Wie anderes Konto als Admin Konto deklarieren?

  • Du legst einen neuen User an oder nimmst einen bestehenden und steckst diesen über den Button "Benutzergruppen" in die Gruppe "Administratoren".

    Damit dann auch volle SSH Rechte drin sind muss man den User scheinbar noch in die sudoers Liste eintragen.

    Wenn das NAS nur über LAN erreichbar ist würde ich keinen User dafür anlegen und die Meldung ignorieren oder abstellen wenn das möglich ist. Für mich ist das unter entsprechenden Umständen völliger Quatsch mit dieser Meldung.

  • Aus Sicherheitssicht bringt es Nullkommagarnichts das Standard-Administratorkonto "admin" zu deaktivieren und ein anderes Administratorkonto zu verwenden. Und ob ein anderes Administratorkonto nun "root" oder "Administrator" heißt ist allenfalls security by obscurity und damit per se hinfällig. Keine Ahnung was sich QNEP dabei gedacht hat.

    Daher sollte man hier eher den Support fragen wie man diese überflüssige Fehlermeldung wieder wegbekommt, denn im LAN macht das schon zweimal keinen Sinn.

  • Moin,

    Aus Sicherheitssicht bringt es Nullkommagarnichts

    sehr überzeugend deine Argumentation. Alle die in dein System wollen werden sich freuen. Ganz einfache und für jeden umsetzbare Sicherheitvorkehrungen an einem Computer sind a) arbeite NIE als administrator/root wenn es nicht unbedingt notwendig ist und b) verwende wann immer es geht sudo/doas oder als systemadminstrator ausführen wenn die Aufgabe so zu erledigen ist.

    Natürlich ist es umständlich erst wieder admin zu aktivieren, dann denke ich vieleicht daran das NAS vom Internet zu nehmen. Und wenn ich dann fertig bin das selbe rückwärts. Einfach und effektiv in meinen Augen.

    Gruß

  • Was spricht dagegen den Standard Admin mit ordentlichem PW zu verwenden wenn das Gerät nur über LAN erreichbar ist?

    Die Meldung würde durchaus Sinn machen, wenn "ständig" über SMB, FTP oder sonstwie auf die Shares zugegriffen wird, aber so lange man das Konto nur für administrative Arbeiten in der GUI/SSH verwendet....

  • Was spricht dagegen den Standard Admin mit ordentlichem PW zu verwenden wenn das Gerät nur über LAN erreichbar ist?

    Die generelle Abschottung von LAN zu WAN ist eigentlich ein veraltetes Konzept. ;)

  • Aus Sicherheitssicht bringt es Nullkommagarnichts das Standard-Administratorkonto "admin" zu deaktivieren

    Wenn man wie viele Benutzer Benutzername und Passwort auf einem Zettel herumliegen lässt oder auf sein Handy klebt definitiv. Dann kann man sich das sparen.

    Bei einer Man-in-the-Middle Attacke wird dies vermutlich ebenso zutreffen, vor allem wenn man den neuen Admin auch noch zum Super-User gemacht hat.


    Bei einem direkten Angriffen auf das "admin" Konto wird das Deaktivieren, je nach Angriff schon etwas bringen. Wie und was genau, dafür bin ich zuwenig Tief in der Materie drinnen. Aber ich denke mir, QNAP hat sich sicher dabei etwas gedacht, vermutlich aber in erster Linie für den durchschnittlichen Benutzer eines NAS, der meist SSH ja nicht verwenden wird.


    Die sicherere Variante dürfte wohl sein über das Internet ein Benutzer ohne administrativen Rechte zu verwenden und den "admin" zu deaktivieren und nur bei Bedarf zu aktivieren. Aber meine Meinung zur Verwendung über das Internet ohne VPN dürfte bekannt sein.

    Die generelle Abschottung von LAN zu WAN ist eigentlich ein veraltetes Konzept. ;)

    Bin schon aufgestanden, aber das verstehe ich jetzt nicht. ???

