Ungeschützter Zugriff per Linux via SAMBA?

    Hallo,


    ich habe eine Qnap TS-109 Pro und nutze seit kurzem parallel zu Windows auch Ubuntu (8.10). Jetzt musste ich zu meiner Überraschung feststellen, dass ich dort ohne jegliche Authentifizierung auf sämtliche Ordner meines NAS unbeschränkt zugreifen kann.
    Das ist zwar für mich eigentlich ganz praktisch, allerdings sollen nicht alle Nutzer dieses Netzwerks einen solch vollumfänglichen Zugriff auf das NAS haben. Außerdem frage ich mich, ob meine Daten auf diese Weise auch Zugriffen aus dem Internet offen stehen. Ich kenne mich leider so gut wie gar nicht mit Linux und SAMBA aus, deswen meine Fragen:


    1. Gibt es eine Möglichkeit den Zugriff via SAMBA für bestimmte Benutzer einzuschränken bzw. Accounts einzurichten?


    2. Wie schütze ich das NAS gegen Internetzugriffe via SAMBA (falls solche überhaupt möglich sind)?



    Ich kenne mich wie gesagt mit dieser Materie so gut wie gar nicht aus und bitte daher um Nachsicht für möglicherweise sehr dumme Fragen.


    Vielen Dank für eure Hilfe.


    Jan

    Hallöle,


    könnte es sein, dass Du für Dein Nutzerkonto unter Ubuntu den gleichen Anmeldenamen und das gleiche Passwort verwendest wie für Dein NAS?


    Grüße und gesundes neues Jahr
    Jody

    Hallo,


    hast du schon einmal das Handbuch durchgelesen ?


    Zitat von "d3ltr0n"

    1. Gibt es eine Möglichkeit den Zugriff via SAMBA für bestimmte Benutzer einzuschränken bzw. Accounts einzurichten?


    In der Weboberfläche vom TS-109 gibt es einen Bereich "Benutzerverwaltung",
    dort kannst du weitere Benutzer inclusive Paßwörter einrichten.
    Die Benutzerbeschränkungen auf die Freigaben kannst du darauf unter "Netzwerk-Freigabe-Verwaltung" festlegen.
    Dort findest du alle verfügbare Freigaben von deinem NAS.


    Zitat von "d3ltr0n"


    2. Wie schütze ich das NAS gegen Internetzugriffe via SAMBA (falls solche überhaupt möglich sind)?


    Einen direkten Zugriff aus dem Internet auf dein NAS würde ein Router schützen,
    der keine Port-Weiterleitungen hat bzw. keinen Remote-Konfiguration aus dem Internet zuläßt.
    Evtl. im Handbuch deines Routers nachschauen.
    Einen indirekten Zugriff durch Trojaner und andere unsichere Software sollte dann durch eine Firewall und Virenscanner auf deinem PC schützen.


    Ein frohes neues Jahr,
    Stefan

    Vielen Dank für eure schnellen Antworten. Leider ist mein Problem damit noch nicht gelöst.


    Ich melde mich nämlich bei Linux nicht mit einem Benutzernamen an, der auch als Account auf dem NAS existiert. Darüber hinaus sehe ich auch im "System Connection Log", dass sich mein Computer im Linux-Betrieb als "guest" anmeldet. Das ist an sich ja noch nachvollziehbar, jedoch verstehe ich nicht, warum ich dann vollen Zugriff (d.h. lesen und schreiben!) auf sämtliche Ordner des NAS' habe. Es taucht einfach im "Network" auf und alle Ordner sind dort für mich sichtbar, obwohl der "guest"-Account ja nur "Public" sehen dürfte.


    Die Möglichkeit Benutzerkonten bei dem NAS zu erstellen ist mir auch bekannt und ich habe sie auch schon benutzt, nur scheinbar gelten die dort erstellten Regeln nicht für SAMBA, da jedenfalls der "guest" (wie oben erwähnt) nicht den dort eingestellten Beschränkungen unterliegt. Greife ich per FTP auf das NAS zu und melde mich als "guest" an, dann sehe ich auch nur den Ordner "Public", so wie ich es eben bei den Benutzerkonten eingestellt habe. Ubuntu greift jedoch automatisch via SAMBA auf das NAS zu und hat vollen Zugriff auf alle Ordner und Dateien.


    Und da ich mich mit Linux und SAMBA nicht auskenne, ist meine Befürchtung dass jeder Benutzer im Netzwerk (oder schlimmer noch: auch Computer außerhalb des Netzwerks, z.B. Internet), der via SAMBA auf das NAS zugreift, uneingeschränkten Zugriff hat und so die Regeln der Benutzerkonten umgehen kann.

    Von welcher Firmware berichtest du ? Sollte es nicht die neueste sein, dann bitte updaten und überprüfen ob das Problem weiterhin besteht.


    Christian

    Hallo Christian,


    es handelt sich bei meinem NAS wie gesagt um eine TS-109 Pro auf der ich auch die neuste Firmware drauf habe(2.1.2 build 1114T).

