Pomoc Linki udostępniania - jaka bezpieczna alternatywa z możliwością tworzenia folderów?

TSQ469

Passing Basics
Beginner
6 Grudzień 2014
27
3
3
QNAP
TS-x69 Pro
Ethernet
100 Mbps
Witam,
mam prośbę o komentarz do rozwiązania, które chcę zastosować. Czy jest to bezpieczne/profesjonalne podejście do zagadnienia.

Obecny stan:
1) QNAP673E - użytkownicy logują się przez LAN
2) Brak VPN
3) Możliwe zalogowanie się użytkownika do serwera przez Internet po wpisaniu "https://xxx.xxx.xx.xxx:xxxx/"
4) Dla zewnętrznych klientów używam linków udostępniania do naszych lokalnych zasobów firmowych, czyli "https://xxx.xxx.xx.xxx:xxxx//share.cgi?ssid=xxxxxx"

Niestety linki udostępniania nie dają możliwości zakładania folderów przez użytkownika. Jest też potrzeba, aby kilka osób miało dostępy przez Internet do pewnych folderów i żebym mógł przyznawać im prawa odczyt/edycja/brak dostępu...
Chciałbym więc dla tej wyjątkowej sytuacji (w innych przypadkach wystarczą linki udostępniania) założyć na serwerze dla każdego człowieka z firmy zewnętrznej użytkownika na naszym serwerze i po prostu dać im możliwość eksploracji wybranych folderów oraz ich zakładania po zalogowani sią przez "https://xxx.xxx.xx.xxx:xxxx/".

Czy taka praktyka nie obniża bezpieczeństwa w jakiś szczególny sposób? Zgadza się, zdradzam IP serwera i port po którym mozna sie zalogować, ale wysyłając link udostępniania również zdradzam te informacje. Czy coś jeszcze jest takiego, co powinno mnie powstrzymać przez zastosowaniem opisanego rozwiązania?

PS
Chciałbym uniknąć usług zewnętrznych typu myqnapcloud. Nie chciałbym też, aby klienci musieli wbijać się przez VPN.

Z góry dziękuję za wszelki uwagi i sugestie?

Pozdrawiam.

Wersja oprogramowania Firmware: 4.5.2.1566 Build 20210202
Model serwera: QNAP TVS-673
 
Hej
Normalnie udostępniasz zasoby z ssl i tyle cała filozofia bezpieczeństwa...
Jeżeli chodzi o user-ów to na hosta urządzenia np: https://firma.myqnapcloud.com jakiego tam masz dajesz certyfikat albo ten defaultowy albo sobie kup w cencert, certus, itp. ssl to podstawa. Tworzysz im konta jeżeli to różne firmy albo jedno konto jeżeli to zespół jakiegoś projektu i tyle. Nie wiem czy się wstrzeliłem z tym co chciałeś ale u mnie to tak wygląda, tylko ja muszę robić wszystko na domenie.

pozdro
 
Cześć,
dzięki za info.
Mam logowanie przez https przez link udostępniania generowany przez QNAP do konkretnego zasobu i link wygląda tak: "https://xxx.xxx.xx.xxx:xxxx//share.cgi?ssid=xxxxxx"
Linki udostępniania są fajne, bo nie muszę za każdym razem usera lokalnego zakładać dla nikogo z zewnątrz (klienci współpracujący...)
ALE ten sposób udostępniania nie jest dla mnie wystarczający (bo np. user nie może tworzyć folderów) i czasami muszę jednak założyć lokalnego usera i dać możliwość logowania się (również po https) prosto jako user na serwer dla klienta zewnętrznego.

No i pytanie właśnie jest takie, czy wbijanie się na konto usera lokalnego na QNAP jest w jakiś sposób mniej bezpieczne (otwiera userowi jakieś możliwości włamania się na serwer) w porównaniu do przekazania userowi linku udostępniania, gdzie nie ma żadnego usera lokalnego, nie ma logowania, jest tylko pytanie o hasło. Ten drugi sposób (link udostępniania tylko z hasłem) zawsze wydawał mi się bezpieczniejszy dla serwera, bo żyję w przekonaniu, że jest mocna izolacja kogoś, kto używa takiego linka, natomiast zalogowany user na serwer przez panel użytkownika, to już może być pewne pole do popisu dla niego... (mimo maksymalnie okrojonych dostępów...)