  • christian & arnulf

    ! Bitte wenn schon dann auch vollständig zitieren, und mein Zitat so verkürzen, daß die Aussage aus dem Zusammenhang gerissen wird !

    Und dir Antwort auf das "Warum" findet sich gleich im folgenden Satz meines ursprünglichen Postings.


    Sicher ist nur das Administratorkonto "admin" (und auch alle anderen mit root-Rechten) ersatzlos zu deaktivieren und damit ein Login aus dem WAN unterbinden.


    Was spricht dagegen den Standard Admin mit ordentlichem PW zu verwenden wenn das Gerät nur über LAN erreichbar ist?

    Rein gar nichts. Und selbst mit einem mittelprächtigen PW im SOHO Bereich wäre das absolut in Ordnung. wenn das Gerät nur über LAN erreichbar ist.



    Die sicherere Variante dürfte wohl sein über das Internet ein Benutzer ohne administrativen Rechte zu verwenden und den "admin" zu deaktivieren und nur bei Bedarf zu aktivieren.

    genau so ist es.



    Bei einem direkten Angriffen auf das "admin" Konto wird das Deaktivieren, je nach Angriff schon etwas bringen.

    Nicht wirklich, sondern nur wen das Gerät auch sonst ganz lausig konfiguriert ist und beliebig viele Login-Versuche zuläßt, also so wie in der Grundeinstellung bei QNAP. Dann könnte man zumindest das "admin" Konto nicht per brute-force knacken.


    Mit einem vernünftigen max-try und einer ausreichenden Totzeit, die sich nach jedem Fehlversuch verdoppelt, kann man diese Angriffe so weit ausbremsen daß es sich für einen Angreifer mit endlicher Zeit nicht lohnt. Siehe Fritzbox.

    4 Mal editiert, zuletzt von eol37 ()

  • Moin,

    ! Bitte wenn schon dann auch vollständig zitieren, und nicht das Zitat nicht so verkürzen, daß die Aussage aus dem Zusammenhang gerissen wird !

    vieleicht solltest du dir überlegen ob die Art und die Sprache deiner Kommentare dem Thema entsprechen.

    Gruß

  • Nicht wirklich, sondern nur wen das Gerät auch sonst ganz lausig konfiguriert ist und beliebig viele Login-Versuche zuläßt,

    Genau das dürfte unter anderem das Problem sein, dass das NAS bei vielen Benutzern einfach unzureichend konfiguriert wurde. Die meisten machen sich die Mühe und informieren sich, wie sie das NAS offen ins Internet kriegen. Wie dies sicher geht - nachdem es funktioniert - ist den meisten wohl eher egal, nach dem Prinzip: Dafür wird der Hersteller schon sorgen, ansonsten würde er es ja nicht verkaufen.

    Mit dem Security Counselor hat QNAP ja dem Benutzer ein Tool an die Hand gegeben. Sicher nicht perfekt, aber zumindest mal ein Anfang. Mangelndes Wissen kann dieser leider auch nicht ersetzen.

  • Solange alle Apps etc. im Root-Kontext laufen, ist die Deaktivierung des admin wirkungslos. Ein Angreifer, der eine Sicherheitslücke in den Apps ausnutzt hat dann ebenfalls Root-Rechte.

    Die Meldung, den admin zu deaktivieren, ist also dahingehend Augenwischerei, dass sich die User dann sicher wähnen und ihre NAS wieder ins WAN stellen.

    Die Angreifer freuen sich dann wieder über die vielen Hintertürchen Sicherheitslücken, durch die sie schlüpfen können.

  • Für mich macht das schon einen Unterschied. Wenn ich weiß welches System ich angreife und den root User kenne ist das schon die halbe Miete. Muss ich aber erst herausfinden, dass der Admin nicht mehr admin heisst sondern Hanspampel ist das für eine Verbesserung im Hinblick auf die Sicherheit.

  • Es scheint also durchaus Gesprächsbedarf zu bestehen und dementsprechend Meinungsverschiedebheiten.

    Klar, dass QNAP nach dem letzten Angriff die für alle "sichere" Variante wählt.

