DSM 6.0 - Web Station. Portnummer ändern

[Sid1968]

Hallo,

ich hoste schon seit einiger Zeit eine Webseite auf meiner DS211j. Allerdings nutze ich nicht den Standardport 80 sondern einen anderen.
Dies einzustellen fiel mir bisland nicht schwer, da es dazu in der Systemsteuerung einen Punkt gab wo man den Webservice
konfigurieren konnte.

Nun habe ich meine Festplatte komplett neu eingerichtet und dabei die Webstation, MariaDB, PHP, PHPMyAdmin neu installiert.
Natürlich möchte ich auch gerne den Standardport 80 wieder ändern, nur leider finde ich nicht wo ich das unter DSM 6.0 einstellen kann.

Weiß jemand wie das unter DSM 6.0 geht?

Gruß
Sid1968

 

[DerLord]

Moin moin,

was nutzt du?

Apache?
/usr/local/etc/httpd/conf/httpd.conf

Oder nginx?
/etc/nginx/nginx.conf

Bei letzterem weiß ich, dass diese Config bei jedem Neustart der Webstation neu generiert wird, ist natürlich keine dolle Lösung. Beim manuellem Neustart per Konsole meine ich, dass die Config nicht erneuert wird.
Wie es sich beim Apache verhält kann ich dir sagen. Habe den gerade erst vor ein paar Tagen mit dem Umstieg auf DSM 6 ersetzt. Eine Einstellung über die WebGUI habe ich jetzt auch nicht gefunden...

Es wäre zumindest schon mal eine Notlösung, vielleicht hat ja jemand noch den eleganteren Weg parat.

 

[Sid1968]

Danke. Ja, ich nutze den Apache. Die "/usr/local/etc/httpd/conf/httpd.conf" entsprechend zu editieren sollte gehen. Aber ich habe die noch nie auf der NAS editiert.

Womit mache ich das? Mit dem Fileexplorer komme ich nicht in das Verzeichnis. Mit putty?

 

[DerLord]

Genau, geht vermutlich aber nur per root.

sudu su -

PW=AdminPW

 

[Sid1968]

Kennst Du einen Editor mit dem ich das machen kann. nano oder vu sind nicht installiert.

 

[DerLord]

vu sagt mir nix, vi geht schon, aber da muss man schon Fan für sein. Den habe ich damals unter Unix schon gehasst ;-)

Ich habe mir nano installiert, einfach folgende Paketquelle hinzufügen:
http://packages.jdel.org/

 

[fraubi]

Oder Du nimmt WinSCP...............Taste F4 = Editor

Gruß
Fraubi

 

[Fluffy]

Moin moin,

was nutzt du?

Apache?
/usr/local/etc/httpd/conf/httpd.conf

Oder nginx?
/etc/nginx/nginx.conf

Bei letzterem weiß ich, dass diese Config bei jedem Neustart der Webstation neu generiert wird, ist natürlich keine dolle Lösung. Beim manuellem Neustart per Konsole meine ich, dass die Config nicht erneuert wird.
Wie es sich beim Apache verhält kann ich dir sagen. Habe den gerade erst vor ein paar Tagen mit dem Umstieg auf DSM 6 ersetzt. Eine Einstellung über die WebGUI habe ich jetzt auch nicht gefunden...

Es wäre zumindest schon mal eine Notlösung, vielleicht hat ja jemand noch den eleganteren Weg parat.

Ich selbst nutze nginx und stehe genau vor dem gleichen Problem, das ich den Port ändern will.

Leider wird die config immer auf "original" zurück gesetzt, sobald ich die DS215+ neu starte. Auch per: synoservicectl --restart nginx wird die config wieder überschrieben

Kennt jemand ne dauerhafte Lösung, bei DSM 5.2 hat es auch mit einigen Anpassungen geklappt. Das müsste doch auch mit der DSM6 möglich sein? Zumal ich sehr froh bin das Synology den Umsteig auf nginx gemacht hat!

Ich bin heute von DSM5.2 auf DSM 6.0-7321 umgestiegen

[edit]
Per nginx -s reload bleiben die configs erhalten... Kennt jemand eine dauerhafte Lösung?

 

[DerLord]

Was mir bei nginx noch einfällt, das hier sollte der Generator sein:
\usr\syno\etc.defaults\rc.sysv\nginx-conf-generator.sh

Schau mal rein, vielleicht kann man da ja ein paar Rückschlüsse ziehen, aber vor einem evtl. Ändern, Backup nicht vergessen ;-)

/edit
ich habe mir mal den Config-Generator angeschaut. Er bindet da ein einiges über mehrere Ecken mit ein.

Schau mal unter: /usr/syno/share/nginx/
Davon sind einige .mustache eingebunden, WWWService könnte da ein Ansatz sein. Es macht den Anschein als würde hier "default_server" für die nginx config definiert werden. Versuch es einfach mal, aber wie gesagt, nichts ohne Backup ;-)

 

[DerLord]

Nur mal so aus reiner Neugier: Warum wollt ihr alle den Port 80 ändern?
Ich finde es lästig per url mit Portnummern arbeiten zu müssen.

