QTS 4.4.3.1439 build 20200925

    Da ist mir glatt das nächste Update vor die Füße gefallen...


    Zitat von QTS Release Notes

    Enhancements

    iSCSI and Fibre Channel
    • Added an infotip to explain the discrepancies between storage space sizes on the NAS and those on the LUN host.


    Fixed Issues

    • Storage & Snapshots could not correctly display the space usage of block-based thin LUNs.
    • Storage pools on the TR-004 would become abnormal after the NAS woke up from sleep.
    • QTS would not send notification messages via SNMP when users disconnected an Ethernet cable from the NAS.
    • Users could not perform a file system check for an unmapped file-based iSCSI LUN.
    • Users could not join the NAS to an Active Directory domain when the domain NetBIOS name contained special characters.
    • Syslog Server would constantly send error messages after the log file exceeded the allocated size.
    • General users could establish an SSH connection even without administrator privileges.
    • Storage & Snapshots would not display a device appearance graphic for the TS-932PX.
    • Guest users could not access shared folders where they were granted access permissions.
    • Users could not re-map an iSCSI LUN to another iSCSI target.
    • Camera channels purchased by users would constantly disappear from Surveillance Station.
    • Virtual disks would display an abnormal status after users disconnected iSCSI targets.
    • QTS could not correctly display the CPU temperature of the TS-h977XU.
    • Users could not upload files to a WebDAV server when choosing to skip duplicate files.

    Bleibt zu hoffen, dass die User dadurch nicht versehentlich mit Adminrechten rumdoktorn konnten...

    alle user die nicht admin sind... die Gruppe in der ein User ist kann ja heißen wie sie will, aber standardmäßig wäre das deren Gruppe.

    wenn die Gruppe everyone Zugriff hat, dann sind die Verzeichnisse für alle zugänglich? In der Standardeinstellung von Qnap sind da Zugriffsrechte. Sollte man besser unterbinden und die Haken in den Freigaben wegklicken oder?

    Aber die Lücke bestand für SSH. Ist bei mir eh aus, weil ich auch wg. mangelnder Bedienkenntnisse nur über das GUI gehe.

    Zitat von NASARC

    wenn die Gruppe everyone Zugriff hat, dann sind die Verzeichnisse für alle zugänglich?

    Das kann man so nicht pauschal sagen... wenn die Gruppe z.B. schreibberechtigt ist, dann ist die Freigabe erstmal für alle die dieser Gruppe angehören "zugänglich", korrekt.

    Du kannst aber parallel dazu auch user auschließen indem der Zugriff für einzelne User nur lesend gewährt oder ganz verweigert wird, auch wenn sich dieser user in der schreibberchtigten Gruppe befindet.

    Zitat von NASARC

    besser unterbinden und die Haken in den Freigaben wegklicken oder?

    wenn Du die User nicht explizit ausgeschlossen hast (z.B. durch Zugriffsverweigerung) und sie keinen Zugriff haben sollen, dann schon.

    Allerdings müssen die User, welche Zugriff haben sollen wiederum explizit eine Lese/ oder Schreibberechtigung erhalten.

    Ist glaube ich eher ein allgemeines Ding und nicht Linux spezifisch.


    Ich mache es hier nach dem Vorbild einer Firewall: deny everything

    Die Gruppe "everyone" hat bei mir nur Zugriffsverweigerungen. Jeder neue User der nicht als admin angelegt wird, landet in dieser Gruppe und hat damit erstmal gar keine Rechte. Diese bekommt er manuell und damit bewusst zugewiesen. Nachdem die Rechte gesetzt wurden, werden die Berechtigungen welche die Gruppe vorgibt übergangen, an Stellen wo es keine manuelle Änderung gab hat die Berechtigung aus der Gruppe weiterhin Bestand.

    Einmal editiert, zuletzt von tiermutter () aus folgendem Grund: Blödsinn gedacht und geschrieben...

    Komisch, mir gelingt das irgendwie nicht. Wenn ich in "everyone" den Zugriff für einen Ordner verweigere, dann kann ich das mit den Benutzerrechten nicht überschreiben (hat jedenfalls nicht die gewünschte Wirkung). Wenn ich jedoch nur Leserechte in der Gruppe erlaube, dann kann ich im Benutzer die Rechte immer noch auf Lesen/Schreiben erweitern.

    hast recht... hab das auch grad mal getestet und nochmal nachgeschaut: ich habe die Gruppe everyone gar nicht (wie ich dachte) in den Berechtigungen für die Freigaben drin... habe das oben mal angepasst ;)

    Filestation zeigt im "rwx"-Schema für Benutzer - Gruppe - Jeder. Jeder sind alle die sich Anmelden könnten und die heisst hier auf der Qnap "everyone". Da gibt es Parallelen zum Mac. Es gab dort auch mal die Gruppe "Andere" auf Deutsch eingestellt ist "Everyone" vermutlich "Jeder".

