Hallo Jürgen,
In der Tat führt der TS die Berechtigungen für CIFS (Windows/Samba) und ftp global. Denkbar wäre es, die /mnt/HDA_ROOT/.config/proftp.conf Date anzupassen, die wird allerdings automatisch und stillschweigend wieder überschrieben.
-Kurt.
Hallo Kurt,
das ist recht schade. Denk mal das wäre recht einfach zu machen gewesen von QNAP. Es ist mir nur ein bisschen zu gefährlich, die ganze Platte mit meinen privaten Daten via FTP freizugeben. Ich hatte mal einen Server von Raidsonic, glaub der konnte das für jede Benutzergruppe einzeln festlegen (wenn ich mich nicht täusche). Wäre auf jedenfall ne wünschenswerte Neuerung für ein Firmewareupgrade 
Hallo!
Das gleiche Problem habe ich auch. Ich möchte nicht das Risko eingehen, dass andere Netzwerksegmente über FTP erreichbar sind. Es wäre daher ein großes Plus, wenn man die erlaubten User für den FTP-Zugriff selbst bestimmen könnte. Vielleicht bekommt man das über einen Firmwarupdate hin.
Einen schönen Gruß,
Klaus
Gerade bin ich beim Einrichten einer TS-209 Pro auf dasselbe Problem gestoßen: Angedacht war eigentlich, den FTP-Zugriff für bestimmte Benutzer (die per Netzwerk-Share Zugriff auf die sensibleren Daten haben sollen) zu sperren.
In den config-Dateien möchte ich im Moment nichts ändern - einen Workaround hab ich trotzdem:
* Unicode-Unterstützung für den FTP-Server abschalten
* Allen Benutzern, die KEINEN FTP-Zugriff haben sollen, einen Umlaut ins Kennwort einbauen (funktioniert natürlich nur im kleinen Rahmen, wenn nicht vorgesehen ist, dass Benutzer ihre PW selbst ändern).
Absolut simpel - oder gibts hier einen Denkfehler?
Gruß
oneiroid
Hallo Zusammen,
hatte das Problem auch auf meinem 209proII und habe eigentlich folgende recht einfache Lösung gefunden. Man muß lediglich die proftpd.conf und passwd anpassen und dann den ftp-server über konsole neu starten. Das sieht dann - bitte ensprechend an eigene Bedürfnisse anpassen - wie folgt aus:
Über Sftp und als admin (ich mache dies mit Hilfe vom SpeedCommander) auf den Qnap einloggen und ins Verzeichnis /etc/config wechseln. Hier liegen die dateien passwd und proftpd.conf.
proftpd.conf: Folgende Zeile abändern: "DefaultRoot /share" in "DefaultRoot ~"
Damit werden die einzelen ftpuser in Ihrem Heimat-Verzeichnis "gefangen" und können keine anderen Verzeichnisse sehen und darin wechseln.
In der passwd Datei sollten wie folgt die Heimat-Verzeichnisse der ftpuser eingetragen werden (siehe Eintrag ftpuser und ftpuser2):
guest:x:65534:65534:guest:/tmp:/bin/sh
ftpuser:x:502:100:Linux User,,,:/share/ftpuser:/bin/sh
ftpuser2:x:503:100:Linux User,,,:/share/ftpuser2:/bin/shDer ftpuser z.B. wird nun in seinem Verzeichnis "/share/ftpuser" gefangen. Wobei das Verzeichnis "ftpuser" eine auf der Qnap erstellte Freigabe für den ftpuser ist.
Wenn dies alles geschehen ist muß man den ftp-server über Konsole (z.B. putty) mit folgenden Befehl die neue proftpd.conf einlesen lassen.
/etc/init.d/ftp.sh reconfig
Dann sollte alles so funktionieren wie beschrieben.
Bitte bachten beim Neustart des ftp-Servers oder der ganzen Nas werden wieder die ursprünglichen Konfigurations-Dateien eingelesen, so daß die proftpd.conf wieder neu im obigen Verzeichnis einkopiert werden muß und neu eingelesen werde muß.
Ich hoffe hiermit geholfen zu haben.
Gruß,
amster
Hallo
Ist dieses "Problem" immer noch vorhanden?
Ich stehe mit meiner neuen TS-210 vor dem gleichen Thema.
Will nur bestimmten Usern den Zugriff auf jeweils eigene Verzeichnisse erlauben.
Der admin soll z.B. keinen Zugriff erhalten (ist mir zu gefährlich)
Habe den Port 21 schonmal auf einen andern gewechselt um wenigsten etwas "versteckter" zu sein.
Gruss
Die gewünschte Funktion gibt es so nicht. 
Christian
Hallo Christian
Gibt es ev. die Möglichkeit ein anderes FTP Programm laufen zu lassen.
Die Lösung von amster finde ich etwas umständlich und dann nach jedem Neustart nochmals zu machen ist auch nicht Toll.
Schade dass ich dies nicht vor dem Kauf gewusst habe, sonst hatte ich mich genauer umgeschaut.