    Hi,


    uff jetzt die olle Intelkiste aus der Ecke gekramst (Fedora und mal geschaut, auch wenn ich nicht der Linux Freund bin komm ich doch schnell dazu das ich für die Freigaben nach einem Passwort gefragt werde. :-/



    Christian

    Zitat von "d3ltr0n"

    Vielen Dank für eure schnellen Antworten. Leider ist mein Problem damit noch nicht gelöst.


    Das ist schlecht, bohren wir mal weiter....


    Zitat von "d3ltr0n"

    Ich melde mich nämlich bei Linux nicht mit einem Benutzernamen an, der auch als Account auf dem NAS existiert. Darüber hinaus sehe ich auch im "System Connection Log", dass sich mein Computer im Linux-Betrieb als "guest" anmeldet. Das ist an sich ja noch nachvollziehbar, jedoch verstehe ich nicht, warum ich dann vollen Zugriff (d.h. lesen und schreiben!) auf sämtliche Ordner des NAS' habe. Es taucht einfach im "Network" auf und alle Ordner sind dort für mich sichtbar, obwohl der "guest"-Account ja nur "Public" sehen dürfte.


    Leider habe ich keine 109, vermute jedoch, dass sich dort unter der Verwaltung der Freigaben auch die Berechtigungen setzen bzw. ändern lassen.
    Schau doch dort bitte einmal welche Rechte die Benutzergruppe bzw. der Nutzer "Guest " hat. vielleicht ist dort "versehentlich" der Vollzugriff reingerutscht ;)


    Zitat von "d3ltr0n"

    Die Möglichkeit Benutzerkonten bei dem NAS zu erstellen ist mir auch bekannt und ich habe sie auch schon benutzt, nur scheinbar gelten die dort erstellten Regeln nicht für SAMBA, da jedenfalls der "guest" (wie oben erwähnt) nicht den dort eingestellten Beschränkungen unterliegt. Greife ich per FTP auf das NAS zu und melde mich als "guest" an, dann sehe ich auch nur den Ordner "Public", so wie ich es eben bei den Benutzerkonten eingestellt habe. Ubuntu greift jedoch automatisch via SAMBA auf das NAS zu und hat vollen Zugriff auf alle Ordner und Dateien.


    Wie gesagt ein Blick in die Zugriffskontrolle könnte hier weiterhelfen...


    Zitat von "d3ltr0n"

    Und da ich mich mit Linux und SAMBA nicht auskenne, ist meine Befürchtung dass jeder Benutzer im Netzwerk (oder schlimmer noch: auch Computer außerhalb des Netzwerks, z.B. Internet), der via SAMBA auf das NAS zugreift, uneingeschränkten Zugriff hat und so die Regeln der Benutzerkonten umgehen kann.


    Rein aus neugier gefragt, wohnst Du in einer WG oder hast Du Angst das Deine Liebe(n) Dateien finden, die sie nicht finden sollen :D ? Scherz beiseite, solange Du einen noch nicht geöffneten Router vor Deinem NAS hast, dürften Deine Daten nur im internen Netz publiziert werden.


    Grüße
    Jody

    Also, ich habe mich jetzt nochmal mit dem NAS beschäftigt und folgendes rausgefunden:


    Zunächst einmal war der Zugriff auf das NAS mittels Linux nicht ohne Passworteingabe möglich. Vielmehr hatte mein Vater sich kurz nach der Installation auf dem NAS angemeldet und das Passwort von Linux speichern lassen, so dass ich nie mehr danach gefragt wurde. Da Linux wirklich ganz neu auf diesem PC war, hatte ich diese Möglichkeit leider nicht in betracht gezogen. ;)


    Darüber hinaus hat mich das Log der TS-109 Pro in die Irre geführt, da es meinen Computer als "guest" speichert, solange ich nur Ordner geöffnet und nicht auf Dateien zugegriffen habe (siehe unterste Zeile im Bild unten).




    Sobald ich dann auf eine Datei zugegriffen habe, wurde auch der entsprechende Accountname im Log angezeigt, dem die entsprechenden Rechte eingeräumt wurden (siehe restliche Log-Einträge im Bild).


    Darüber hinaus waren tatsächlich bei einem Ordner die "guest"-Rechte zu weit gesetzt, so dass mein Computer auch beim Zugriff auf Dateien in diesem Ordner keine besondere Berechtigung brauchte und daher im Log als "guest" angezeigt wurde, was mich bei meiner Lösungssuche noch weiter vom rechten Weg abbrachte.


    Jetzt funktioniert jedenfalls alles so wie gewünscht. Danke nochmal an alle die mir heute hier geholfen haben. :thumb:



    Sorry für meine...naja, man muss leider wirklich schon Dummheit in dieser Angelegenheit sagen. Aber ich verweise zu meiner Verteidigung nochmal auf meine Unerfahrenheit bzgl. Linux und SAMBA. :roll:


    Danke und Grüße


    Jan