Nach letztem Firmware-Update kein Gastzugriff (Guest Access) auf Freigaben mehr

  • Aber was ist so schwer daran eine Gruppe zu erstellen, die auf eine Freigabe zu berechtigen und dann User zu erstellen.

    das muss er doch gar nicht ... "admin" ist doch schon angelegt und ein Password gibt es doch auch schon dafür.


    Sry für die Äußerung, aber ich konnte mir das nicht verkneifen.


    VG

    Friis

  • Aber was ist so schwer daran eine Gruppe zu erstellen, die auf eine Freigabe zu berechtigen und dann User zu erstellen.


    1.) Es gibt Clients, die beherrschen die Anmeldung an einen SMB-Share mit Benutzer/Passwort nicht. Jene benötigen zwingend den Gast- (Anonymous-) Zugang.


    2.) War das hier die Frage? Oder nicht eher die, was QNAP da mit dem letzten Firmware-Update veranstaltet hat, auf daß der Gastzugang nicht mehr erreichbar sei? Wem bewusst ist, welches Scheunentor er mit dem Gastzugang aufreisst, sollte dies auf eigenes Risiko wie bisher machen können/dürfen und nicht von einem Firmware-Update bemuttert werden!

  • Ja solche Clients gibt es. Das sind i.d.R. aber keine Windows Systeme sondern Drucker/Scanner/Faxe, CAMs oder andere IoT Systeme.

    bei den Scannern konnte ich das lösen, weil die außer SMB auch noch (S)FTP unterstützten, da sogar mit User/Passwort. Evtl ist das ja ein Ansatz für Dich.

    Sansonsten bliebe nur noch eine VM mit nem Samba3 aufzusetzen, die die Daten entgegen nimmt und lokal auf der QNAP speichert.

  • Wem bewusst ist, welches Scheunentor er mit dem Gastzugang aufreisst,


    Ist dir das denn bewusst ?

    Sind das nur deine Daten die darauf liegen ?

    Wenn dein NAS wegen sowas zum Teil eines BOT-Netzes wird, gefährdest du damit auch andere.

  • Ja solche Clients gibt es. Das sind i.d.R. aber keine Windows Systeme sondern Drucker/Scanner/Faxe, CAMs oder andere IoT Systeme.

    Wer spricht denn hier von (ausschließlich) Windows? Das Ding ist ein NAS und steht dem ganzen Netz aus unterschiedlichsten Clients für unterschiedliche Zwecke zur Verfügung.


    Aber danke für den Hinweis auf einen Scanner; daran dachte ich noch gar nicht: Der EPSON WF 7610 dürfte jetzt auch Dank QNAPs "Bemutterung"(?) am Scannen in eine QNAP-Freigabe gehindert sein. Und jeder, der sich die Scans abholen will, müsse sich nun an einer NAS-Freigabe anmelden?


    Jagnix:


    Was mag seit dem "Vernageln" (Ob absichtlich oder aufgrund eines Bugs in der neuesten Firmware, welche die Freigabe des Gastzugangs per Webinterface nicht mehr ermöglicht, sei dahingestellt) im Vergleich zu den

    letzten geschätzt 8 Jahren "Gastbetrieb" gefährlicher geworden sein? Warum ist ein Synology - oder diverse Linux-Gastfreigaben - im gleichen Netz ungefährlicher?


    Nee: IMNSHO ist das einfach ein Bug in der neuesten Firmware. Da ist bei QNAP ein Sicherheitspatchler etwas übers Ziel hinausgeschossen.


    Derweil behelfe ich mich mit dem Patch aus dem englischen QNAP-Forum und warte und hoffe auf Korrektur im nächsten Firmware-Update.

  • Warum ist ein Synology - oder diverse Linux-Gastfreigaben - im gleichen Netz ungefährlicher?


    Behauptet wer ?


    Aber aus der Antwort schließe ich das dir die Gefahr nicht bewusst ist.

  • Naja, Gefahr eher Risiko, wenn's im LAN bleibt finde ich es vertretbar.


    nulobez

    Poste bitte mal deine smb.conf!

    Kannst gerne Benutzernamen usw. schwärzen.

  • Bei uns im Betrieb gibts für jeden Drucker einen Funktionsuser mit dem er auf einen Ordner darf um Scans ablegen zu können und nur auf diesen Ordner.


    Das gehört zum Sicherheitskonzept dazu.


    Aber so rennt Locky und Co. wenn doch mal rein gekommen, nicht gleich durch das ganze SAN.


    Schaut euch mal "What the Fax?!" an, dann überdenkt ihr euren Gast Vollzugriff vielleicht ja mal.

    Dann noch schön SMB 1.0 ohne Patch und dann kann es richtig los gehen.


    Aber dann nicht rumheulen, mein NAS, mein Backup alles ist verschlüsselt, helft mir.


    @nulobez

    Das ist kein Bug sondern ein Fix einer nicht gerade kleinen Sicherheitslücke.


    Für Linux gibts doch NFS, schon mal versucht die Kisten darüber an das NAS zu hängen?

  • Behauptet wer ?


    Aber aus der Antwort schließe ich das dir die Gefahr nicht bewusst ist.


