeterministisch werden.

Und ich hatte bereits aus Deinen Formulierungen vermutet, dass kein Fremder sondern Du hinter diesen fehlenden Einträgen steckst, nicht aber ob absichtlich oder unabsichtlich. Deine Rückmeldung lässt auf unabsichtliche Nebenwirkung schlußfolgern, was auch plausibel erscheint.

Zitat von Kamikaze01

Dort sind keine verwaisten User und keine 1000 oder 1001 Einträge bzw. andere User-Gruppen zu finden.

Bei Deinem Symptom geht es zunächst nicht um die Anwender sondern um die Anwendergruppen. Und da sollten früher einmal Einträge für 1000 und 1001 gewesen sein. Bei mir steht auf einem meiner Systeme für 1001 der Gruppenname nobody.

Zitat von Kamikaze01

Wie kann ich rausfinden welche Apps diese User/Gruppen benötigen?!

Da fällt mir auf Anhieb kein zuverlässiges Verfahren ein. Wenn Du Dich per Kommandozeile als Administrator einloggst (ssh), kannst Du gelegentlich Dir die gesamte Prozesstabelle ausgeben lassen. Ich verwende dafür standardmäßig ps -ef. Aber dabei kommt zwar die UserID bzw. -name, nicht aber die GruppenID bzw. -name zurück. Kannst Du ja mal nach weiteren Optionen recherchieren. Dabei wirst Du feststellen, dass dies erst einmal von BusyBox bearbeitet wird, bevor es an das Betriebssystem durchgereicht wird. BusyBox ist aber wohl so konfiguriert, dass es manche Optionen heraus filtert und nicht durchlässt. Laut BusyBox wären ja nicht einmal -ef zulässig, werden aber dennoch durchgereicht und beantwortet. Eine ähnliche Recherche kannst Du mit dem Befehl top erreichen. Auch da fällt mir nicht auf Anhieb ein, mit welcher Option man zusätzlich die Gruppen angezeigt erhält.

Danke Euch für die Antworten und Tipps.

Ich werde das beim nächsten Neu Aufsetzen des NAS berücksichtigen.

Die Volumes sind natürlich jetzt alle anders. Und auch die Freigabeordner sind auf anderen Volumes - vielleicht daher beim Einspielen der alten Einstellungen etwas schief gegangen?

Ich bekomme auch nach wie vor Meldungen über fehlerhafte Sync Aufträge von der HBS3, obwohl ich keine Externen HDDs mehr angesteckt habe, alle Aufträge gelöscht habe und die HBS3 danach komplett deaktiviert.

Habe das Problem bereits in diesem Beitrag gepostet, aber noch keine Lösung dafür gefunden

Aber abgesehen von den seltsamen 1001 und 1000 Usergruppen, dem 1006 User und den fehlerhaften Meldungen der HBS3 funktioniert alles bestens.

Das NAS rennt brav durch, macht alles fleißig und ist dabei nicht voll ausgelastet.

Ich würde es gerne so belassen, denn es war sehr mühsam es soweit hinzubekommen

Eigentlich sind es ja nur "kosmetische" Fehler, die meinen NAS Betrieb nicht beeinflussen... aber auch kosmetische Fehler wurmen einen eben... :--/

Danke Euch jedenfalls sehr für die Hilfe !!!

Zitat von Kamikaze01

Ich würde es gerne so belassen, denn es war sehr mühsam es soweit hinzubekommen

Eigentlich sind es ja nur "kosmetische" Fehler, die meinen NAS Betrieb nicht beeinflussen... aber auch kosmetische Fehler wurmen einen eben...

Sehe ich ähnlich und geht mir ähnlich, bei anderer Historie. Bei mir gibt es Benutzer ohne Namen. Und da vermute ich Unzulänglichkeiten im QTS Paketmanagement als Ursache. Es gibt da Pakete, die Systempakete austauschen und verdrängen, ohne diese zu deinstallieren oder saubere Trennung von Abhängigkeiten. Habe noch nicht untersucht, ob es bei mir nur kosmetisch ist, weil ich kürzlich festgestellt habe, dass eine Applikation nicht mehr erreichbar ist, in die ich schonmal über eine Woche Arbeit investiert hatte, vor etwas mehr als einem Monat.