No i pytanie, czy mam rację? ;)

Pozdrawiam.
 
Hej
Wiadomo że link jest bardziej wygodny i bezpieczny, ale jak z kimś współpracujesz to musisz te min. zaufania utrzymać i są to poważne firmy, w qnap-ie można tak skonfigurować dostęp do urządzenia że nic nie nawywijają o ile nie znajdzie jakiegoś nowego sposobu #buga. Dzięki mnie zostało to dość mocno poprawione, bo cały czas współpracuję z nimi, poprawiliśmy poważne #Bugi w hybridmount, ustawianie prawa dot. folderów prywatnych, funkcjonowania CIFS/SMB, Qlog i inne dość poważne problemy. Poruszałem także problem wgrywania i tworzenia folderów który to wygląda na trywialny, ale może przytoczę cytat jak oni się tłumaczą.

JA: "Zauważyłem że jak wygeneruję link udostępniania w dwie strony to nie można tworzyć folderów i nie można wgrywać folderów, tylko można wgrywać pliki. Czy można by do tego linku "Upload" dodać funkcję: wgraj plik/wgraj folder, usuń."
Oni: "Dzień dobry, niestety jest w tym wypadku to ograniczenie możliwości przeglądarki internetowej - mowa o przesyłaniu folderów. Jednak można zastosować udostepnienie dostępu do fileststion i tutaj będzie już więcej możliwości"
JA: "To rozwiązanie jest niebezpieczne i czasochłonne ponieważ trzeba stworzyć konto odpowiednio je skonfigurować itd."
Oni: "Dzień dobry, tak jak pisałem są to ograniczenia systemowe przeglądarki"

Niestety zostaje nam poczekać może ktoś bardziej rozwojowy, ktoś kto ma tą "moc" przebicia tematu to zmieni.

pozdrawiam
SW
 
Hej
Wydaje mi się że to już oni musieli by się dogadać jako koncern, albo ew. wtyczkę jakaś doinstalować do przeglądarki o ile by to rozwiązało problem.

pozdrawiam
 
Wydaje mi się że to już oni musieli by się dogadać jako koncern
Chyba nie zdajesz sprawy jak mały jest taki QNAP vs taki Google

ew. wtyczkę jakaś doinstalować do przeglądarki o ile by to rozwiązało problem.
Słyszałeś o flashu ? że go nie ma ? tak kończą się wtyczki , teraz ma to działać przez HTML5 i tyle.
 
Hejka
No tak masz rację ale to już było planowane dawno, dawno temu i wg. mnie - bardzo dobrze.
Flash nie był rozwojowym projektem, miał strasznie dużo #bug-ów i obciążał deczko stronki itp.
Oni niestety robią wszystko pod siebie i to oni rozdają karty, ale dużo firm ma swoje wtyczki, tylko nie wiem czy można by z takiej wtyczki uzyskać to co byśmy chcieli.

pozdrawiam
 
Bardzo dziękuję Wam za naświetlenie mi tematu. Wiem teraz na czym stoję i że dostęp do FileStation (czyli tak jak robię) to jedyne rozwiązanie, za pomocą którego można tworzyć foldery.
ZIP nie rozwiązuje niestety problemu tworzenia i usuwania folderów, no i chodzi mi też o to, żeby były widoczne od razu poszczególne pliki bez rozpakowywania...
W każdym razie dzięki raz jeszcze. Może w przyszłości pojawi się jakieś rozwiązanie lepsze, a teraz działam z tym, co mamy.
I tak uważam, że QNAP jest fajny :)
Pozdrawiam.
 
  • Lubię to
Reakcje: SebekW

Użytkownicy znaleźli tą stronę używając tych słów:

  1. owncloud
  2. ldap
  3. link do zasobów
  4. link udostępniania