    Nachdem es jahrelang aus QNAPs Sicht (und bei Synolgy immer noch) zumindest als so ungefährlich eingestuft wurde (ist), daß man den Gastzugang problemlos auf eigene Gefahr und Risiko einrichten kann, muss ja wohl neuerdings eine Gefahr herrschen, die vorher so nicht existierte :-p


    Zudem frage ich mich, was diese "Das ist gefährlich !!!1elf" Moralapostelei soll. Erinnert mich irgendwie an die "Das ist aber verboten !!!1elf"-Rufe in manchen Funktechnik-Foren, wenn dort die Frage nach technischen(!) Empfangmöglichkeiten aufkommt. Also lieber wieder zurück zum Thema:


    Ich habe gerade Mail von QNAP bekommen, daß der "böse und ach so gefährlche" Gastzugang bald wohl wieder konfigurierbar sein wird:

    Zitat von QNAP Support

    Hallo Hr. ***** ,

    der Fehler wurde bestätigt und gelöst, in der Firmware 4.3.6.0993 wird es wieder wie gewohnt funktionieren.

    Danke für Ihre Hilfe unsere Produkte zu verbessern

  • Ich habe gerade Mail von QNAP bekommen, daß der "böse und ach so gefährlche" Gastzugang bald wohl wieder konfigurierbar sein wird:
    ...

    Dann sei froh.


    Wir alle wollten dich ja nur darauf hinweisen, dass du so etwas sein lassen solltest.

    Sry für unser Sicherheitsverständnis, dass dir so auf die Eier zu gehen scheint.


    Wir meinen es alle nur gut und wollen dich auf die Gefahren hinweisen. Nimm es an oder lass es sein! Deine Daten!


    Komm aber nicht irgendwann angelaufen das geht alles nicht ich komm nicht mehr an meine Daten.


    HF und ein schönes WE

    Friis

  • (und bei Synolgy immer noch) zumindest als so ungefährlich eingestuft wurde (ist),


    Wäre mir neu. Quelle ?

    Vorallem da der Gastzugang standardmäßig deaktiviert ist in der Synology.

  • Wir alle wollten dich ja nur darauf hinweisen, dass du so etwas sein lassen solltest.

    Naja, da finde ich einige Äußerungen im Thread schon grenzwertig und wider der allgemeinen Umgangsformen.

    Man muss nicht alles ins Lächerliche treiben oder ironische Kommentare abgeben.


    Betrachten wir mal das Sicherheitsrisiko in Richtung Verschlüssellungs-Trojana:

    Die Einbruchsstelle waren Windows-PCs.

    Der Windows-PC war zu diesem Zeitpunkt mit dem SAMBA-Share verbunden und hat sein Unwesen getrieben.

    Wo ist hier der Unterschied zwischen Gastzugang und per User und Passwort, verbunden ist verbunden?

  • Ich finde es immer wieder lustig wie man Features die in der falschen Anwendung tatsächlich zumindest problematisch sind einfach deaktiviert. So etwas kenne ich sonst nur von der Firma aus Redmond ;P.


    Dass ein Gastzugang tatsächlich ein Problem darstellt, ist er denn im Netz ohne weitere Absicherung erreichbar ist wohl jedem klar, aber wenn deswegen bestimmte Sicherungsscripte auf einmal ins Leere laufen find ich weniger lustig. Und ja der Gastzugang ist bei mir nur aus einem geschlossenen Netzwerk ohne Internetzugang erreichbar (Updates werden manuell eingespielt) und nur auf bestimmte IP's beschränkt :).


    Bitte liebe Qnapler lasst solche Scherze künftig :D.

  • Sicher gibt es das auch bei Linux aber da kannst du es immer umgehen und zur Not selber mal den Code ändern. :P


    Bei MS sind solche Scherze bei jedem zweiten Update und das ist bei Linux weit seltener. Aber lassen wa das, es hat mit dem Thema hier nichts zu tun.

  • Poste bitte mal deine smb.conf!


    Wäre mir neu. Quelle ?

    Vorallem da der Gastzugang standardmäßig deaktiviert ist in der Synology.


    Welche:


    Jene, die mit dem letzten Firmwareupdate ein zwangsweises, unveränderbares "invalid users = guest" verpasst bekam oder jene nach dem "smb.sh"-Patch aus dem englischen QNAP-Forum? :-p

  • Das ist keine Antwort auf meine Frage nach der Quelle.

    Wo hat Synology geschrieben das der Gastzugang ungefährlich ist ?

  • Ich hatte hier dasselbe Problem wie nulobez auf einer TS-212 und habe 3 Tage nach der Problemursache und einer Lösung gesucht...

    Nach Firmware-Ugrade auf 4.3.3.0967 build 20190629 ging über Windows-Netzwerk/Samba kein Anonymous-Zugang auf Ordner mit Gast-Vollzugriffsrechten mehr.


    Als Workaround hier meine Lösung:


    in smb.conf (per ssh/vi geändert):


    dann smb reload... hier:

    /usr/local/samba/bin/smbcontrol all reload-config


    den user admin muss es natürlich geben. möge es anderen helfen. ;)


    und jetzt bitte keine flames bzgl. reaktorsicherheit und so. mein NAS liegt unsichtbar hinter ner firewall und erlaubt grundsätzlich nur zugriffe aus dem lokalen netz. muss man nicht sicher finden, aber mir reicht's.

  • Wofür braucht man den Guest Account ?

    Weiter oben hatten wir erwähnt, dass einige Scanner es brauchen, Dokumentenmanagementsysteme ebenso.

    Ich sehe da keine Sinn drin.

    Deshalb muss es ja nicht gleich entbehrlich sein. ;)


    Und bitte daran denken, SMB ist zwar ein Netzwerkprotokoll, aber nicht für Freigaben über das WAN gedacht.