QNAPの皆さん、こんにちは。
QTS 5.2.9.3410
最近、CLI経由でQNAP NASのadminアカウントのパスワードをリセットしました。NASを再起動したところ、パスワードとしてCloud Keyの入力を求められ、その後新しいadminパスワードの設定を求められました。ここまでは順調でした。
しかし、その後、adminのSSH authorized_keysおよびRSAキーのファイルがクリアされておらず、現在のSSHセッション(キーでログイン中)もQTSによって切断されていないことに気付きました。もし私がハッカーでSSHセッションに入っていた場合、UI経由でadminパスワードが変更されてもNASへのアクセスは維持されたままですし、SSHで再度ログインすることもできました。
上記の動作は、adminパスワードが変更された際に自動的に行われるべきだと思います。セキュリティ上の予防措置としてご提案いたします。
ありがとうございます。