FTP-Server: bin ich zu bl*d?

  • Hallo,


    ich bin seit nun vielen Jahren zufriedener Benutzer eines QNAP TS 453 Pro NAS.


    Ich nutze dieses als Fileserver im heimischen Netz und als FTP-Server für Kunden.


    Ich lege da in der Benutzerverwaltung immer Benutzer ("Kunde 1", "Kunde 2" etc.) an und gewähre denen Zugriff auf das Verzeichnis "/public".


    In diesem Verzeichnis hinterlege ich Daten, die dann ALLE Kunden, die FTP-Zugang haben, downloaden können.


    So weit, so gut.


    Was/wie muss ich einstellen, wenn ich jetzt im Verzeichnis "/public" Unterverzeichnisse "Kunde 1", "Kunde 2" usw. anlegen und haben will, daß Kunde 1 NUR sein Verzeichnis "Kunde 1" sieht und downloaden kann, Kunde 2 NUR sein Verzeichnis "Kunde 2" sehen und downloaden kann etc. ?


    Irgendwas scheine ich da falsch zu machen. Ich gab bislang immer nur das Unterverzeichnis "Kunde 1" für Kunden 1, "Kunde 2" für Kunden 2 etc. frei. Die Kunden hatten dann aber keinen Zugriff mehr auf diese Verzeichnisse.

    Und eine Freigabe des übergeordneten Verzeichnisses "/public" verursachte, daß wieder alle alles sehen und downloaden können....


    Ich habe ein kleines Planungsbüro mit bis zu 10 teils gegenseitig konkurrierenden Kunden parallel, die jedoch nicht gegenseitig in den für den jeweiligen Kunden bestimmten Verzeichnissen herumschnüffeln sollen....


    Für Hilfe wäre ich dankbar!

  • Ich hoffe, das NAS steht bei Dir in der DMZ und ist nur für den Datenaustausch zuständig und nach außen offen. Oder ansonsten oder besser zusätzlich ist eine UTM im Einsatz, da Du geschäftlich unterwegs bist. Nur wegen der Sorgfaltspflicht und Haftbarkeit.


    Zum FTP Problem: Bin nicht sicher ob FTP dies so überhaupt kann. FTP hat nicht so eine komplexe Struktur für Berechtigungen und Zugriff wie SMB. FTP ist eher simple gestrickt, dazu alt, genau genommen veraltet. Für schützenswerte Kundendaten würde ich kein FTP mehr einsetzen.

  • Sehe ich so wie Mavalok2 .

    Als Workaround ginge folgendes:


    Erstelle eine neue Freigabe, z.B. FTP_ROOT. Dieser Ordner muss auch im FTP Server als root-Ordner eingetragen werden.

    Unterhalb dieses Ordners legst Du die Ordner Kunde1, Kunde2, ... an. Als Berechtigung erhält immer nur der jeweilige Kunde die RW Rechte (und der Admin ;)).

    Dann kann jeder Kunde nur in seinem Bereich arbeiten.

    Nachteil dabei:

    Je nach Client hat er nicht sofort Zugriff. Bei Win8 z.B. im Command Fenster FTP aufgerufen, als Kunde1 angemeldet, dann landet man im root Ordner (FTP_ROOT), ist aber praktisch "blind", d.h. weder pwd noch dir oder ls zeigen etwas an. Gibt man "cd Kunde1" ein, dann ist man im Ordner drin und kann arbeiten.

    Mit Filezilla ist es etwas anders, dort muss man direkt als Serverroot den entsprechenden Ordner eingeben, sonst wird die Verbindung abgelehnt.


    Ist also alles etwas "tricky". Wie gesagt, FTP ist dafür eigentlich nicht mehr geeeignet.


    Gruß

  • Ich danke Euch ganz herzlich für Euere Beiträge. Und, vor allem, für die Warnungen.


    Ich habe momentan ziemlich viel zu tun und konnte mich noch nicht um eine endgültige Lösund für mein eingangs geschildertes Problem kümmern.

    Habe aber letzte Woche durchgehend das NAS als FTP-Server im Internet gelassen.


    Gestern Abend beim Blick in die Systemprotokolle stellte ich doch etwas überrascht fest, daß jemand zig-fach mit verschiedensten Zugangsdaten versucht hatte, Zugang zum NAS zu bekommen. Defintiv KEINER von den Kunden!


    Ich habe das Thema Sicherheit bislang doch etwas unterschätzt......

  • Angesichts der letzten Malware (Ransomware) Attacken solltest Du das NAS schleunigst vom Internet aus nicht mehr erreichbar machen.

    Die Kunden werden das mit Hinweis auf die Sicherheit verstehen.


    Gruss

  • Ich empfehle dringend auch die Weiterleitungen vom Router auf das NAS bzw. die Firewall Regeln die hier öffnen zu deaktivieren. Ein deaktivierter Dienst ist nur die halbe Miete. ;)