Hoe toegang admin beperken?

[Roesko]

Hallo,

Wij hebben onlangs een DS214play aangeschaft. Deze willen we met meerdere gebruikers delen. Nu kan je eenvoudig instellen dat elke gebruiker zijn eigen Cloud Station heeft een geen toegang heeft tot folders van anderen.

Echter, de admin kan bij mij nog steeds zichzelf toegang geven tot alle folders van alle gebruikers.
Kan bereiken dat een gebruiker prive-folders zodanig kan configureren dat deze zelfs voor een admin niet leesbaar zijn?

vr.gr.
Roesko

[Briolet]

Het enige wat je kunt instellen is dat je als Admin, niet de homes folder ziet. Dan zie je alleen je eigen home folder.

Maar dat is een schijnoplossing omdat je als admin deze restrictie ten allen tijde weer uit kunt zetten. Het enige wat werkt is er een encrypted container op te zetten en daar alle files in op te slaan. Vanuit de mac zou ik er b.v. een encrypted diskimage op kunnen zetten en daar alles in opslaan.

Dat moet je dan niet in cloudstation doen omdat die de container als 1 file ziet en dan bij elke kleine verandering die hele container ververst.

[Birdy]

Er moet er toch 1 zijn die alles kan/mag ?
En dat is admin, die heeft beheer (alle) rechten.
Wat als er iets mis gaat ? Meestal moet admin dit kunnen herstellen als beheerder.

[Roesko]

Er moet er toch 1 zijn die alles kan/mag ?
En dat is admin, die heeft beheer (alle) rechten.
Wat als er iets mis gaat ? Meestal moet admin dit kunnen herstellen als beheerder.

Ik begrijp dat een admin zaken moet kunnen beheren. Echter, het zou qua privacy prettig zijn als dat zou kunnen zonder de inhoud van een folder te kunnen bekijken. Of dat je daar op z'n minst de credentials van de betreffende gebruikers voor zou moeten invoeren. Dan is het iets waar je een bewuste actie voor moet doen en gedwongen wordt de betreffende gebruiker daarbij te betrekken.

Wordt zoiets geheel niet ondersteund op een of andere manier?
Uiteraard kan ik vragen van mijn gebruikers om mij als admin hierin te vertrouwen (zullen ze ook wel doen), maar geef liever de garantie dat de privacy technisch is dichtgetimmerd.

Ik zal ook nog eens kijken naar audit logging. In ons geval ken ik en nog iemand de admin credentials. Mogelijk kan je elkaar met logging aantonen dat je jezelf geen (tijdelijke) rechten hebt toegekend aan gebruikersfolders?

vr.gr.
Roesko

[Briolet]

Ik zal ook nog eens kijken naar audit logging. In ons geval ken ik en nog iemand de admin credentials. Mogelijk kan je elkaar met logging aantonen dat je jezelf geen (tijdelijke) rechten hebt toegekend aan gebruikersfolders?

Zal lastig zijn. Ik had de leesrechten voor homes van mijn eigen account uitgezet om de andere home folders niet te laten zien. Als enige administrator was dat natuurlijk voldoende. Ik heb nu de rechten voor mij weer aangezet en doorvoor in de plaats de rechten voor de gehele administrator groep uit gezet.

Dat is beter en ik zie nog steeds mijn eigen home folder en de rest niet. Maar geen enkele vermelding hiervan in het log.

[JaHo]

Maak een nieuwe gebruiker aan die dezelfde rechten heeft als de admin. Maak wel een andere gebruikersnaam aan. Vink daarna de admin uit.
De meeste aanvallen via ftp komen via admin of administrator. Dat is mijn ervaring in de geblokkeerde ip-adressen.

Kortom: altijd de admin gebruiker uitschakelen en op deze manier een nieuwe account aanmaken wel met de adminrechten.