DSM 6.x und darunter Automatische Blockierung geht nach installation von Rsnapshot/OpenSSH nicht mehr

[Claus67]

Hallo,
ich habe mir heute Rsnapshot wie im Wiki beschrieben installiert. Dabei wurden aber auch die Pakete Pearl, OpenSSH und Rsync mitinstalliert.
Bei einem zufälligen Blick in /var/log/messages habe ich dann zig-fach folgende Log-Einträge gefunden:

Aug 28 23:10:00 sshd[12786]: error: Could not get shadow information for NOUSER
Aug 28 23:10:02 sshd[12787]: error: Could not get shadow information for NOUSER
Aug 28 23:10:06 sshd[12788]: error: Could not get shadow information for NOUSER
Aug 28 23:10:09 sshd[12789]: error: Could not get shadow information for NOUSER

Rumgoogeln brachte zu Tage, dass sich da wohl jemand zig-fach über ssh versucht hat einzuloggen.

Ein verwunderter Blick in die Blockierungsliste der aktivierten Automatischen Blockierung (6 Versuche in 5 Min) im DSM brachte zwar blockierte IPs, diese ware aber von lange vor den zig ssh-Loginveruschen und vor der Installation von Rsnapshot, OpenSSH,....

Nächster Versuch meinerseits war dann selbst eine Blockierung innerhalb meines Home-Netzwerk zu erzeugen um der fehlenden Blockierung auf den Grund zu gehen. Zuerst zig-fach innerhalb der 5 Minuten via WinSCP dann via Putty über das ssh-Protokoll.
Beides erzeugte jedoch KEINEN Eintrag in der Blockierungsliste.

Letzter Versuch dann über falsche Logins via DSM und Putty via Telnet-Protokoll eine Blockierung zu erzeugen. Beides GELANG!

Für mich erscheint es nun so, dass die automatische Blockierung via ssh nicht mehr funktioniert. Warum darüber kann ich nur spekulieren.
Mein Verdacht liegt auf OpenSSH bzw., dass nach der Installation die fehlerhaften ssh-Loginversuche nicht an die automatische Blockierung "gemeldet" werden und deshalb die Blockierung unterbleibt. Irgendetwas verbogen ist...

Kennt jemand das Problem oder weis Rat wie die Sicherheitslücke wieder geschlossen werden kann?

Danke & Gruß

Claus

PS: Port 22 habe ich erst mal an meinem Router geschlossen...

 

[itari]

Leider kann ich dir nicht konkret helfen, weil ich noch nie OpenSSH installiert habe. Ich kann nur eine Vermutung äußern, wo dir dann jemand mit Kenntnissen/Erfahrungen weiterhelfen müsste.

Nur der von Synology eingebaute sshd (also das Teil, was auf ssh-Anfragen gestartet wird), protokolliert und sperrt Eindringlinge. Der per IPKG installierte OpenSSH sshd macht das nicht. Letzterer ist aber wohl durch die Installation an die 'Macht' gekommen (reagiert als erster auf ssh-Anfragen) und bearbeitet sie ohne 'Sperrungen' ... wahrscheinlich kann man den abschalten/deinstallieren oder dem anderen Vorrang geben und die Welt ist wieder heile.

Itari

 

[jahlives]

Ich würde dem Startscript des OpenSSH mal die Ausführrechte entziehen

chmod -x /opt/etc/init.d/SXXssh

XX musst du mit der Zahl ersetzen, die das Script bei dir hat (schau zur Sicherheit ins Verzeichnis rein)
Danach die DS neustarten, dann sollte nur noch der sshd von Synology laufen (auch der sollte eigentlich mir rsnapshot/rsync zusammenarbeiten).
Wenn nach dem Neustart dein PW verweigert wird, dann probier als root PW synopass (openSSH scheint das was mit dem root PW zu drehen)

 

[Claus67]

Nach einem Blick in /opt/etc/int.d/ habe ich dann auf der Komandozeile

chmod -x /opt/etc/init.d/S40sshd
reboot

eingegeben und als meine DS210j wieder online war versucht durch Einloggen mit falschem Passwort via ssh-Protokoll wieder eine Blockierung zu erreichen.

Dies GELANG diesmal auf Anhieb nach der gesetzten Zahl der Loginversuche.

Nach Rücksetzen der Blockierung, war dann auch ein Login mit meinem root-PW möglich also keine Notwendigkeit sich mit synopass anzumelden (was mich nach der Installation von OpenSSH einiges an Neven gekostet hatte aber Dank der Hilfe dieses Forums zu lösen war.).

Ein Blick ins itaris Admintool unter Daemons zeigt nun, dass dass Startskript /opt/etc/int.d/S40sshd keinen Prozess initiiert hat sondern /usr/syno/etc/rc.d/S95sshd.sh den Prozess /usr/syno/sbin/sshd.

Vielen Dank für die schnelle Hilfe hier im Form, keine 24 Stunden, nach der Problembeschreibung eine Lösung zu haben. Das ist im Sinne von QoS wirklich Spitze!

Abschließende Frage:

Reicht die Änderung mittels chmod aus oder sollte/kann ich mit ipkg remove das OpenSSH-Paket deinstallieren um das System nach der Installation wieder 'aufzuräumen'?

Danke & Gruß

Claus

 

[jahlives]

Reicht die Änderung mittels chmod aus oder sollte/kann ich mit ipkg remove das OpenSSH-Paket deinstallieren um das System nach der Installation wieder 'aufzuräumen'?

Das mit den Ausführrechten reicht eigentlich aus. Wenn du willst kannst du es natürlich mit remove auch entfernen.

 

[webster]

Tage später nach der installation von rsnapshot, habe ich's auch bemerkt das ich mich nicht mehr per ssh einloggen konnte und bin hier gelandet.

Reicht die Änderung mittels chmod aus oder sollte/kann ich mit ipkg remove das OpenSSH-Paket deinstallieren um das System nach der Installation wieder 'aufzuräumen'?

Mit "ipkg remove OpenSSH" hat bei mir nicht geklappt, da eine abhängigkeit mit rsnapshot besteht.

So habe Ich's gemacht: als root per Telnet (mit adminpasswort) oder ssh (mit passwort "synopass") eingeloggt, dann unter "/opt/etc/default" in Openssh SSHD_ENABLE=yes zu no geändert. Neustart über die Weboberfläche der DS durchgeführt und mein adminpasswort hat auch wieder per ssh funktioniert.

Ob das openssh sonst noch für irgendwas gebraucht wird weis ich momentan nicht.

gruß webster