Synology-Forum.nl
Overige software => FTP, NFS and Samba Server => Topic gestart door: guzzio63 op 15 juni 2011, 22:32:01
-
Ik heb sinds kort de DS211 draaien. Ben nieuw met Linux, maar heb toch de ssh server aan de praat gekregen. Ik heb alleen een rechten probleem. Nadat ik enkele gebruikers heb aangemaakt en de rechten heb toegewezen blijkt dat ik via ssh inlog op de NAS alle mappen kan zien. Via het netwerk gaat het wel goed en kan ik gebruiker "vriend" alleen naar bv de home-map en de movie-map laten kijken, maar als ik via bv FileZilla extern inlog ziet "vriend" alles, inclusief alle system mappen van de NAS.
Tbv externe inlog heb ik de /etc/passwd aangepast (/sbin/nologin/ -> /bin/ash) voor gebruiker "vriend" en in /etc/ssh/sshd_config toegevoegd AllowUsers vriend en AllowUsers *@192.168.1.*.
Hoe kan ik dit oplossen?
-
SSH is niet bedoeld voor het aanmaken van gebruikers en toekennen van rechten (al kan het wel). Via de DSM kun je dat sneller en beter regelen. Per gebruiker / groep kun je per 'service' zoals Filestation, Webdav of FTP de rechten instellen.
SSH is wel leuk als je je Synology wilt gaan verrijken met nieuwe functionaliteit. Zie daarvoor: http://wizjos.endofinternet.net/synology/
-
Gelukkig is synology niet zo flauw geweest het systeem dicht te timmeren maar kun je met ssh er via de "achterkant" bij. Ssh service kun je gemakkelijk via de configuratie aan en uit zetten.
ssh is inderdaad alleen bedoel voor de beheerder, en die zit dan ook alles en kan overal bij, wees voorzichtig welke bestanden je aanpast en maak altijd eerst een kopie.
-
ok dat is duidelijk. Ik had juist uit diverse berichten begrepen dat ssh de meest veilige manier was om van buitenaf op de server te komen. FTP is te open en heb ik daarom dicht gezet.
Nu uitzoeken of de andere opties aan de praat gebracht kunnen worden.
-
...Ik had juist uit diverse berichten begrepen dat ssh de meest veilige manier was om van buitenaf op de server te komen. ...
Klopt, maar dat dit de veiligste manier is om het te doen, betekent nog niet dat je het dan ook daadwerkelijk moet doen.
Ook al is (naar verluid) de trein de veiligste manier van reizen, dan neem je nog steeds alleen de trein als je van A naar B wil... Thuisblijven is (normaal gesproken :wink:) nog steeds veiliger dan reizen per trein.
Zie ook: http://www.synology-forum.nl/viewtopic.php?f=46&t=5703&p=25151#msg25151
Als je bijv. niet perse je DS management remote hoeft te kunnnen doen, houdt die poorten dan gewoon dicht.
En voor de services die je extern beschikbaar wil of moet hebben en die niet voor vreemde ogen bestemd zijn: gebruik dan bij voorkeur een SSL connectie, bijv. HTTPS.
Plerry