Pagina 1 di 3
Account per backup.
Inviato: 02 feb 2023, 16:14
da spiker
Salve a tutti,
avrei bisogno di un consiglio per creare un account da utilizzare per fare backup.
Attualmente utilizzo un software che da windows copia cartelle verso il nas, accedendo al nas tramite account amministratore.
Vorrei creare un account con permessi limitati da utilizzare come accesso al nas dal programma windows che gestisce i backup.
Come lo configurereste ?!?
Grazie.
Re: Account per backup.
Inviato: 03 feb 2023, 09:03
da PiaNi
Allora devi crearti una cartella ed un account con accesso in lettura e scrittura per quella cartella. Gli altri utenti/account non devono poter scrivere in quella cartella.
Poi devi scegliere un software che fa backup su nas con cartelle protette da password, ti scrivo alcuni, ma non è un elenco esaustivo:
Veeam
Iperius
Uranium
Ovviamente quando accedi a quelle cartelle devi loggarti nel qnap con l'account oppurtuno, puoi farlo anche da windows, ma non salvare la password in windows.
Re: Account per backup.
Inviato: 03 feb 2023, 09:31
da spiker
Le cartelle sono già create ed ogni cartella corrisponde ad un backup da effettuare. Ad esempio cartella foto, cartella documenti, cartella file vari ed altre cartelle.
Attualmente il programma in background su windows avvia dei backup delle varie cartelle in orari e con metodologie diverse a seconda della cartella.
Utilizzo per accedere al nas le credenziali di un utente che è amministratore.
Quindi dovrei creare un account che abbia accesso in lettura e scrittura alle varie cartelle di backup sul nas ma non amministratore. Oppure è meglio creare un utente per ogni cartella, ad esempio uente foto, utente documenti ?!?
Che significa scegliere un programma che faccia backup su cartelle protette da password ?!? Parli per effettuare il login al nas oppure di creare delle password alle singole cartelle perchè non siano accessibili ?!? Oppure crittografarle ?!?
Grazie.
Re: Account per backup.
Inviato: 03 feb 2023, 10:11
da PiaNi
Credo che è sufficiente un solo utente per le varie tipologie di backup. Che sia amministratore o no, del nas è indifferente.
Serve un software windows se vuoi automatizzare questi backup, altrimenti devi farli a mano o manina, come si suol dire.
Re: Account per backup.
Inviato: 03 feb 2023, 14:36
da spiker
Il software è già operativo e perfettamente funzionante. I backup sono già impostati correttamente e funzionano perfettamente.
La mia domanda era riguardo al tipo di account da far utilizzare al programma che gestisce i backup per limitarne i permessi.
Tale domanda mi è sorta dopo aver letto questo articolo
https://www.qnap.com/solution/ransomware/it-it/
in particolare quanto riportato: "Usare QNAP NetBak Replicator (o un altro strumento di backup) per effettuare regolarmente il backup dei file sul NAS con account utente che hanno solo diritti di accesso limitati (molto consigliato), quindi configurare la funzione istantanea con l'account dell'amministratore."
Quindi chiedo, come impostare un nuovo account sul qnap che si occupi solo ed esclusivamente dei backup ?!?
Grazie.
Re: Account per backup.
Inviato: 03 feb 2023, 14:46
da PiaNi
spiker ha scritto: ↑03 feb 2023, 14:36
....
in particolare quanto riportato: "Usare QNAP NetBak Replicator (o un altro strumento di backup) per effettuare regolarmente il backup dei file sul NAS con account utente che hanno solo diritti di accesso limitati (molto consigliato), quindi configurare la funzione
istantanea con l'account dell'amministratore."
Le istantanee o snapshot sono un'altra cosa e non le ho mai usate.
Re: Account per backup.
Inviato: 03 feb 2023, 14:56
da spiker
Parlo di backup non snapshot od istantanee.
E' cmq utile creare un account limitato per questo tipo di operazioni ?!?
Grazie.
Re: Account per backup.
Inviato: 06 feb 2023, 14:32
da spiker
Qualche info in merito ?!?
Re: Account per backup.
Inviato: 07 feb 2023, 08:20
da lucam1970
spiker ha scritto: ↑03 feb 2023, 14:56
E' cmq utile creare un account limitato per questo tipo di operazioni ?!?
Come hai letto in quell’articolo, è consigliato.
Se qualche malintenzionato sfruttasse una falla del tuo software di backup ma tu fossi “loggato” nel NAS (e quindi nell’app di backup) come semplice utente, il tizio non potrebbe acquisire il controllo completo del NAS.
Questo discorso vale per qualsiasi app che possa gestire traffico dati da e verso l’esterno casa tua, con le relative porte aperte verso il router.
Il micidiale attacco ransomware Deadbolt di un po’ di tempo fa sfruttò una falla in Photostation. Praticamente un numero importante -nel mondo- di persone che usavano Photostation per accedere alle proprie foto da fuori casa, il 3 settembre si ritrovarono il NAS criptato.
Re: Account per backup.
Inviato: 07 feb 2023, 08:49
da spiker
Grazie per la gentile risposta.
I backup sono giornalieri. Il software di backup si connette al nas quando è schedulato il backup e poi devo impostare (sperando che sia presente come impostazione nel software di backup) che si disconnetta perchè a mio parere anche terminato il backup rimane connesso. Ovviamente il software di backup si connette al nas con un account amministratore che però non è administrator.
La mia domanda rimane in essere in quanto, mettiamo che crei un utente esclusivo sul nas che si occupa dei backup, che lo utilizzo con il software di backup per farlo connette al nas, questo utente non sarà amministratore, non avrà accesso alle app, però dovendo fare i backup dei dati avrà comunque credo obbligatoriamente l'accesso in lettura e scrittura a terabyte di dati che sono sottoposti a backup, giusto ?!?
Quindi se dovessero trovare un bug da poter sfruttare sul software di backup, dov'è la sicurezza nella creazione di utente predisposto solo per effettuare i backup ?!?
Grazie.
Re: Account per backup.
Inviato: 07 feb 2023, 23:13
da lucam1970
spiker ha scritto: ↑07 feb 2023, 08:49
Quindi se dovessero trovare un bug da poter sfruttare sul software di backup, dov'è la sicurezza nella creazione di utente predisposto solo per effettuare i backup ?!?
... è nel fatto che un utente così configurato, privo di privilegi da amministratore, non potrà accedere a nessuna altra cartella del tuo nas e non potrà lanciare alcuna routine del sistema operativo del tuo NAS (che poi è linux un po' customizzato dalla QNAP).
E' chiaro che dovrà essere tua cura fare in modo che l'utente dedicato al backup sia in un gruppo apposito dedicato solo al backup e che, appunto, possa accedere in lettura e scrittura solo alle cartelle di destinazione del backup di windows e a niente altro sul nas.
Se a questo user gli dai un nome non scontato con una password sufficientemente robusta e se il backup lo gestisci all'interno della tua lan domestica, magari adottando le precauzioni che ti ho consigliato nell'altro thread che hai aperto riguardo alla VPN, dovresti essere un pezzo avanti.
Re: Account per backup.
Inviato: 09 feb 2023, 16:12
da spiker
Ok grazie. Ho disabilitato la vpn sul nas. Ho abilitato quella direttamente del router. Non riesco però a disabilitare l'accesso dall'esterno al nas dov'è l'impostazione per chiudere l'accesso dall'esterno dal nas. Ok che basta disabilitare il portforward della porta sul router, ma c'è anche un'impostazione da disabilitare sul nas ?!?
Grazie.
Re: Account per backup.
Inviato: 09 feb 2023, 21:45
da lucam1970
spiker ha scritto: ↑09 feb 2023, 16:12
...Ok che basta disabilitare il portforward della porta sul router, ma c'è anche un'impostazione da disabilitare sul nas ?!?
A memoria mi pare di no.
Devi certamente disabilitare upnp, sia sul router che sul nas, nonchè
interrompere del tutto MyqnapCloud.
Inoltre,
devi cambiare le porte di default per l'accesso http, https e ssh.
Comunque, se non vado errato, tutte queste cose ci sono nel documento di @selvaggi che ti avevo indicato nell'altro tuo thread
(
viewtopic.php?t=19681)
Re: Account per backup.
Inviato: 09 feb 2023, 22:21
da spiker
Grazie per la risposta. Fatto già tutto queste cose tranne myqnapcloud dove uso il ddns ed il myqnapcloud link che lo uso proprio per collegarmi da remoto all'interfaccia del nas, è un metodo che ti permette di collegarti alla dashboard del nas senza dover aprire alcuna porta sul router.
Re: Account per backup.
Inviato: 09 feb 2023, 22:28
da spiker
Re: Account per backup.
Inviato: 10 feb 2023, 08:27
da lucam1970
spiker ha scritto: ↑09 feb 2023, 22:21
Grazie per la risposta. Fatto già tutto queste cose tranne myqnapcloud dove uso il ddns ed il myqnapcloud link che lo uso proprio per collegarmi da remoto all'interfaccia del nas, è un metodo che ti permette di collegarti alla dashboard del nas senza dover aprire alcuna porta sul router.
Ti sconsiglio fortemente di utilizzare myqnapcloud.
Un eventuale falla di sicurezza, come fu per Photostation e per altri applicativi in occasione degli attacchi ransomware degli ultimi tre anni, e il rischio di essere bucati diventa altissimo.
Con il metodo che ti ho suggerito nell’altro tuo thread non hai nessuna esigenza di tenere attivo myqnapcloud per accedere al tuo Nas.
Ci entri con OpenVPN e l’indirizzo IP interno.
Re: Account per backup.
Inviato: 10 feb 2023, 14:34
da spiker
Grazie per la risposta:
https://www.qnap.com/it-it/software/myqnapcloud
https://www.qnap.com/solution/secure-re ... ess/it-it/
in base a questi due link lo definiscono sicuro. Alla fine accedi al nas da remoto senza dover aprire alcuna porta sul router. Anche se è un servizio in più abilitato ed una possibilità in più di compromettere la sicurezza del nas.
Quindi è stato sviluppato per chi non ha una vpn o non sa come configurarla ?!?
Alla fine avere un nas senza la possibilità di poter accedere da remoto lo vedo molto riduttivo.
Nel senso che un nas a mio avviso presumo sia pensato per garantire servizi ed essere esposto all'esterno quindi. Avere dei files non accessibili dall'esterno con la possibilità di poterlo fare, allora conviene comprare un hardisk usb da collegare al pc per semplice backup. E' pur vero che avendo dei files importanti accessibili dall'esterno sono più a rischio.
La vpn del router rimane quindi la soluzione più sicura ?!?
Re: Account per backup.
Inviato: 11 feb 2023, 14:52
da lucam1970
spiker ha scritto: ↑10 feb 2023, 14:34
... in base a questi due link lo definiscono sicuro. Alla fine accedi al nas da remoto senza dover aprire alcuna porta sul router. Anche se è un servizio in più abilitato ed una possibilità in più di compromettere la sicurezza del nas.
Quindi è stato sviluppato per chi non ha una vpn o non sa come configurarla ?!?
se chiedi all'oste com'è il vino la risposta è, di solito, scontata.
QVPN è pensata per semplificare il tunnelling vpn da e verso il Qnap, anche dal punto di vista dell'interfaccia grafica.
E' una precisa scelta di Qnap che trovi anche in altre componenti del QTS o delle sue applicazioni. Da Container Station a Security Counselor, passando per l'interfaccia dedicata alla gestione dei profili ethernet. Giusto per ricordarne alcune.
Non è una cosa sbagliata ma, come abbiamo osservato in tanti nel forum, si presta a falle qua e là che purtroppo hanno fatto piangere un sacco di utenti Qnap.
Alla fine avere un nas senza la possibilità di poter accedere da remoto lo vedo molto riduttivo.
Nel senso che un nas a mio avviso presumo sia pensato per garantire servizi ed essere esposto all'esterno quindi. Avere dei files non accessibili dall'esterno con la possibilità di poterlo fare, allora conviene comprare un hardisk usb da collegare al pc per semplice backup. E' pur vero che avendo dei files importanti accessibili dall'esterno sono più a rischio.
Concordo perfettamente. Purtroppo però bisogna bilanciare le esigenze personali con gli aspetti di sicurezza.
Ripeto, sottostimare questi ultimi è davvero rischioso oggigiorno.
Trovarsi criptate decine di migliaia di fotografie o video personali - i ricordi di una vita intera magari - può essere violazione della propria intimità pari a quella che si affronta dopo che ti hanno derubato casa. Per non parlare del fatto che poi tocca pure pagare per riaverli indietro.
La vpn del router rimane quindi la soluzione più sicura ?!?
Secondo tanti sì. Ancora meglio la soluzione dedicata hardware/software che ti avevo consigliato.
Re: Account per backup.
Inviato: 12 feb 2023, 08:51
da spiker
Ok. Grazie.
Ho disabilitato tutto sul nas ed abilitato la vpn sul router. L'unica cosa che ho lasciato abilitato sul nas è un ddns di scorta nel caso quello del router non funzionasse. Rimane solo una cosa, Ho un app installata proveniente da terzi non certificata qnap ed appena installata ho disabilitato in app center "consenti installazione di applicazioni senza firma digitale valida". Una volta disabilitato nonostante l'app sia installata, mi disabilita l'app e non la fa funzionare.
C'è modo di rendere un app certificata qnap ?!? Altrimenti dovrei lasciare attivata sempre l'opzione in app center l'installazione di app non qnap.
Grazie.
Re: Account per backup.
Inviato: 12 feb 2023, 09:55
da lucam1970
spiker ha scritto: ↑12 feb 2023, 08:51
C'è modo di rendere un app certificata qnap ?!? Altrimenti dovrei lasciare attivata sempre l'opzione in app center l'installazione di app non qnap.
Non so se esiste un modo e comunque non credo ci sia.
Hai provato a vedere se questa app che ti serve esiste sulla piattaforma hub.docker.com? In caso positivo la installi con Container Station e sei a posto.