Benachrichtigung bei fehlerhaften LogIn-Versuchen.

[Berndi]

Hallo Gemeinde !

Ich besitze eine DS107+ mit der Firmware DSM 2.2-0942

Seit einigen Tagen stelle ich erhöhte Netzwerkaktivität fest habe den Übeltäter gefunden.

Irgend jemand versucht per BruteForce meine DS zu hacken.

Wie kann ich mich davor schützen, ohne den Zugang über das Internet gänzlich zu blockieren ?
Kann ich die Benachrichtigungs-Optionen so konfigurieren, dass ich darüber informiert werde, sollten mehrere LogIn.Versuche fehlschlagen ?

Danke für die Antworten !

LG,
Berndi

 

[Supaman]

eine benachrichtigung ist derzeit nicht vorgesehen. die frage wäre auch: wozu soll das gut sein? ist ja nichts neues, das jede menge crawler im netz unterwegs sind auf der suche nach angreifbaren servern.

wenn du mehrsicherheit willst, gibts andere möglichkeiten:
- sichere passwörter
- über die firewall rules zugriffe aus bestimmten ländern unterbinden
- keine standard ports nach außen führen
- ssh/ftp zugriff für root/admin sperren

 

[die-andis]

das was du willst gibt es, nennt sich "automatische Blockierung" unter "Netzwerkdienste"

 

[Berndi]

das was du willst gibt es, nennt sich "automatische Blockierung" unter "Netzwerkdienste"

Ha !

Hätte ich eigentlich finden müssen ....

Danke sehr !

 

[jahlives]

Hallo Gemeinde !

Ich besitze eine DS107+ mit der Firmware DSM 2.2-0942

Seit einigen Tagen stelle ich erhöhte Netzwerkaktivität fest habe den Übeltäter gefunden.

Irgend jemand versucht per BruteForce meine DS zu hacken.

Wie kann ich mich davor schützen, ohne den Zugang über das Internet gänzlich zu blockieren ?
Kann ich die Benachrichtigungs-Optionen so konfigurieren, dass ich darüber informiert werde, sollten mehrere LogIn.Versuche fehlschlagen ?

Danke für die Antworten !

LG,
Berndi

Es wäre noch wichtig zu wissen auf welchen Protokollen resp Ports die Angriffe stattfinden...

 

[Berndi]

Es wäre noch wichtig zu wissen auf welchen Protokollen resp Ports die Angriffe stattfinden...

Es ist immer der FTP Server.
...also 21 und 55536-55663

Welche Ports explizit betroffen sind, kann ich aus dem Log nicht ersehen.

 

[jahlives]

FTP sollte afaik durch die "automatische Blockierung" abgedeckt sein. Zusätzlich solltest du verhindern, dass sich root am FTP Server anmelden darf. Denn eigentlich interessiert einen "bösen Zeitgenossen" nur der root Account und dessen Passwort.

 

[Berndi]

Zusätzlich solltest du verhindern, dass sich root am FTP Server anmelden darf. Denn eigentlich interessiert einen "bösen Zeitgenossen" nur der root Account und dessen Passwort.

root = admin ?

Die Passwörter stimmen jedenfalls überein ...

 

[jahlives]

Das ist das Problem bei der DS: admin und root haben das gleiche Passwort (geht nicht anders), sind aber nicht die gleichen Benutzer. root darf auf dem System schlicht und ergreifend alles machen. admin hat nur beschränkte Rechte. Für FTP würde ich daher sowohl root als auch admin verbieten!

 

[Berndi]

... nur, dass root im Webinterface nicht als Benutzer angezeigt wird.

Gibt es da keine Konflikte, wenn ich den anlege ?

 

[jahlives]

root kannst du nicht anlegen. Das wird dir von der DS verwehrt. Dies da root als User bereits existiert. Wird dir im DSM nur nicht angezeigt. Ist aber sicher vorhanden, weil sonst die DS ned laufen würde

 

[Berndi]

Wie verhindere ich dann den Zugang zum FTP über root ?

 

[itari]

Normalerweise ist 'root' bereits in der /etc/ftpusers vermerkt. Das wäre die Datei, wo man einträgt, welche User keinen Zugang per ftp haben dürfen.

Itari

 

[Berndi]

Da stehen


root
lp
smmsp
nobody
guest


drin.

Sol ich root da etwa rausschmeißen ?

 

[itari]

Das stehen die User drin, die keinen ftp-Zugriff bekommen. Also drin lassen.

Itari

 

[aristide]

solltest du verhindern, dass sich root am FTP Server anmelden darf.

Kann man das auch im GUI einstellen?

 

[jsteinberger]

Auch eine Frage zur Blockierung...

Hallo,
auch ich habe seit der Umstellung auf den DSM 2.2 jetzt öfters Mails, daß meine DS bestimmte IPs blockiert, weil innerhalb 5min mehr als 5 Login-Versuche gescheitert sind (Anzahl sowie Zeit und die Benachrichtigung per Mail hab ich so eingestellt, hatte es im DSM gefunden). Ich kenne mich aber in Linux nicht besonders gut aus, habe aber immerhin geschafft, mit WinSCP einen Zugriff auf die DS zu bekommen und somit kann ich auch alles auf der DS sehen (im Prinzip, wenn man wüsste wo man suchen soll ).
Meine Frage ist also : Wo finde ich die (eine) Log-Datei wo diese Versuche protokolliert werden bzw wo sehe ich, über welche Ports/Dienste diese Logins kamen?
Interessieren würde mich auch ob irgendwo ein fremdes Login erfolgreich war , die Logins werden doch bestimmt auch protokolliert. Auch Aktionen auf der DS interessieren mich um mal zu sehen ob ein Unbefugter irgendwas auf der DS macht.
Zusammengefasst: Ich hätte langsam gerne mal einen Einblick was auf meiner DS evtl. ohne mein Wissen passiert.
Wenn das wichtig ist, ich hab ne 107+ 2nd ED, DSM 2.2-0942

Wäre nett wenn ich auch als absoluter Newbie einen kleinen Einblick in die DS bekäme.

Gruß....Jürgen

 

[itari]

Die Logs kann man sich doch im DS-Manager ansehen. Viel mehr wird auch nicht protokolliert. Die Protokoll-Dateien sind im Verzeichnis /var/log - leider kann man sie nicht mit einem normalen Texteditor lesen.

Itari