Synology-Forum.nl
Firmware => Synology DSM 6.2 => Topic gestart door: hvanbenthem op 11 juni 2018, 10:19:04
-
Hallo
Heb de upgrade naar 6.2 doorgevoerd. Sindsdien krijg ik van de Security Advisor de melding "het verificatie bestand bevat abnormale gebruikers". Heb natuurlijk gecontroleerd of er "abnormale" gebruikers zijn opgevoerd, maar dat is niet het geval.
Kan iemand mij hierin verder helpen om van het probleem af te komen?
Bedankt al vast
Groet Henk
-
Je hebt packages draaien die niet geschikt gemaakt zijn voor DSM 6 (en hoger).
Die packages hebben zelf (meestal met behulp van busybox) gebruikers aangemaakt en die staan dus niet in de Synology gebruikers database.
Dat meld hij dus met ingang van DSM 6.2
-
Ben, Bedankt voor je reactie.
Ik heb, volgens mij een aantal synology packages draaien, waarvan regelmatig een update komt die dan uitvoer. Heb je een idee hoe ik erachter kom welke package de boosdoener kan zijn?
-
Ja dat zijn de packages die nog geen update gehad hebben om ze aan DSM 6 aan te passen.
Gewoon afwachten tot die komen, er zijn een hoop packages die gedaan moeten worden, dus veel werk en de SynoCommunity heeft 2 jaar lang praktisch zonder mensen gezeten.
Het kan ook weinig kwaad, die gebruikers waren er in het verleden ook, alleen de security adviser zei er niets over.
-
Hier zelf nog geen 6.2 draaien, ook nog niet zichtbaar op mijn NAS en ben niet gehaast.
Maar dat is zeker wel een mooie toevoeging.
@hvanbenthem, staat in die melding dan niet over welke gebruikers het gaat?
-
Dat wordt vermeld, maar ik kan het niet relateren aan een bepaald package
-
Als je ze even hier noemt zal dat wel gaan lukken denk ik.
Tenzij je natuurlijk echt gehacked bent.
-
De gebruiker sabnzbd wordt gemeld.
-
En zou dat niet met het package SABnzbd te maken kunnen hebben?
-
Ja, dat klinkt logisch. Maar dat package is niet geïnstalleerd.
-
Dan is het ooit geinstalleerd geweest en weer verwijderd.
Veel packages (inclusief die van Synology) nemen niet de moeite die users te verwijderen bij de-installatie.
Waarschijnlijk kun je ze dan het beste met de hand verwijderen.
Even winscp opstarten en in de bestanden /etc/passwd en /etc/shadow de regel met die naam erin verwijderen.
-
In de beta fase is hier ook al over gerapporteerd (https://www.synology-forum.nl/synology-dsm-5-1-beta/verificatiebestand/msg238780/#msg238780), met commentaar van Synology zelf:
-
Bedankt, ik ga het proberen
-
Gelukt!. Abnormale user verwijderd. Bedankt
-
Hallo iedereen,
Sinds vandaag heb ik deze waarschuwing ook. Iemand enig idee hoe je juist een user verwijderd via Putty?
Zou de user nzbget willen verwijderen
-
Yes hier ook zelfde probleem, sinds dit weekend krijg ik de meldingen op autosub-bootstrapbill en sickbeard
Negeer ze voor nu totdat de apps geupdated zijn :)
-
Zowel autosub-bootstrapbill als sickbeard zullen geen updates meer krijgen dus dan kun je lang wachten.
De eerste is vervangen door autosub en kun je hier downloaden:
https://github.com/BenjV/SYNO-packages/raw/master/AutoSub%20DSM5%20noarch.spk
En voor de tweede kun je het beste overgaan op sickbeard-custom van de Synocommunity.
-
Gebruik al Sickbeard custom en heb Autosub en Sickbeard verwijderd.
Beide users zullen dus 'oude' users zijn dan?
Zal ze zodoende maar verwijderen via winscp dan :)
-
Ja gewoon uit de /etc/passwd en de /etc/shadow halen met winscp.
-
heb beide users uit beide genoemde files verwijderd, maar krijg nog steeds dezelfde melding van security advisor.
Ook na een reboot van de NAS blijft de melding terugkomen bij een herscan?
EDIT, nogmaals ingelogd met WinSCP en beide namen zijn weer terug?
-
ALs je het volgende commando geeft in putty:
find /etc -type f -exec grep -l sickbeard {} +
Dan vind je alle bestanden waar (in dit geval) sickbeard in staat.
Het zijn backup en configuratie bestanden die DSM gebruikt.
Je zou daar met winscp overal de user sickbeard uit kunnen halen.
Ik heb dit niet getest dus op eigen risico.
-
ok, ben weer een stapje verder...
Ik heb normaal mijn admin account uitgeschakeld en gebruik mijn eigen account (user123 bijvoorbeeld) tbv veiligheid.
Ik schakel de admin account enkel in als ik WinSCP of iets dergelijks gebruik.
Zolang ik de admin account actief heb, blijft de melding weg, zodra ik de admin account weer uitschakel, komt de melding direct terug.
Hoe moet ik de sudoers config aanpassen als ik ook met mijn eigen account wijzigingen via WinSCP wil doen?
dit staat er nu in; admin ALL = NOPASSWD: ALL
-
Regel toevoegen:
<user123 bijvoorbeeld> ALL = NOPASSWD: ALL
-
ALs je het volgende commando geeft in putty:
find /etc -type f -exec grep -l sickbeard {} +
Dan vind je alle bestanden waar (in dit geval) sickbeard in staat.
Het zijn backup en configuratie bestanden die DSM gebruikt.
Je zou daar met winscp overal de user sickbeard uit kunnen halen.
Ik heb dit niet getest dus op eigen risico.
bedankt hiervoor, ga dit ook eens proberen, wellicht dat de user ergens anders vandaan steeds weer toegevoegd wordt.
-
Fout blijft helaas terug komen, ook als ik de wijziging met mijn eigen account doe en de admin account uitschakel.
Vooralsnog zal ik maar even de admin account ingeschakeld laten en heb er een sterker wachtwoord voor gekozen.
Zal de methode via Putty zoals aangegeven door BenV ook eens proberen als ik vanavond weer thuis ben, wie weet wat er nog naar boven komt.