wachtwoord vergeten

[Ben(V)]

Bij mij klopt er nooit iemand aan de poort van mijn Nas.
Blijkbaar doe je iets niet goed.
Misschien beter om die portforwarding uit te zetten en gewoon een VPN te gebruiken?
De prioriteit van beveiliging is namelijk je netwerk en de Nas en alle ander devices komen pas op de tweede plaats.

En alles wat de Nas onder water moet doen als root heeft het admin account nodig, want dat is het enige account dat door DSM root privs gegeven wil worden.

[Briolet]

Er is één setting binnen FotoStation die alleen met het Admin account zelf gedaan kan worden.Ten tijde van DSM 3.2 waren er meer functies binnen PhotoStation die Admin nodig hadden.

Ik denk echter dat dit een bug is en als je dit meldt, Synology dit ook in PhotoStation zal aanpassen.

Verder ken ik het alleen van 3th party apps, maar dat is gewoon een bug in de app zelf. Luiheid van de programmeur om het niet aan de Synology richtlijn aan te passen. (Kijken naar het account 'admin' i.p.v. kijken naar lid van groep 'administrators')

[Hofstede]

Ik heb alles dicht staan. Maar ik zie in mijn firewall dat er aangeklopt wordt. Ze scannen gewoon alles en proberen binnen te komen op alle bekende poorten.

Er zijn genoeg mensen die wel alles open hebben staan naar internet. Zelfs de DSM interface wordt gewoon toegankelijk gemaakt vanuit internet omdat het zo makkelijk is. En als het standaard admin account niet uit staat maak je het voor hackers wel heel erg gemakkelijk.
Ik heb hier in mijn werk al talloze voorbeelden van gezien, mensen negeren gewoon de meest eenvoudige veiligheidsmaatregelen en denken dat het allemaal wel niet zo'n vaart zal lopen. Tot het te laat is.

Vanuit mijn administrator account kan ik probleemloos naar root access. Daar heb ik het admin account niet voor nodig. Misschien was dat een tekortkoming van de oudere DSM versies waarin Synology hun zaken niet op orde had.

Voorbeeldje (met uiteraard usernaam verwijderd):

login as: xxx
xxx@DS1813's password:
Could not chdir to home directory /var/services/homes/xxx: No such file or directory
xxx@DS1813:/$ sudo su
Password:
ash-4.3#

[Ben(V)]

Als jij een firewall van je NAS bedoelt dan heb je dus poorten geforward anders kan dat niet.

Als je een andere firewall bedoelt(bijvoorbeeld van je router) dan is dat natuurlijk niet waarschijnlijk, want dan zouden ze met de naam admin en random passwords alle mogelijke ipadressen moeten scannen die achter die NAT zouden kunnen zitten en dat lijkt me samen met een wachtwoord dat onbekend is toch een beetje te veel van de mogelijkheden van een portscanner te vergen.

En het gaat niet om oude DSM versies maar juist om de nieuwste versies, doordat  Synology steeds meer security inbouwt in de nieuwere versies en het gaat al helemaal niet om wat je op de command line doet.

Om maar een voorbeeld te geven je kunt in Photo Station de wijziging van het gebruik naar de Photo Station user in plaats van de DSM user alleen met het admin account doen en niet met een ander account.

[Briolet]

Een misschien nog riskanter account is het "test" account. In het log van mailserver zie ik regelmatig dat met het account "test" probeert. Dat is typisch een account dat even een simpel wachtwoord als '1234" of 'test" krijgt en dan vergeten wordt om weer te deactiveren.

Voor mailserver is een account met user rechten vaak voldoende voor hackers want men zoekt een account om spam mee te gaan versturen.

[Hofstede]

Nee, ik heb een hardware firewall die al het verkeer dat van WAN zijde komt scant voordat het door NAT gaat. Het verkeer wordt ook gescand op malware aanvallen. En je ziet gewoon dat ze proberen alle bekende poorten met bekende gebruiker/wachtwoord combinaties te scannen. En de bekende poorten van Synology (zoals 5000) zitten daar ook bij.

Zoals ik al eerder aangaf: In de nieuwe DSM versies staat admin default uitgeschakeld. En hebben ze er voor gezorgd dat je ook in de command line het admin account niet nodig hebt. Dus ook Synology ziet het belang van het uitschakelen van het default admin account in.

Zoals @Briolet al aangaf: Dat PhotoStation voorbeeld is waarschijnlijk gewoon een bug in PhotoStation. En misschien zijn er nog wel enkele andere uitzonderingen te vinden. Maar veel zijn het er niet. En indien nodig schakel je admin even tijdelijk in om het te wijzigen.

Hoe dan ook, in de huidige IT wereld staat er vanuit Cyber Security oogpunt zo ongeveer de doodstraf op het gebruik van standaard admin en root accounts. Het is zo'n beetje het eerste waar ze naar kijken als ze een beveiligingscheck op je IT structuur doen en als een dergelijk account gevonden wordt dan kun je goedkeuring van je installatie vergeten.

Het kan zijn dat jij het uitschakelen van het admin account onzin vindt, maar de moderne IT wereld denkt er duidelijk anders over.