Frogman
Benutzer
- Registriert
- 01. Sep. 2012
- Beiträge
- 17.485
- Reaktionspunkte
- 8
- Punkte
- 414
Das ist nur eine Warnung bzw. Empfehlung - kein Hindernis, was einer Installation entgegensteht.
[Beta] DSM 6.0 - 7274 (Beta 2): Erfahrungen, Probleme, Bugs
- Ersteller Tommes
- Erstellt am
- Status
Frogman
Benutzer
- Registriert
- 01. Sep. 2012
- Beiträge
- 17.485
- Reaktionspunkte
- 8
- Punkte
- 414
Grundsätzlich ja richtig, doch hier wird im owncloud schlicht auf eine bestimmte Konfig geprüft - das muss man nicht überbewerten. Und - wobei es auch um die Formulierung ging - das hindert nicht an der Installation, wie Du es schreibst.
Hatte dasselbe Problem, aber dann den folgenden Beitrag von Matthieu gefunden:
http://www.synology-forum.de/showth...SL-Zertifikate&p=592626&viewfull=1#post592626
Habe beide "Erfahrungen" beachtet und das Zertifikat wurde ausgestellt. Die Fehlermeldung von Synology war hier nicht sehr hilfreich. Wenn die Änderungen an meiner DNS-Zone online sind werde ich versuchen auch mal alternative Domainnamen zu verwenden.
Möchte mal nachfragen wer von Euch das Paket "Intrusion Prevention" nutzt. Nimmt ja richtig Arbeitsspeicher in Anspruch. Er zeigt bei mir Warnungen von 2 Raspberry Pi´s an, die ich per nfs an die DS verbunden habe. Port ist 3306. Die Warnungen nerven - weiß aber nicht genau wie ich das Abschalten bzw. ob ich das Abschalten sollte.
Hier mal ein Screen der Meldung (IP´s ...1.15 und 1.16 sind von den Pi´s, ...1.7 die der DS)
Hier mal ein Screen der Meldung (IP´s ...1.15 und 1.16 sind von den Pi´s, ...1.7 die der DS)
Zuletzt bearbeitet:
Was soll das besser können als Autoblock und die anderen direkt in DSM integrierten Sicherheitsfeatures (nicht als Paket!)? Innerhalb einen Netzwerkes mit privaten IP-Adressen meckert der rum? Als ob man sich intern selber hackt. Das ist doch schon wieder Müll!
Ausnahmen mit vertrauensvolle Rechner, Subnetzwerke kann man nicht einstellen?
Ausnahmen mit vertrauensvolle Rechner, Subnetzwerke kann man nicht einstellen?
Hach mein lieber Raymond - schön das Du Dich wieder mal mir annimmst 
Ausnahmen kann man nicht einstellen - es gibt aber jede Menge sog. Regelsätze, die anscheinend laufend akualisiert werden. Siehe eine Auswahl im Screenshot:
Ich verstehe selber auch nicht warum "Angriffe" aus internem Netz dort dargestellt werden, muss aber anmerken das ja die Pi´s selber auch ins Internet können. Vielleicht liegt es daran?!
Ach ja - die Pi´s greifen gemeinsam auf eine SQL Datenbank zu die auf der DS liegen (MariaDB - Zugriff über phpMyAdmin)
Hier noch ein Screen der sog. Regelsätze (gefiltert nach sql). Weiß nicht ob ich den Haken (3. von oben - port 3306) bedenkenlos entfernen sollte...
Ausnahmen kann man nicht einstellen - es gibt aber jede Menge sog. Regelsätze, die anscheinend laufend akualisiert werden. Siehe eine Auswahl im Screenshot:
Ich verstehe selber auch nicht warum "Angriffe" aus internem Netz dort dargestellt werden, muss aber anmerken das ja die Pi´s selber auch ins Internet können. Vielleicht liegt es daran?!
Ach ja - die Pi´s greifen gemeinsam auf eine SQL Datenbank zu die auf der DS liegen (MariaDB - Zugriff über phpMyAdmin)
Hier noch ein Screen der sog. Regelsätze (gefiltert nach sql). Weiß nicht ob ich den Haken (3. von oben - port 3306) bedenkenlos entfernen sollte...
Zuletzt bearbeitet:
DS1515+, DSM6.0 beta 2
Noch zur Ergänzung: Speicherauslastung steigt um 20% bei Nutzung des Pakets!!! Habe insgesamt 6GB Arbeitsspeicher.