 

[Sid1968]

Nur mal so aus reiner Neugier: Warum wollt ihr alle den Port 80 ändern?
Ich finde es lästig per url mit Portnummern arbeiten zu müssen.

Aus Sichheitsgründen kann es Sinn machen, da Port 80 nunmal der Standardport ist. Potentiellen
angreifern ist das natürlich bekannt. Aber es kann auch einfach aus organisatorischen Gründen
Sinn machen, wenn Du mehrere Domains/Webseiten auf einem Server hostest und jeder
einen anderen Port zuordnest. Ein Spezialist kann das sicher noch besser erklären.

Ich habe schliesslich mit vi ("i" = Editiermodus, "ESC" = Editiermodus verlassen, ":wq" = Speichern und verlassen) gearbeitet
und es sowohl mit Apache als auch mit nginx erfolglos versucht. Beide config-Dateien werden nach einem Neustart zudem wieder
neu erstellt, was eine Editierung nach jedem Neustart ohnehin notwendig gemacht hätte.

Schliesslich habe ich letzte Nacht dann wieder Version DSM 5.2 aufgespielt. Hier läuft jetzt wieder alles so wie es soll.
Warum nur geht das nicht mehr mit der DSM 6.0 oder läuft das jetzt ganz anders???

 

[DerLord]

Ich habe schliesslich mit vi ("i" = Editiermodus, "ESC" = Editiermodus verlassen, ":wq" = Speichern und verlassen) gearbeitet
und es sowohl mit Apache als auch mit nginx erfolglos versucht. Beide config-Dateien werden nach einem Neustart zudem wieder
neu erstellt, was eine Editierung nach jedem Neustart ohnehin notwendig gemacht hätte.

Hast du mein Edit mitbekommen, im letzten Post? Hatte heute Morgen noch was eingefügt. Ich meine den Ursprung des Config-Generators von nginx gefunden zu haben. Damit sollte man den Standard-Port ändern können.

Aus Sichheitsgründen kann es Sinn machen, da Port 80 nunmal der Standardport ist. Potentiellen
angreifern ist das natürlich bekannt.

Ich verstehe immer noch nicht, was daran sicherer ist, wenn man den >internen Port< im LAN von 80 auf sonst was wechselt. Im LAN sollten keine allzu großen Gefahren lauern, ansonsten sollte man vielelicht mal den authorisierten Personenkreis überdenken ;-)
Wenn du von außen (WAN) dran kommen willst, musst du eh einen Port aufmachen und den weiter zu deinem Server durchschleifen. Wenn man kein Fan vom Standardport ist und lieber einen manuell eingeben möchte, kann man das auch per Forwarding machen. zB Quellport 30080 -> NAS:80, anstelle von 80->NAS:80. Nur dann musst du hinter jeder url den Port hängen. Bei der Variante nur bei Zugriffen von außen, bei deiner immer, auch im LAN. Ich fände es so oder so extrem nervig. Und ob du nun auf den internen Port 80 oder 8080 verweist, macht keinen Unterschied.

Aber wie gesagt, willst du von außen drauf kommen, hat man eh immer mindetens einen Port offen und den findet man genauso mit jedem Scanner, ob die Zahl nun gleich oder ungleich 80 ist. Den großen Sicherheitsgewinn sehe ich da so spontan imo nicht, zumal man unter dem Gesichtspunkt erstmal überhaupt auf unverschlüsselten Transfer verzichten sollte. Mit einem Wechsel auf SSL und vernünftigen Passwörtern hast du viel mehr gewonnen.

Aber es kann auch einfach aus organisatorischen Gründen
Sinn machen, wenn Du mehrere Domains/Webseiten auf einem Server hostest und jeder
einen anderen Port zuordnest. Ein Spezialist kann das sicher noch besser erklären.

Der Port wird dem Webserver zugeordnet, nicht einer einzelnen Website, die darauf gehostet wird und genau auf dieser Ebene versuchst du auch den Port zu ändern. Den des Webservers. Setzt man sich einen Reverse Proxy auf kann man auch einzelne Websiten eines Webserver über jeweils eigene Ports aufrufen. Ich habs jetzt nicht ausprobiert, sollte aber möglich sein. Nur mit reinem PortForwarding kommst du da nicht weit. Zudem müsstest du jeden Port auf deinen Server durschleifen.

Schliesslich habe ich letzte Nacht dann wieder Version DSM 5.2 aufgespielt. Hier läuft jetzt wieder alles so wie es soll.
Warum nur geht das nicht mehr mit der DSM 6.0 oder läuft das jetzt ganz anders???

Dafür gehst du sogar lieber auf DSM 5.2 zurück? Ich bin zwar auch erst seit 5 Tagen mit DSM 6 unterwegs, aber so einiges davon möchte ich nicht mehr abgeben ;-)
Ich bin auch Entwickler und nicht der große SysAdmin, aber ich bin mir sicher, Sicherheit geht anders.