Gruss
Hi,
auch bei mir (TS-210) hat sich große Ernüchterung breit gemacht. FTP ist so praktisch nicht zu gebrauchen, WebDAV taugt nur bedingt als Ersatz. Dazu kommt, daß die Datensicherung auf eine externe Festplatte ebenfalls nicht klappt (hier im Forum auch schon diskutiert). Aus diesem Grund werde ich auf Wandlung hinarbeiten. Sehr schade ....
Edi
Ich würde die FTP-Zugänge grundsätzlich getrennt von den lokal angelegten Usern verwalten.
Entweder mit einem einzigen FTP-Zugangs Account der an jeden raus gegeben wird der FTP Zugang benötigt und diesen eben für die benötigten Bereiche freischalten,
oder wenn jeder User einen eigenen exklusiven FTP Bereich benötigt jedem auch einen eigenen FTP-Account einrichten.
Dies bringt vor allem bei wechselnden Zugangsrechten mehr Sicherheit und verhindert dass man später vergisst Rechte korrekt zu ändern.
Das verteilen der Rechte und Zugänge nach Anwendung zu organisieren anstatt nach Benutzer ist wesentlich übersichtlicher und verhindert dass ein Login über zu viele Zugänge verfügt. Auch eventuelle Sicherheitsbrüche sind auf diese Weise leichter nachzuvollziehen und kann verhindern dass man nach einem unautorisierten Zugriff alles platt machen und komplett neu aufsetzen muss in der rechte Verwaltung.
Lokale und externe Zugänge in den selben Login zu verlegen ist sehr unsicher.
Hallo Complicated
So was ähnliches möchte ich ja auch machen.
Das heisst: 3 Usern den Zugriff auf jeweils eigene Ornder erlauben und sonst gar nicht's per FTP Freigeben.
Leider finde ich nicht heraus wie das gehen soll.
Schon der admin selber hat ja vollen Zugriff über FTP, ich kann höchstens "Nur Schreibzugang bei FTP-Verbindung aktivieren" einschalten.
Für mich heisst das aber, dass der admin über FTP dennoch vollen Lesezugriff auf alle Daten hat. :x
Hast Du Tipps wie das gehen könnte?
gruss
Nachtrag:
Habe mal den Tip mit den Umlauten (äöü) verwendet, das geht.
Lokal kann ich mich so noch einlogen aber über FTP gehts nicht mehr, habe 2 Programme getestet (IE+LeechFTP).
Wie sicher ist dass denn?
Vielmehr würde ich einfach einen neuen User einrichten und den z.B. "FTPuser" nennen - diesem nur FTP-Zugriff gewähren auf den Bereich der von aussen für alle zugänglich sein soll. z.B. eine Freigabe "FTP-Files".
Jeder der dort zugreifen will kann den selben Login nutzen: FTPUser wenn von aussen zugegriffen wird.
Hallo Complicated
Das ist ja das was ich will nur eben mit 3 User.
Leider ist bei Qnap aber folgendes Problem:
Zitat:
Konfiguration der Nutzer- und Ordnerzugriffsrechte
Das FTP-Zugriffsrecht auf Turbo NAS ist mit den Ordnerzugriffsrechten der gemeinsamen Netzwerkordner, die unter 'Zugriffsrechtverwaltung' konfiguriert wurden, konsistent. Nach der Konfiguration des Benutzer-/Gruppenkontos und der Ordnerzugriffsrechte können Sie sich daher mit dem gleichen Benutzernamen und Passwort am FTP-Server von Turbo NAS anmelden.
Zitat Ende:
Dass heisst: Wenn ich Lokal einem User Rechte gebe auf bestimmte Ordner Zuzugreifen, kann er dies auch per FTP tun.
admin hat vollen FTP Zugriff auf alle Dateien.
Ist das denn bei Deinem Qnap anders oder bin ich zu doof es so einzustellen?
Hi Complicated,
genau das geht eben bei den komischen Kisten nicht. Gibt man ftp frei, dann haben alle User nicht nur LAN-Zugang sondern auch vollen ftp-Zugang, und zwar mit den im LAN verwendeten Anmeldungen. Und wer möchte schon zuhause im LAN hochsichere Passwörter verwenden ... ?
Gruß
Edi
siehe auch hier: http://forum.qnapclub.de/viewtopic.php?f=35&t=8241
Unter Startseite->Zugriffskontrolle->Freigabordner und "Eigenschaft" kann man z.B. das lesen des Ordners unterbinden:
Haken bei "nur Schreibzugang bei FTP-Verbindung aktivieren"
Dann kann jeder User nur Daten hoch laden, wenn dieses Szenario gebraucht wird. Zudem ist es möglich dort Ordner zu verstecken, so dass sie gar nicht sichtbar sind mit "Netzlaufwerk verbergen"
Das in Kombination mit den Einstellungen unter Startseite->Zugriffskontrolle->Benutzer "Private Netzwerkfreigabe" sollte eigentlich alles ermöglichen was man einstellen möchte.