Noch zur Ergänzung: Speicherauslastung steigt um 20% bei Nutzung des Pakets!!! Habe insgesamt 6GB Arbeitsspeicher.
Zuletzt bearbeitet:
Nur mal so zu Info: Bei der Synchronisierung von gemeinsamen Ordnern von der physischen auf eine Docker DSM Instanz (getrennte HDD's / Basis) komme ich auf einen Durchsatz von max. 30 MB/s (mittelgrosse Dateien - JPG's). In der physischen NAS wird keinerlei Aktivität auf beiden LAN-Schnittstellen angezeigt, die virtuelle DSM zeigt den Durchsatz an. HW ist eine DS415+
Matthieu
Benutzer
- Registriert
- 03. Nov. 2008
- Beiträge
- 13.222
- Reaktionspunkte
- 88
- Punkte
- 344
Schon mal geschaut was Unternehmen, speziell im RZ-Umfeld, so alles mit Intrusion Prevention machen? Das ist ein verdammt mächtiges Werkzeug. Ich mach mir mal die Mühe ein Beispiel aufzuzeigen, es gibt aber fast so viele Anwendungsfälle wie Regelsätze:
Die verwendete Webserver-Software lässt sich mit einem speziell codierten String aus dem Tritt bringen oder gar dazu gebracht werden, Geheimnisse wie private Schlüssel zu verraten. Während man ggf. noch auf einen Bugfix durch den Hersteller und die Qualitätskontrolle etc. wartet kann man mittels Intrusion Prevention Angreifer aussperren bevor das Netzwerkpaket überhaupt vom Webserver verarbeitet wird.
In jedem Fall ist es aber ein Feature für DMZ und ähnliche Umgebungen. Und ja, eine solche Lösung kostet auch ordentlich Performance. Aber bei sicherheitskritischen Anwendungen spielt Performance meist eine untergeordnete Rolle (zumindest bis zu einem gewissen Punkt, nämlich der Erfüllung von SLAs). Ohne eine ordentliche und angepasste Konfiguration läuft da überhaupt nichts. Als ersten Wurf finde ich das Paket schon große Klasse, weil viele Regeln vorhanden sind mit denen man auch tatsächlich etwas anfangen kann. Im Fall von ThonaV zum Beispiel: Was wollen die PIs auf einer MySQL/MariaDB-Datenbank? Nicht für umsonst ist der Zugang zu diesen Systemen meist nur von localhost aus möglich (z.B. mittels PhpMyAdmin welches sich lokal gegenüber der DB authentifiziert).
MfG Matthieu
Danke für die Erklärungen, Matthieu!
Da ich das Tool aufgrund mangelnder, aber sicherlich notwendiger, Kenntnis der vielen Regeln nicht optimal einstellen kann, werde ich es erst mal wieder deinstallieren. Ob und wieweit irgendwelche Angreifer "ausgesperrt" werden, kann ich nicht sehen. Ich sehe nur, dass irgendwelche Warnungen unterschiedlicher "Schwere" gemeldet werden.
Ich denke für mich Noob mit weniger sensiblen Daten nicht allzu notwendig
Da ich das Tool aufgrund mangelnder, aber sicherlich notwendiger, Kenntnis der vielen Regeln nicht optimal einstellen kann, werde ich es erst mal wieder deinstallieren. Ob und wieweit irgendwelche Angreifer "ausgesperrt" werden, kann ich nicht sehen. Ich sehe nur, dass irgendwelche Warnungen unterschiedlicher "Schwere" gemeldet werden.
Ich denke für mich Noob mit weniger sensiblen Daten nicht allzu notwendig
- Registriert
- 03. Sep. 2012
- Beiträge
- 31.226
- Reaktionspunkte
- 2.791
- Punkte
- 829
Ende des Jahres wohl nicht, ich vermute zur Cebit - also noch Q1. Mir persönlich ist der Zeitpunkt weit weniger wichtig als die Qualität, aber ein Event wie die Cebit ist natürlich wichtig.
Als damals die 5.2 Final rauskam gabs massive Probleme, soweit ich mich erinnere.
Hoffe sie hören auf unser Feedback, werde mir sicher nicht die Final gleich ziehen.
Hoffe sie hören auf unser Feedback, werde mir sicher nicht die Final gleich ziehen.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
