DSM 6.x und darunter DSM mit .htaccess schützen

[Mexx]

falls dies überhaupt jemanden interessiert, wie man seinen DSM Zugang und somit Filestation, Downloadstation usw. zusätzlich schützen kann hätte ich da einen Vorschlag.

Den mich stört schon ewig das der DSM so ungeschützt sein Login Fenster präsentiert und es keine Autosperre gibt bei mehrmaliger falsch Anmeldung vor allem wegen brute force attacken muss man sich doch so seine Gedanken machen.

Daher habe ich nun einen ganz einfachen Weg gefunden, der sehr wirksam ist, ich habe einfach eine .htacces Datei in das Verzeichnis

/usr/syno/synoman/webman/modules

kopiert

in meiner .htaccess habe ich nur eingetragen das von bestimmten ip´s auf das Loginfenster zugegriffen werden darf (also mein LAN Netz Zuhause und von der Arbeit die IP range)

order deny,allow
deny from all
allow from 10.10.0. #Heimnetz
allow from 123.123.123. #Arbeit

Man sieht zwar das DSM Fenster und kann ein Passwort eingeben, sollte man aber von einer nicht autorisierten IP daherkommen, dann kommt man auch wenn man das Passwort wüsste nicht in den DSM rein und brute force attacken haben sowie so keine Change.

hoffe das es einigen hilft ihre DS nach außen hin so sicherer zu machen, die nicht drauf verzichten wollen von zb. ihren Arbeitsplatz drauf zuzugreifen.

 

[itari]

Schöner Beitrag.

Vielleicht kannst ja unseren Wiki-Beitrag zu diesem Thema um dies hier ergänzen. Dann findet man es auch immer wieder.

Danke schon mal

Itari

 

[Mexx]

oki, habs ins wiki eingetragen. hoffe es passt so, war mein erster Eintrag im wiki

 

[itari]

Das ist ok so ... und wenn es jemanden nicht passt, dann kann er es ja an einen andere Stelle kopieren.

Itari

 

[MaCoM]

Klappt leider bei DSM 3.0 nicht mehr so einfach :-(

weiss zufällig jemand wie es bei 3.0 geht ?

 

[jahlives]

order deny,allow
deny from all
allow from 10.10.0. #Heimnetz
allow from 123.123.123. #Arbeit

Man sieht zwar das DSM Fenster und kann ein Passwort eingeben, sollte man aber von einer nicht autorisierten IP daherkommen, dann kommt man auch wenn man das Passwort wüsste nicht in den DSM rein und brute force attacken haben sowie so keine Change.

hoffe das es einigen hilft ihre DS nach außen hin so sicherer zu machen, die nicht drauf verzichten wollen von zb. ihren Arbeitsplatz drauf zuzugreifen.

Du weisst schon dass das nicht funzen sollte?
Es wäre wenn schon

order allow,deny
allow from 10.0.0.
deny from all

Wenn du zuerst deny all machst dann sollte der Apache nicht mehr zum folgenden allow gehen.

 

[MaCoM]

@jahlives

hast du es mal versucht ?

ich komme auf die anmeldung und kann mich sogar anmelden (mit hintergrund bild und icon-text)- NUR dann kann ich nichts mehr aufrufen.
ich finde das ich da viel zuweit komme !
denn ich schaffe ja eine anmeldung. das dann nicht mehr aufrufbar ist ist eine andere sache.

 

[jahlives]

@jahlives

hast du es mal versucht ?

ich komme auf die anmeldung und kann mich sogar anmelden (mit hintergrund bild und icon-text)- NUR dann kann ich nichts mehr aufrufen.
ich finde das ich da viel zuweit komme !
denn ich schaffe ja eine anmeldung. das dann nicht mehr aufrufbar ist ist eine andere sache.

