Failed to log in via user account "admin". Source IP: 35.237.97.10

[nicolam]

Io per tagliar corto ho impostato 5 accessi in 1 minuto, nell'angolo per 60 minuti. Così mi sento più tranquillo.

Ciao,
a volte 5 accessi al minuto possono essere molti: ti conviene aumentare il tempo... 5 minuti è un po' più sensato secondo me.

Grazie FFFAB, lo modifico...in merito però al discorso "ADMIN", come chiedevo ieri...ha senso quindi impostare un admin diverso disattivando quello di default? Ci sono controindicazioni?
Mi sembra un modo astuto per evitare attacchi sul NAS, piuttosto che modificare la porta 8080 ovvero configurare il doppio passaggio (che è onestamente una palla).
Grazie!

[FFFAB]

Prego,
in linea generale l'utente amministratore si usa "poco" cioè si lavora con utenti limitati. Perciò è sensato disattivare admin e crearne un altro con un nome poco standard. Modificare la 8080 non serve a niente: ci sono ottimi scanner che individuano le porte che rispondono ed anche i loro servizi. Il doppio passaggio invece io lo tengo attivo sempre: è una protezione, non infallibile cmq, che aumenta la sicurezza.

[selvaggi]

nicolam leggi questo post http://www.qnapclub.it/viewtopic.php?f=60&t=17596 come aumentar la sicurezza del nas!

[B747]

ciao a tutti,
io da tempo avevo disattivato l'utente "admin" come da guida postata nelle pagine precedenti e, con le funzioni di admin, ne uso uno inventato da me.

Da quel che ho capito, sembrerebbe che l'IP venga bloccato ma venga comunque loggato il tentativo, approccio curioso, chissà se voluto o baco (come già accennato). Certo che trovarsi 150mail di alert, anche a me che avevo disabilitato admin, ha messo un pò di ansia.

Se dovesse ricapitare controllerò che l'ip in questione sia stato aggiunto alla lista dei bloccati.

grazie e ciao!
Gianluca

[contenitore21]

Vorrei disattivare admin, ma un amico accede al nas tramite ssh. Leggo che non sarebbe piu possibile. C'è qualche altro modo di mantenere l'accesso con ssh? Grazie

[MimmoLagonigro]

aggiornamento dall'assistenza QNAP
allego immagine e link:
https://www.qnap.com/it-it/how-to/tutor ... in-2-fasi/

[FFFAB]

Grazie...qualcosa di strano c'è in questa 4.4.2... ma (almeno a me) il blocco realmente funziona. Attendiamo aggiornamenti.

[MimmoLagonigro]

qualcosa di strano c'è in questa 4.4.2... ma (almeno a me) il blocco realmente funziona. Attendiamo aggiornamenti.

altro aggiornamento FFFAB

loro consigliano impostazioni che io ho già applicato come da voi consigliatomi però ... non mi fido.
aspetto la prossima build sperando che non sia una cosa pasticciata per tamponare il problema.
cosa mi/ci consigliate?

[contenitore21]

Vorrei disattivare admin, ma un amico accede al nas tramite ssh. Leggo che non sarebbe piu possibile. C'è qualche altro modo di mantenere l'accesso con ssh? Grazie

e se non è possibile, qualche altro suggerimento oltre ad una pwd forte? grazie

[selvaggi]

l'accesso ssh va sempre disattivato, per una questione legata alla sicurezza, va accesso solo quando serve.

[contenitore21]

Il mio amico lo usa per caricarmi dei film in autonomia e dice che ssh gli è piu comodo: posso suggerirgli altre vie ugualmente efficienti? Grazie

[FFFAB]

cosa mi/ci consigliate?

Grazie degli aggiornamenti.
Come ho scritto all'inizio, penso che disattivare l'accesso remoto alla GUI (tutti 'sti attacchi mi pare di capire siano su http/https... correggetemi se sbaglio) sia già ben più che sufficiente.
Se volete essere sicuri al 100% fate così: disattivate il UPNP del NAS sotto Config. automatica router e, nel router, imponete due regole su 8080 e 443 che puntano ad IP inesistenti in LAN.

In sostanza una cosa del tipo:

Porta interna 8080
Porta esterna 8080
IP locale: 192.168.x.x dove questo IP è inutilizzato nella vs. LAN

Poi stessa cosa sulla 443 e mettiamoci anche la 80... tanto... quindi 3 regole in tutto.
Quando verrà aggiornato il QTS, basterà eliminarle e riattivare l'UPNP, senza toccare altro nel NAS.

[FFFAB]

Il mio amico lo usa per caricarmi dei film in autonomia e dice che ssh gli è piu comodo: posso suggerirgli altre vie ugualmente efficienti? Grazie

Dipende dallo strumento che lui utilizza.
Un accesso r/w ad una sua cartella dedicata via WebDAV è sempre una buona soluzione.