Versteh mich nicht falsch, jeder nach seiner Fasson, aber ich befürchte, einer von uns beiden hat da vom anderen etwas noch nicht verstanden. Wenn ich es bin, klär mich bitte auf. Ansonsten kann ich dir gerne versuchen weiter zu helfen.

 

[goetz]

Hallo,
wenn man keine Virtuellen Hosts angelegt hat läuft immer nginx, egal was in Webstation steht. Um zusätzliche Ports zu definieren einen neuen Virtual Host anlegen, Portbasiert.



Gruß Götz

 

[DerLord]

ah ok, so genau hatte ich das nicht erforscht. Nur, wofür ist dann die Einstellung unter Webstation?

 

[Fluffy]

Was mir bei nginx noch einfällt, das hier sollte der Generator sein:
\usr\syno\etc.defaults\rc.sysv\nginx-conf-generator.sh

Schau mal rein, vielleicht kann man da ja ein paar Rückschlüsse ziehen, aber vor einem evtl. Ändern, Backup nicht vergessen ;-)

/edit
ich habe mir mal den Config-Generator angeschaut. Er bindet da ein einiges über mehrere Ecken mit ein.

Schau mal unter: /usr/syno/share/nginx/
Davon sind einige .mustache eingebunden, WWWService könnte da ein Ansatz sein. Es macht den Anschein als würde hier "default_server" für die nginx config definiert werden. Versuch es einfach mal, aber wie gesagt, nichts ohne Backup ;-)

Danke für den Tipp! Das klingt gut, ich werde es mir am Wochenende mal genauer anschauen!

Hast du mein Edit mitbekommen, im letzten Post? Hatte heute Morgen noch was eingefügt. Ich meine den Ursprung des Config-Generators von nginx gefunden zu haben. Damit sollte man den Standard-Port ändern können.



Ich verstehe immer noch nicht, was daran sicherer ist, wenn man den >internen Port< im LAN von 80 auf sonst was wechselt. Im LAN sollten keine allzu großen Gefahren lauern, ansonsten sollte man vielelicht mal den authorisierten Personenkreis überdenken ;-)
Wenn du von außen (WAN) dran kommen willst, musst du eh einen Port aufmachen und den weiter zu deinem Server durchschleifen. Wenn man kein Fan vom Standardport ist und lieber einen manuell eingeben möchte, kann man das auch per Forwarding machen. zB Quellport 30080 -> NAS:80, anstelle von 80->NAS:80. Nur dann musst du hinter jeder url den Port hängen. Bei der Variante nur bei Zugriffen von außen, bei deiner immer, auch im LAN. Ich fände es so oder so extrem nervig. Und ob du nun auf den internen Port 80 oder 8080 verweist, macht keinen Unterschied.
...

Ja das habe ich gelesen, danke dafür !


Ich Habe div. Webseiten auf der DS am laufen und da ändere ich die Port, das aber intern über die Vhosts in der Webstation. Viel wichtiger sind mir Sicherheitseinstellungen wie SSL etc. anzupassen was mir leider so wie es zur Zeit ist, nicht möglich ist. Ich schaue mir das am Wochenende noch mal genauer an und werde euch berichten.

 

[goetz]

Hallo,
so wie ich die Hilfe verstehe ist das die Vorgabe die man als Standard für die vhosts setzen kann. Aber, das klappt so nicht richtig. Oben habe ich ja für den vhost Apache gewählt, ausliefern tut aber nginx.

root@DS1513:~# netstat -nlp|grep ngi
tcp        0      0 0.0.0.0:5000            0.0.0.0:*               LISTEN      11886/nginx: master
tcp        0      0 0.0.0.0:5001            0.0.0.0:*               LISTEN      11886/nginx: master
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      11886/nginx: master
tcp        0      0 0.0.0.0:88              0.0.0.0:*               LISTEN      11886/nginx: master
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      11886/nginx: master
tcp        0      0 0.0.0.0:448             0.0.0.0:*               LISTEN      11886/nginx: master

Reboot: ändert nichts nginx liefert alles aus.

Gruß Götz

 

[Fluffy]

ah ok, so genau hatte ich das nicht erforscht. Nur, wofür ist dann die Einstellung unter Webstation?

Falls du das hier meinst:


Das habe ich mich auch schon gefragt

 

[DerLord]

ja genau, das meine ich. War eines meiner ersten Aktionen nach dem Update auf DSM 6.0. Bin daher davon ausgegangen, dass er dann den Backend umklemmt. Er funzt ja einwandfrei, schön konfiguriert mit apache dahinter auf Port 914 etc... Aber im Umkehrschluss bin ich einfach mal davon ausgegangen, dass man auch andersrum wieder den apache nutzen kann. Hatte es aber nicht ausprobiert.

Habe es mal getestet und Götz scheint da richtig zu liegen, da kannst du einstellen was du willst, es ändert sich (scheinbar) nichts. Ist für mich persönlich nicht weiter schlimm, bin ja froh das nginx endlich mit an Board ist und ich alles umstellen kann ;-)

 

[Fluffy]

ist echt komisch, das sich dabei dann nicht ändert...

Aber ich habe es ja wie du auch schon gesagt: endlich wird nginx eingesetzt!!