    Aber mich als jemanden der sich darum nicht scheren muss, nervt es einfach.


    Mit allen Mitteln wird versucht ein Werbeversprechen sicherer zu gestalten.

    Und dieses Versprechen muss aufrecht erhalten werden, denn die Konkurrenz tut es auch, nur scheint sich kein Bösewicht dafür zu interessieren.


    Ich kenne meine gesamte Konfig, von WAN über FW bis über LAN zum NAS. Mich interessiert der Dreck (die Meldungen) nicht, und ich würde ihn gerne abstellen können statt jedesmal damit belästigt zu werden.

  • Ich kenne meine gesamte Konfig, von WAN über FW bis über LAN zum NAS. Mich interessiert der Dreck (die Meldungen) nicht, und ich würde ihn gerne abstellen können statt jedesmal damit belästigt zu werden.

    Geht mir auf der Autobahn auch immer so. ;) Aber mit gehangen mit gefangen.

  • Vielleicht sollte QNAP mal das BTS-Design und sie „APPs“ so ändern, dass der User kein root erhalten kann und auch keins benötigt?

  • Entschuldigung, dass ich mal n altes Thema aufwärme, aber: Wenn ich das richtig verstehe, ist, wenn der Admin nicht mehr zuverlässig Admin heißt, es einfach schwerer ein System zu hacken, weil man einen Faktor mehr erraten oder ausprobieren muss? Wäre es dann nicht totaaaaaaal praktisch, wenn man den User Admin einfach umbenennen könnte?

  • Wenn ich das richtig verstehe, ist, wenn der Admin nicht mehr zuverlässig Admin heißt, es einfach schwerer ein System zu hacken

    In einigen Fällen, die Nutzerseitig gar nicht eingerichtet werden sollten, trifft das zu.

    In einigen dieser Fälle hilft das aber auch nichts.

    In allen anderen Fällen abseits der genannten (gemeinten) trifft das sehr wenig bis gar nicht zu.

    Wäre es dann nicht totaaaaaaal praktisch, wenn man den User Admin einfach umbenennen könnte?

    Das wird einem ja auferlegt, nur ist die Umsetzung der Rechte (meinen Beobachtungen nach) noch nicht gänzlich gelungen (kernelabhängig). Francesco2017 hatte gerade erst das Problem, dass eine Freigabe auf ext. HDD nicht für den "geänderten" Admin zugänglich ist, sondern nur für den Admin (Kernel 4.2.8; von 4.14.24 hat zumindest noch niemand von dem Problem berichtet und auch ich habe auf Testsystemen mit unterschiedlichen Kerneln unterschiedliche Rechte mit dem "neuen" Admin erfahren dürfen).


    Die Empfehlung "mach mal" ist daher aus meiner Sicht viel zu übereifrig. Man erhält sowas wie einen Sub-Admin. Ist halt doof wenn man selber der Admin ist oder sein will/ muss.

    :cursing:

  • aber man muss ja einen neuen Benutzer anlegen, ihm Privilegien zuteilen und dann den originalen Admin deaktivieren. Ich meine wörtlich "umbenennen". Oder ist die Software nicht so clever, dass das problemloser ginge, als jedem Dienst und jeder Datei zu sagen wem sie jetzt gehören?


    edit: ich scheue mich nicht nur, weil schon andere bei der Aktion Probleme erfuhren, sondern weil ich schon ohne wirkliche Änderungen bei jedem 2. Update meiner NASe neue Probleme habe. Mein Vertrauen in Qnap sinkt leider in ernstzunehmendem Tempo, Ich musste als dummer Heim-User schon so tief in Details gehen, dass ich darüber phantasierte, ein offenes System auf neutraler Hardware aufzubauen, anstatt dauernd um Bugs und Beschränkungen herum zu arbeiten. Und die vielen Monate, um eine blöde SSL-Lücke zu schließen sind mir auch noch in Erinnerung. Ja, ich bin nachtragend und sehr oft sehr angefressen.