Vollwertigen Admin-Konto Ersatz

    Wünscht Ihr euch auch einen vollwertigen Ersatz für das Standard-Admin Konto? 32

    1. Bleibt auf dem Teppich, es ist ein NAS, da braucht man den Admin eh fast nie. (0) 0%
    2. Sicherheitstechnisch fände ich es eleganter auf ein Standardkonto mit dem Namen Admin zu verzichten. (25) 78%
    3. Es stört mich schon ewig. (5) 16%
    4. Es lässt sich umgehen also ist es nicht so wichtig. (2) 6%
    5. Was macht ein standard-benanntes Konto denn für Probleme? (0) 0%
    6. Wie jetzt, ich kann mehrere Konten erstellen? Wo ging das gleich nochmal? (0) 0%

    Es ist nur ein kleines Sicherheits-Feature aber ich möchte eigentlich kein standard-benanntes Konto auf meinen Systemen haben.


    Warum?

    Es ist einen permanente Komponente und da wir ja wissen, dass die Software immer nur so gut ist wie ihre Programmierer, haben wir auch immer ausnutzbare Lücken.

    Stellen wir jetzt noch einen User, der auf (fast) jedem Gerät aktiv ist, so wird einen Angriffsroutine doch schon deutlich einfacher.

    Gleichzeitig wirkt es immer ein bisschen übertrieben, wenn man sich bei einem Heimnetzwerk mit beschränkten Geräten als "Administrator" bezeichnet.


    Durch das Erstellen eines eigenen Admin-Kontos mit abweichendem Namen und dem zeitweise deaktivieren des Standard-Kontos lässt sich das zwar bewerkstelligen, aber...

    Leider lässt uns QNAP hier keine wirkliche Wahl. Für einige Vorgänge wie SSH und laut Mavalok2 auch für die Ersteinrichtung des Qcenters ist das Standard-Konto unerlässlich. Ich meine mich zu erinnern, dass bei der Erstellung der VM auch das Administratorkonto notwendig war und ich habe bestimmt viele Punkte vergessen, die dies auch notwendig machen.


    Wenn man schon die Erstellung eines Administratorkontos erlaubt, so würde ich um ein umfassende Anpassung der Regeln bitten.

    Solltet Ihr das ähnlich sehen oder mir auf die Sprünge helfen wollen, weil ich da etwas falsch verstanden habe, so würde ich mich über eine Mitteilung freuen.

    Auf der Konsole ist tatsächlich für das Meiste der User "admin" erforderlich. Ob die Ersteinrichtung des Q'Centers auch ohne "admin" gehen würde habe ich jedoch nicht ausprobiert. Da der erste Benutzer unter aktueller Q'Center Version jedoch "admin" ist, und unter älterer Version der einzige Benutzer, ist es jedoch naheliegend, dass es nicht ohne "admin" geht.

    Mavalok2 Ich wollte dich hier nicht vorschieben aber ich hatte deinen Beitrag gerade gelesen und mal wieder ein bisschen Frust mit den kleinen Steinchen im IT-Weg.


    Wenn du möchtest ändere ich den Text oben gerne ab.

    Die Konsole ist die eine Sache, hier könnte man, wie alle debian-basierenden Distributionen, mit sudoers arbeiten.

    Wie sich das in ein embedded Linux umsetzen lässt, keine Ahnung.

    Den admin, root, Administrator wird es immer geben.

    Der für mich größte Knackpunkt an der der Sicherheit der QNAPS ist, dass jeder Dienst, jede App mit admin-Rechten läuft.

    Warum können die das nicht so machen wie bei Synology ?

    Bei Ersteinrichtung des NAS wird nach einem Benutzer gefragt. Dieser ist dann der Admin. Der eigentliche Admin und das Gastkonto sind in der Benutzersteuerung deaktiviert.

    Jagnix ICh habe leider keine Synology da, ist der selbsterstellte Admin vollwertig? Also lässt sich mit Ihm dann alles verwalten oder muss man für bestimmte Sachen auch das Admin-Konto reaktivieren?

  • Pfeiffer

    Hat den Titel des Themas von „Vollwerigen Admin-Konto Ersatz“ zu „Vollwertigen Admin-Konto Ersatz“ geändert.

    Ich bin wie Jagnix auch zweigleisig unterwegs.

    Ich habe -auf der Syno- bisher in meinem Nutzungsszenario noch nie den "eingebauten Admin" gebraucht.

    Hier genauso. Muss allerdings sagen, dass ich mit der Syno nicht so Sachen anstelle wie mit der QNAP. Nicht das Syno dies nicht könnte, aber bei mir ist die Syno ein produktives System und die TS-328 ein Testgerät. Kleiner aber wichtiger Unterschied. ;)

    Ich kann mich rednag und Mavalok2 nur anschließen Pfeiffer . Egal

    was ich mit dem Teil gemacht habe, der eigentliche Admin des Systems wurde nicht benötigt.


    Vielleicht sieht das Design von QTS einen frei wählbaren Admin gar nicht vor.

    Aber das kann uns nur Qnap verraten. :)

    Aber wenn das Design ist, könnte man es auch wieder ändern.

    Es ist vermutlich aber nicht leicht, weil alles auf den User aufbaut.

    Ich habe in der QNAP den lokalen User "admin" einfach deaktiviert und einen neuen Mitglied der Gruppe Administratoren angelegt. Wenn der User wirklich mal gebraucht werden sollte, kurz halt aktivieren.

    Ist halt doof das man nicht mit dem neuen Admin per SSH auf NAS zugreifen kann. Wenn man auf der schnelle mal mit WinSCP was Prüfen möchte. Wenn man den Gäste-Account über die Benutzersteuerung komplett deaktivieren könnte wäre auch schön. :)

    Ja, damit ist der nicht vollwertige admin-Ersatz für mich auf meinen Produktiv-Systemen weitestgehend zu verschmerzen. Ich habe auf meinem TS-653A als Haupt-NAS nur vor knapp einem Jahr mal den admin wieder aktivierne müssen, als ich das BIOS aktualisert habe. Alles andere geht auch mit dem Ersatz-Admin.

    Danke UdoA . Gleich mal testen ob dann ein ein gesichertes rsync zwischen Syno und Qnap machen kann :)


    Edit:

    Leider klappt das nicht UdoA . Für SFTP wird bei Qnap der richtige Admin benötigt.

    Einmal editiert, zuletzt von Jagnix () aus folgendem Grund: Edit eingefügt.

    Schade, aber zumindest ssh funktioniert so einigermaßen.


    Edit: Ich habe gerade mal mittels putty einen sftp Transfer unter dem alternativen Admin initiiert, das geht.

    Einmal editiert, zuletzt von UdoA ()

    Leider nicht von Syno -> Qnap. Da klappt es nur wenn ich als Rsync-User im Qnap den richtigen Admin eintrage. Lustigerweise sagt das Log, das der neue Adminaccount sich erfolgreich am SSH angemeldet hat.

    Kann er ja auch aber die Berechtigung für das Rsync ist wohl dem original vorbehalten.


    Es ist halt eben kein wirklicher Admin.

    Zitat von frosch2

    Der für mich größte Knackpunkt an der der Sicherheit der QNAPS ist, dass jeder Dienst, jede App mit admin-Rechten läuft.

    Das ist ein Punkt, über den ich mich auch immer wundere. Bei dem Multimediaserver kann man das ja ändern, aber sonst scheint wirklich alles, egal ob gebraucht oder nicht, im Admin Kontext zu laufen. Da ist der Flurschaden natürlich immens, sobald irgendeine der Anwendungen ein Loch hat, was ausgenutzt werden kann.