ftp toegang blokkeren voor admin

[ramble]

Beste mensen,
I.v.m. geplande aanschaf DS214+ even een vraagje of een bepaald trucje dat ik op mijn oude DS107+ deed nog steeds kan op een nieuwe nas of dat dit tegenwoordig misschien standaard al is geregeld.

Het gaat erom dat ik ftp toegang voor de user admin wil blokkeren. Dit deed ik altijd op de DS107+ door de user admin toe te voegen in het bestand /etc/ftpusers. Dit omdat ik alleen bepaalde users ftp toegang wil geven en aangezien admin overal bij kan is het risico mij te groot dus vandaar geblokkeerd.
Echt ondersteund werd dit niet door Synology want bij elke firmware update moest ik dit weer opnieuw instellen.

Vraag 1)
Kan deze truc op deze of een andere wijze nog steeds op een nieuwe NAS.

Vraag 2)
Op de nieuwe NAS wil ik ook met VPN verbindingen gaan werken. Ook hiervoor geldt dat ik dit alleen aan bepaalde users wil toestaan. Dus ook hier mag de user admin straks niet kunnen VPN'nen. Is dit op de een of andere manier te blokkeren of zit dat standaard al ingebakken.

b.v.d. voor reacties.

Grt Ramble

[Wyodor]

Wat je wil is dat je de deur achter je dicht trekt en de sleutels binnen laat liggen.

Een admin kan overal bij. Dat is de essentie van die funktie.

Okay, dan blokkeer je admin toegang via FTP.

Dan heb je altijd nog toegang via WebDAV (indien ingeschakeld). Of log je in op de DSM en gebruik je FileStation.

En wie is de admin? Jezelf? Dus je bent bang dat je iets ziet van anderen?

Oplossing is simpel : niet kijken.

En nu kom je in het forum vragen hoe je dat moet voorkomen.

[Hutje]

Dit omdat ik alleen bepaalde users ftp toegang wil geven en aangezien admin overal bij kan is het risico mij te groot dus vandaar geblokkeerd.

Je gaat toch geen users FTP toegang verlenen met ADMIN gegevens mag ik hopen ??
Die geef je dan toch gewoon eigen account (=dus via FTP inloggen met eigen account)
Dus geen last van ADMIN bevoegdheden !

[Hofstede]

Het beste kun je zelf een ander admin account aanmaken (dus met admin privileges maar met een andere naam dan 'admin') en dan het admin account uitschakelen. Dan voorkom je in ieder geval dat iemand met het account admin je NAS van extern kan benaderen.

[ramble]

Dit omdat ik alleen bepaalde users ftp toegang wil geven en aangezien admin overal bij kan is het risico mij te groot dus vandaar geblokkeerd.

Je gaat toch geen users FTP toegang verlenen met ADMIN gegevens mag ik hopen ??
Die geef je dan toch gewoon eigen account (=dus via FTP inloggen met eigen account)
Dus geen last van ADMIN bevoegdheden !

Nee, inderdaad dat wil ik niet maar op de DS107+ kon de admin onmogelijk uitgesloten worden van ftp dus vandaar de truck die ik moest uithalen. De vraag is dan ook zoals ik de topic begon of dat tegenwoordig op de nieuwe nassen beter is geregeld. Op de oude DS107+ in elk geval niet.

[Hutje]

De vraag is dan ook zoals ik de topic begon of dat tegenwoordig op de nieuwe nassen beter is geregeld. Op de oude DS107+ in elk geval niet.

Nee.
In DSM 5.1 x is het nog steeds zo dat ADMIN overal (normaal) bij kan.
(Heeft m.i.z. niets te maken met oude of nieuwe NAS, maar met DSM)

[Ben(V)]

Lijkt me volkomen nutteloos om admin de toegang via ftp te verbieden.
Admin mag alles dus kan dat verbieden gewoon weer ongedaan maken.

[Birdy]

Op zich ben ik het eens dat het wat vreemde vragen zijn maar, toch maar beantwoorden:

Vraag 1)
Kan deze truc op deze of een andere wijze nog steeds op een nieuwe NAS.

Die truc kan nog steeds worden toegepast.
Ik dacht een andere wijze, via Configuratiescherm > Rechten > FTP maar, dat blijkt niet te werken, admin kan zichzelf hiervoor niet uitschakelen en via een gebruiker met admin rechten niet en ook niet als admin is uitgeschakeld (en daarna weer activeren).

Vraag 2)
Op de nieuwe NAS wil ik ook met VPN verbindingen gaan werken. Ook hiervoor geldt dat ik dit alleen aan bepaalde users wil toestaan. Dus ook hier mag de user admin straks niet kunnen VPN'nen. Is dit op de een of andere manier te blokkeren of zit dat standaard al ingebakken.

Je kunt gewoon aangeven in de VPN Server wie VPN rechten hebben: