adminアカウントの無効化について~DiskStation DS218j
何を今さら、な感じですが、Synology DiskStation DS218jの初期設定でやっておくべきことを書き洩らしていました。
それは、DSMの"admin"アカウントの無効化です。
NOMIがいつ頃気付いたのかは記憶は定かではありませんが、
「パスワードのない管理権限があるじゃん。やばっ。」
ということに気づいて、初期設定の直後くらいにadminアカウントの無効化をした「はず」です。
DS218jに限らず、マルチユーザーのOSには必ず管理者権限を持ったユーザーアカウントが最初から存在します。
UNIX系の場合は"root"、Windows系の場合は"Administrator"というのが普通です。
UNIX系の"root"はそもそもシステムの中では別格扱いですから、無効化することも削除することもできないため、簡単には"root"でログインできない(あるいは"root"権限で実行させない)仕組みを設けることでセキュリティを維持するのが普通です。
スーパーユーザー
スーパーユーザー(英語: Superuser)とは、多くのオペレーティングシステムでシステムアドミニストレータが制御する特殊なユーザーアカウントを指す。オペレーティングシステム (OS) によって実際の呼称は異なり、ルート (root)、アドミニストレータ (administrator)、アドミン (admin)、スーパーバイザ (supervisor) などとも呼ばれる。場合によっては名称は重要ではなく、ユーザーのプロファイルで権限フラグを設定することで特権的機能を実行できることもある(管理者権限などと呼ばれる)。
UNIXとUnix系OS
Unix系OSでは、root が全モード(シングルユーザー/マルチユーザー)で全権利(あるいはパーミッション)を持つユーザーの既約名である。BeOSではbaron、一部のUnix系システムではavatarと呼ぶ[1]。BSD系システムではtoor(rootの逆)アカウントも用意されていることが多い[2]。名前はどうであれ、スーパーユーザーのユーザー識別子は常に 0 である。rootは普通のユーザーではできない多くのことができる。例えば、ファイルパーミッションを無視してファイルを操作したり、1024以下のポートを操作したりといったことである。"root" という名称は、Unix系システムのルートディレクトリのパーミッションを変更できる唯一のユーザーアカウントだからだとされており、ルートディレクトリはrootのホームディレクトリでもある[3]。
出典:ウィキペディア
しかしクライアント向けのWindowsの場合、セットアップの段階で最初に設定するユーザーが管理者として登録されるため、通常"Administrator"アカウントは「無効」となっています。
Windowsの上位バージョンならば「コンピュータの管理」から無効化されている"Administrator"アカウントを確認できますが、NOMIのパソコンはWindows10 Home Editionなので「コンピュータの管理」には表示されません。
が、"コマンドプロンプト"から"net user Administrator"と入力すると、
と、無効化されている"Administrator"アカウントの存在を確認することができます。
もしもそうでなかったら、誰でもそのパソコンに"Administrator"アカウントでログインできることになり、危険極まりないからですね。
サーバー向けのWindowsの場合は最初に"Administrator"アカウントのパスワードを設定し、"Administrator"アカウントをそのまま管理者アカウントとして使うのが普通ですね。ご存知の方は多いと思いますが。
ではDSMの場合はどうなっているかというと、初期設定の段階で管理者アカウントを作成します。
https://wwq.mydns.jp/236/以後、システム操作はこのアカウントで行うことになりますが、DSMが最初から準備している管理者アカウント"admin"はパスワードが設定されないまま有効になっています。
DS218jをLANの中でしか使わない、かつLANからDS218jにアクセスする人は完全に信頼できる、ということであればそのままでも大きな問題はありませんが、QuickConnectを使って外部ネットワークからの接続を可能にしている場合はそのままでは危険です。なぜなら、もしもQuickConnect IDを知られてしまったら、admin/パスワードなし、でDSMに管理者権限でログインできてしまうからです。
なので、
A."admin"アカウントは有効にしたまま、複雑なパスワードをかけて不正ログインを防止する。
B."admin"アカウントを無効にして、ログインそのものをできなくする。
のいずれかの方法をとる必要があります。
Aの方法ですが、これはあまりお勧めしません。なぜなら"admin"は世の中でよく使われる管理者アカウント名の一つなので、辞書アタックの試行対象になってしまうからです。
つまりAは「そのアカウントには複雑なパスワードかけているからログインしようとしても難しいよ」という姿勢ですから「悔しかったらパスワード当ててみな」的な振る舞いをします。よってログイン試行の対象になってしまいます。
しかしBは「そもそもそんなアカウント存在しないよ」なので「悔しかったらアカウントとパスワードの両方を当ててみな」ですから、このほうが標的になり難いわけですね。
というわけで、Bの"admin"アカウントの無効化を方法を説明します。
DMSにログインし、
コントロールパネルを開きます。
「ユーザー」をクリックします。
念のため、初期設定で作成したユーザーアカウント(普段DSMの管理に使用しているアカウント)を選んで[編集]をクリックします。
「ユーザーグループ」タブを開き、"administartors"にチェックが入っていることを確認します。
これで"admin"を無効化してもログインして操作可能なアカウントが存在することが確認できました。
キャンセルでウィンドゥを閉じ、
“admin"を選択し、[編集]ボタンをクリックします。
「このユーザーを無効にする」にチェックを入れて[OK]ボタンをクリックします。
これで"admin"アカウントは無効になりました。
これで安心してインターネット経由でDS218jを使うことができますね。
https://a.r10.to/hIQZke