Ich verstehe nicht so ganz worin der Sinn sein sollte Usern über FTP den Zugriff auf einen Ordner zu verweigern den er wiederum im LAN lokal hat. Wenn man bestimmte Ordner für einen User nicht zugänglich machen will, dann muss man lediglich allen ausser dem berechtigten den Zugriff verweigern. Das funktioniert mit jedem Freigabeordner und hat immer Vorrang vor allen anderen Einstellungen.
Hallo
Habe das noch nicht getestet ist auf den ersten Blick nicht schlecht, aber der admin hat denoch vollen (lesen+schreib) FTP-Zugriff auf alles.
Ich möchte aber dass der admin nur lokal Zugriff hat, bei den PC-Basierten Programmen ist dies ja kein Problem.
Von Extern nur bestimmte Benutzer mit eingeschränkten Rechten.
Der Sinn am Ganzen soll eigentlich sein, dass ich den Qnap als Speicher für Backup + Daten + gemeinsahme Zugriffe wollte, mit der
Möglichkeit ausgewählte Ornder Freunden zugänglich zu machen zwecks Datenaustausch.
Backups wollte ich autom. erstellen lassen um nicht jedesmal die USB Disk an jeden PC's anschliessen zu müssen.
Dass die Freunde nicht auf Private Fotos und Dokumente Zugriff haben sollten leuchtet ein, desshalb der FTP Zugriff nur ausgewählt. (FTP Daten)
Das Problem ist nun noch dass der admin vollen Zugriff sowohl lokal wie extern hat und ich nun nicht weiss ob ich die sensiblen Daten (PC-Backups, Steuererklärung, Briefverkehr, E-Mails usw.) so einfach auf das NAS speichern sollte.
Habe im Moment folgende Einstellungen:
admin (Passwort mit Umlaut (ä) somit kein Zugriff über FTP)
User 1 (Private Freigabe + Public) + (Passwort mit Umlaut (ä) somit kein Zugriff über FTP)
User 2 (Private Freigabe + Public) + (Passwort mit Umlaut (ä) somit kein Zugriff über FTP)
FTPadmin (Ornder FTPDaten ohne Public) + (Passwort ohne Umlaut somit Zugriff über FTP)
FTPUser1 (Private Freigabe im Ornder FTPDaten ohne Public) + (Passwort ohne Umlaut somit Zugriff über FTP)
FTPUser2 (Private Freigabe im Ornder FTPDaten ohne Public) + (Passwort ohne Umlaut somit Zugriff über FTP)
FTPUser3 (Private Freigabe im Ornder FTPDaten ohne Public) + (Passwort ohne Umlaut somit Zugriff über FTP)
Da die User 1+2 nicht gleich den Usern auf den PC's sind (User+Pass) mache ich die Netzlaufwerkeinbindung via "neu use" Autostart Datei.
Ja ich weiss dass so die Passwörter im Klartext ersichtlich sind, ich bin aber Lokal desshalb für mich Problemloser als der FTP-Zugriff von aussen.
Zudem habe ich meine Odnerstuktur im Public Ornder aufgebaut, ob dies so gut ist oder besser ein anderer Ort genommen wird lasse ich mich
gerne belehren.
Habe aber immer noch ein mulmiges Gefühl den FTP einzuschalten, bin scheinbar auch nicht alleine mit dieser Meinung.
Hier sollte Qnap wirklich mal nachbesseren der Tread ist schon im 2008 eröffnet worden.
Gruss
Also wenn du wichtige Daten wie Steuererklärung auf dem NAS hast solltest du dich von dem Gedanken verabschieden diesen über FTP erreichbar zu machen.
Zum Datenaustausch mit Freunden musst du nicht jeden als Benutzer anlegen, sondern lediglich
Hi Complicated
Danke für Deine Geduld mit mir.
Wenn ich es so mache wie Du vorgeschlagen hats, kann der admin von extern immer noch auf alles zugreifen ausser den FTP-Ordner = nicht gut
Wie wärs wenn ich statt den 3 FTP Freigaben diese über WebDav mache?
So wie ich es sehe, kann ich dort jedem User Zugriff erlauben oder nicht, so hat auch der admin keinen Zugriff von aussen.
Ist WebDav (ohne SSH) etwas sicherer als FTP?
Zitat von "yemmi"
Wenn ich es so mache wie Du vorgeschlagen hats, kann der admin von extern immer noch auf alles zugreifen ausser den FTP-Ordner = nicht gut
Wenn du das wirksam verhindern willst musst du einen völlig anderen Ansatz wählen. Du kannst das NAS nicht direkt ans Internet hängen und dem Admin den Zugriff entziehen.
Vielmehr solltest du eine VPN Lösung auf dem Router wählen, wo die Logins in dein Netzwerk nichts mit den Accounts auf dem NAS zu tun haben.
Beispiel anhand von AVM Fritzbox Routern wie z.B. der Fritzbox 7270:
http://www.avm.de/de/Service/S…rtal/index.php?portal=VPN
http://www.avm.de/de/Service/S…einsteiger.php?portal=VPN
Man kann zwar OpenVPN auch auf dem NAS installieren und nutzen, doch ich persönlich halte mehr davon die Zugangssicherheit in mein LAN dem Router zu überlassen. Damit hast du auch kein admin Konto mehr direkt von aussen erreichbar.