Hallo (nochmals).

Heute habe ich einen User für meine Frau angelegt und ihr gewisse Rechte auf den Freigabeordnern eingeräumt.

Plötzlich bekam ich folgende Meldung:

Unbenannt.JPG

Heisst das nun, dass ich diese User und Gruppen bedenkenlos löschen kann? Und wenn ja - WIE überhaupt?

Denn wenn ich in der Userverwaltung bin, werden mir diese ja nicht einmal angezeigt...

Ist zwar immer noch "kosmetisch" und beeinträchtigt die Funktion nicht wirklich... aber es fängt an mich zu ärgern bzw. lästig zu werden - vor allem jetzt, wenn auch noch solche Meldungen auftauchen...

Gibt es einen Weg die User/Gruppen sauber zu bekommen?

Bzw. die Zugehörigkeit zu den entsprechenden Namen wieder zu bekommen?

LG

Zitat von Kamikaze01

Heisst das nun, dass ich diese User und Gruppen bedenkenlos löschen kann?

Nein, d.h. genau was da steht, das diese User/Gruppen eben nicht gefunden wurden.

Wie schon zuvor gesagt, irgendwann gab es wohl user mit dieser ID, was steht denn in der /etc/passwd?

Da stehen bei mir User mit dieser ID, die ich allerdings auch eingerichtet habe.

In der /etc/group dagegen stehen nur die drei default Gruppen, administrators, guest und everyone.

Gruß

Danke für die schnelle Antwort

Zitat von FSC830

was steht denn in der /etc/passwd?

Da stehen auch bei mir nur User, welche ich auch angelegt habe.

Ich kann auch die 1000 und 1001 finden. Diese sind Usern zugeordnet, welche auch normal angelegt sind.

Zitat von FSC830

In der /etc/group dagegen stehen nur die drei default Gruppen, administrators, guest und everyone.

Richtig - genau diese 3 Gruppen stehen auch bei mir drinnen. Und hinter den jeweiligen Gruppen eben die entsprechenden User (je nachdem wo sie zugeordnet sind).

Sieht also eigentlich m.M. nach alles normal aus.

Warum ich diese Meldung bekomme kann ich mir nicht erklären...

Einer dieser beiden User wurde einmal gelöscht und direkt mit dem selben Namen wieder angelegt.

Der andere User wurde nach Neuinstallation des NAS durch Wiederherstellung der Einstellungen wieder angelegt.

Müsste ein User, dem ich den "admin" Status gegeben habe, nicht entsprechend dieser Gruppe zugeordnet sein?

Ich habe zB einen User (nennen wir ihn) "USER1" welcher einen Adminstatus hat.

In der etc/group steht er hinter den administratoren und hinter everyone.

In der etc/passwd steht in seiner Zeile als grpid aber nur die Nummer der Gruppe everyone.

Soll das so sein?

Wenn ich mit dem User arbeite, habe ich problemlos alle adminrechte und kann entsprechend arbeiten.

Meine passwd mit geänderten Namen

admin:x:0:0:administrator,email@gmx.at,administrator,:/share/homes/admin:/bin/sh
guest:x:65534:65534:guest:/tmp:/bin/sh
httpdusr:x:99:0:Apache httpd user:/tmp:/bin/sh
[sshd]:x:110:65534:SSHD Privilege Separation:/var/empty:/bin/sh
User1:x:1000:100:Linux User,email@gmx.at,,:/share/homes/User1:/bin/sh
[appuser]:x:97:0:App user:/tmp:/bin/sh
User2:x:1002:100:Linux User,,,:/share/homes/User2:/bin/sh
User3:x:1003:100:Linux User,,,:/share/homes/User3:/bin/sh
User4:x:1004:100:Linux User,,,:/share/homes/User4:/bin/sh
User5:x:1005:100:Linux User,,,:/share/homes/User5:/bin/sh
User6:x:1001:100:Linux User,,,:/share/homes/User6:/bin/sh
User7:x:1006:100:Linux User,,,:/share/homes/User7:/bin/sh

Meine zugehörige group mit den geänderten Namen

administrators:x:0:admin,User1
everyone:x:100:admin,User1,User2,User3,User4,User5,User6,User7
guest:x:65534:guest