    Zitat von tiermutter

    Ist glaube ich eher ein allgemeines Ding und nicht Linux spezifisch.

    deshalb o.Ä.

    Zitat von NASARC

    Super und Danke - muss mir doch mal Linux für Dummies o.Ä. besorgen.

    also dann eher Unix für Dummies?

    Zitat von NASARC

    also dann eher Unix für Dummies?

    sieht ja so aus als könnten wir uns da zusammentun 8o


    BTW:

    Habe die FW mal auf einer 453A von 4.4.1 geupdatet... Installation erfolgreich und in den ersten 15min Betrieb auch noch keine Probleme...

    Zitat von tiermutter

    hast recht... hab das auch grad mal getestet und nochmal nachgeschaut: ich habe die Gruppe everyone gar nicht (wie ich dachte) in den Berechtigungen für die Freigaben drin... habe das oben mal angepasst

    Mir ist das mit den Benutzerrechten ohnehin noch nicht ganz klar. Ich habe in der Gruppe "everyone" für meine Freigabeordner alles auf RO gesetzt, heißt das

    jetzt dass man auch ohne definiertes Profil lesend darauf zugreifen kann oder braucht es einen Benutzer innerhalb der Gruppe ? Hoffentlich, sonst würde das mit der Rechtevergabe ja gar keinen Sinn machen.


    Mein lokales Konto unter Windows 10 heißt zufällig genau so wie das in den QTS-Einstellungen (allerdings anderes Passwort). Funktioniert nur deswegen überhaupt der Zugriff ?

    habe meine zwei TS-253A auf FW 4.4.3.11439 aktualisiert. Bisher keine Probleme. Allerdings laufen im Wesentlichen nur Qnap-Apps wie Qsync, HBS3 und keine VM. Ansonsten entsprechend den Empfehlungen u.A. vom Forum unnötige Dienste abgeschaltet und kein SSH, kein FTP, kein root-admin, kein DHCP ... .

    Erster Anlauf auf meinem Testsystem, einer 251+ von Vorgängerversion ist fehlgeschlagen. Beim Update über GUI bekam ich Fehlercode 999 (read write error oder so) und beim manuellen Versuch Fehlercode 3, file Format error.


    Versuche ich morgen nach nem Neustart nochmal...


    Zitat von Kubrick

    heißt das jetzt dass man auch ohne definiertes Profil lesend darauf zugreifen kann oder braucht es einen Benutzer innerhalb der Gruppe ? Hoffentlich, sonst würde das mit der Rechtevergabe ja gar keinen Sinn machen.


    Mein lokales Konto unter Windows 10 heißt zufällig genau so wie das in den QTS-Einstellungen (allerdings anderes Passwort). Funktioniert nur deswegen überhaupt der Zugriff ?

    Zu 1.:

    Nein, es ist ein User erforderlich. Für andere Fälle gibt es das gastzugriffsrecht, was nix mit Gruppen zu tun hat.

    Zu 2.:

    Ich habe die User am qnap bewusst mit Namen der user am PC angelegt. Es geht aber auch wenn der Name nicht übereinstimmt, dann nuss beim Zugriff (wie bei dir jetzt wohl auch) user und pw des nas eingegeben werden.


    Das Thema wäre aber eher etwas für eigenen thread ;)

    2 Mal editiert, zuletzt von tiermutter ()

    Auf zdnet.de steht ein Artikel, der aussagt, das man QTS aktualisieren soll wegen der aktuellen AGElocker Ransomware.

    Werde mal versuchen, die Firmware auf meinem TS-451+ Testsystem zu installieren, mal sehen ob ich mehr Glück als tiermutter habe.

    Zitat von tiermutter

    Zu 2.:

    Ich habe die User am qnap bewusst mit Namen der user am PC angelegt. Es geht aber auch wenn der Name nicht übereinstimmt, dann nuss beim Zugriff (wie bei dir jetzt wohl auch) user und pw des nas eingegeben werden.

    Das erstaunliche ist, ich muss bei der momentanen Konfiguration weder Benutzer noch Passwort in Windows eingeben ! Es scheint auszureichen, wenn der Benutzername in beiden Systemen übereinstimmt. Die Rechte (RO/RW) kann ich für jeden Ordner ganz normal vergeben. Nur als ich in "everyone" den Zugriff verweigert hatte, wollte Windows die Eingabe der Benutzerdaten. Ist wohl so eine weitere "Anormalität" bei den Benutzerrechten in QTS.


    Weitere Fragen werde ich dann in Zukunft allerdings in den passenden Thread stellen, gehört hier nicht her.