Oppure, ancora più semplice, in FileStation crei una sotto cartella fatta apposta per lui (vedrà solo questa) e poi click destro ---> condividi --> crea collegamento di condivisione.
Nella finestra successiva metterai il tuo myqnapcloud come IP , nessuna scadenza e selezione Consenti caricamento: poi puoi imporre una password (ma questo è legato al sistema usato dal tuo amico) che saprà solo lui, diversa da tutte quelle che usi normalmente. Infine Crea Ora.
L'indirizzo sarà del tipo:

http://xxxx.myqnapcloud.com:8080/share.cgi?ssid=1234567

e aprendolo in un browser, potrà caricare quello che vuole (funziona anche da smartphone, tablet ecc).

[selvaggi]

Il mio amico lo usa per caricarmi dei film in autonomia e dice che ssh gli è piu comodo: posso suggerirgli altre vie ugualmente efficienti? Grazie

l'accesso al servizio ssh non deve mai essere dato a nessuno, perché con esso si ha accesso a tutte le cartelle e sotto cartelle di sistema, chi sa fa può vedere leggere e sapere tutto di te, fino ad formattarti il nas e fartelo usare come ferma porta.
l'unica persona che deve avere tale accesso è il proprietario al momento del bisogno.

se proprio gli serve un accesso, passa per un server ftp, con restrizioni, oppure file station, pagina web ecc. hai un server davanti a te che può essere programmato a piacimento!

[nicolam]

Prego,
in linea generale l'utente amministratore si usa "poco" cioè si lavora con utenti limitati. Perciò è sensato disattivare admin e crearne un altro con un nome poco standard. Modificare la 8080 non serve a niente: ci sono ottimi scanner che individuano le porte che rispondono ed anche i loro servizi. Il doppio passaggio invece io lo tengo attivo sempre: è una protezione, non infallibile cmq, che aumenta la sicurezza.

Ok ma non capisco una istruzione del manuale: https://www.qnap.com/it-it/how-to/faq/a ... edefinito/
Ho proceduto sino al punto 5 "Impostare le autorizzazioni Cartella condivisa"...poi al punto 6 indica: "Modificare i Privilegi applicazioni" e indica una foto che non c'entrerebbe nulla perché è la pagina di "crea utente", ma se l'ho già creato!
Quando clicco sull'icona e mi si apre la pagina, cosa devo flaggare??

Inoltre, nella pagina del pannello di controllo, non capisco perché ADMIN originario non presenta l'icona della "modifica privilegi applicazioni" mentre il nuovo utente creato con nome di fantasia sì!

Cattura5b.jpg (32.5 KiB) Visto 307 volte

Grazie

[PiaNi]

admin non ha la modifica dei privilegi,

[nicolam]

admin non ha la modifica dei privilegi,

Ok grazie, quindi è normale che non lo trovi...ma nella creazione del nuovo "admin, cosa devo flaggare dei "servizi di rete? Solitamente NON uso Apple e FTP, mentre Qsync e Webdav solo per un paio di utenti, ma non per "admin". Pertanto, è corretto se flaggo solo "servizi di rete Microsoft"?

[FFFAB]

Il cambio di amministratore è nato dal fatto di non poter rinominare admin: il nuovo amministratore resta pur sempre un amministratore, quindi, a parte i servizi che effettivamente non usi in generale (se non hai un Apple, difficilmente userai i servizi di rete Apple) tutto il resto andrebbe lasciato selezionato.

PS: Se un malintenzionato entra da amministratore con il nuovo utente PippoMariolino, ci mette 0,2 secondi a riattivare i servizi che vuole...

Il problema non è cosa può fare l'amministratore, ma è il fatto di non essere bombardato tramite l'utente chiamato admin.... tutto qua.

[nicolam]

Il cambio di amministratore è nato dal fatto di non poter rinominare admin: il nuovo amministratore resta pur sempre un amministratore, quindi, a parte i servizi che effettivamente non usi in generale (se non hai un Apple, difficilmente userai i servizi di rete Apple) tutto il resto andrebbe lasciato selezionato.

PS: Se un malintenzionato entra da amministratore con il nuovo utente PippoMariolino, ci mette 0,2 secondi a riattivare i servizi che vuole...

Il problema non è cosa più fare l'amministratore, ma è il fatto di non essere bombardato tramite l'utente chiamato admin.... tutto qua.

Grazie! P.s. come hai fatto ad indovinare che ho denominato il nuovo admin "PippoMariolino"???

[MimmoLagonigro]

Stasera ho appena aggiornato il firmware. Niente ci sono ancora tentativi di accesso da parte dello stesso IP.
Potete confermare?
C'è modo di impedire l'accesso a questo determinato IP in modo selettivo?