Mit diesem Code hat ich es ned versucht. Ich habe nur aus meinem bisherigen Verständnis des Apache und seiner Config darauf aufmerksam machen wollen, dass imho der Code nicht das machen wird was erwartet wird.
Mein DSM ist aus dem Internet her nicht erreichbar drum brauche ich das ned. Und wenn ich von aussen auf den DSM will, dann öffne ich einen VPN Tunnel (z.B. OpenVPN oder IPSec.).
Für meine Webseiten blockiere ich jedoch bestimmte Länder IP Blöcke mittels .htaccess.
Habs gerade mal getestet und wie erwartet komme ich bei

Order deny,allow
deny from all
allow from 192.168.

nicht mehr auf den Webserver (mit einer Client IP 192.168.254.6).

Gruss

tobi

 

[MaCoM]

Oha dann haben wir wohl an einander vorbei geredet.
ich setzt ja auch .htacces datein auf dem webserver ein und die klappen alle.

ich versuch nur den DSM von aussen zusätzlich mit einer passwortabfrage zu schützen.

AuthUserFile /usr/syno/synoman/webman/modules/.htpasswd
AuthGroupFile /dev/null
AuthName "DSM 3.0"
AuthType Basic
require valid-user

Order deny,allow
Allow from 192.168.0. #Heimnetz
Deny from all

und dass klappt bei mir z.Z. bei DSM3.0 nicht mehr so wie vorher.

 

[jahlives]

afaik sollte sich das .htpasswd file nicht im zu schützenden Verzeichnis befinden

 

[itari]

... und dass klappt bei mir z.Z. bei DSM3.0 nicht mehr so wie vorher.

Die DSM-Verzeichnisstruktur hat sich mir der Version 3.0 geändert. Probiere mal eine Ebene höher.

Itari

 

[MaCoM]

unter /usr/syno/synoman/webman/.htaccess klappt leider auch nicht.

frage am rande - wo wäre denn die beste position (verzeichniss) für die .htpasswd in diesem fall ?

 

[Wessix]

ähnliche Problematik

hallo,
hab ein Problem, das dem hier ähneln könnte, und es auch im entsprechenden thread gepostet, hier wurde aber in jüngerer Zeit etwas geschrieben, sodass ich hier etwas mehr hoffnung habe, dass jemand mir helfen kann:

http://www.synology-forum.de/showthread.html?p=122522#post122522

hier hab ich mein Problem beschrieben.

Vielen Dank für Hilfe

 

[MaCoM]

Ok lange probiert und nun klappt es auch mit DSM 3.0 unter "/usr/syno/synoman/webman/.htaccess" datei.

ich hatte ein zeichen fehler in der .htaccess datei darum hat er sie wohl komplettt ignoriert.

 

[eyjo]

wie erstelle ich den die .htaccess datei?

 

[jahlives]

wie erstelle ich den die .htaccess datei?

Mit einem Editor deiner Wahl. vi ist z.B. schon auf der DS vorhanden oder du installierst dir ipkg install nano

 

[eyjo]

Code:

Order deny,allow
deny from all
allow from 192.168.

Ist ja der hier und dann in dieses Verzeichnis

"/usr/syno/synoman/webman/.htaccess"

Welche IP sperre ich den dann alle die mit 192.168. anfangen? Wie kann ich den nur meine Erlauben?

 

[jahlives]

Order deny,allow
deny from all
allow from 192.168.

Wenn du Order deny,allow machst und einen deny from all drin hast, dann wird der folgenden allow niemals ausgewertet.
Ich würde es genau umkehren:

Order allow,deny
allow from 192.168.
deny from all

 

[eyjo]

Verstehe ich das jetzt richtig wenn ich

Code:

Order allow,deny
allow from 192.168.
deny from all



das so mache wir die 192.168. io`s gespert oder offen sein?

 

[Dümmster Anzunehmender]

Dsm 5

Das klappt mit DSM 5 nun gar nicht mehr so, siehe http://www.synology-wiki.de/index.php/3rd_Party_Applications_absichern