Bij externe inloggen van admin de bevoegdheden (bijv. verwijderen) uitschakelen

[skinnyvodka]

Ik heb een vraag over het beperken van de bevoegdheden van de  admin wanneer deze via internet de NAS benaderd. Ik zou graag willen dat bij extern gebruik er geen bestanden verwijderd enz. kunnen worden. Dit zal ik toch niet gebruiken en bied naar mijn idee een extra bescherming.

Ik heb op verschillende plekken gezocht maar heb het tot nu toe nog niet kunnen vinden.

[Hofstede]

Je kunt admin niet beperken, alleen uitschakelen.

Het is uit beveiligingsoogpunt sowieso verstandig om zelf een andere gebruiker als administrator te definieren en het standaard admin account uit te schakelen.
Wat je daarna kunt doen is een extra gebruiker op je NAS aanmaken. Die gebruiker geef je vervolgens als enige rechten voor de zaken waarvoor je externe toegang tot de NAS wilt (bijvoorbeeld voor VPN, PhotoStation etc.).

[skinnyvodka]

Hofstede bedankt voor je reactie. Ik had de Admin inderdaad al uitgeschakeld en een andere gebruiker al zijn rechten gegeven. Maar ik kan deze nieuwe (admin) met al zijn rechten toch niet alleen voor intern gebruik instellen?Want dan zou een tweede gebruiker voor extern gebruik uitkomst bieden en mijn vraag opgelost zijn.

[Hofstede]

Dat hangt af van welk extern gebruik je precies bedoeld.

Als je het over het inloggen op DSM hebt, dat staat dus bij mij niet open naar het internet. Van extern is bij mij DSM niet rechtstreeks te benaderen.

Ik heb een gebruiker aangemaakt die alleen rechten heeft om op VPN in te loggen. De gebruiker heeft geen toegangsrechten tot bijvoorbeeld shares, PhotoStation etc. en is ook geen administrator. Het administrator account heeft geen rechten om op VPN in te loggen.

Als ik remote op DSM wil inloggen dan bouw ik eerst via VPN een verbinding op naar mijn thuisnetwerk met het VPN account. Via die VPN verbinding kan ik dan weer inloggen op DSM met mijn administrator account.

[skinnyvodka]

Hofstede bedankt voor je snelle reacties. Ik gebruik voor de externe toegang de apps DS downloads, foto's en video en zou die dus graag extern blijven gebruiken. Als ik het goed begrijp is het beter als ik de gebruiker met admin niet alle rechten te geven en een andere gebruiker instellen als extern "contact". Ik ga eens kijken of me dat lukt.

[skinnyvodka]

Even voor de zekerheid checken of ik het goed heb gedaan.

Ik heb nu 2 gebruikers

gebruiker A
gebruikersgroep: administrator en users
Machtigingen: voor alles lezen en schrijven
Toepassingen: geen

Gebruiker B
gebruikersgroep: http
Machtigingen: lezen bij muziek, foto en film en lezen/schrijven bij downloads
Toepassingen: alles aan

Verder heb ik bij externe toegangen / routerconfiguratie de volgende poorten open gezet:
BT
Video station
Webstation, photo station, webmail (HTTP en HTTPS)

Ik heb het idee dat gebruiker B dus alleen wat kan zien en de downloadmap kan aanpassen en gebruiker A alleen te gebruiken is intern.

Alvast bedankt