Fehlermeldung Sicherheitsberater-Benötige Hilfe

[Gump]

Habe Fehlermeldungen von dem Sicherheitsberater.

Kann mir jemand weiterhelfen wie ich diese abstellen kann?

 

[Stationary]

Wenn Du auf die Meldungen klickst, sagt Dir das System, was als nicht sicher eingeschätzt wird. Mit dem jetzigen Bild wird Dir niemand helfen können.

 

[Wollfuchs]

Vor allem, wenn man nicht weiss, was das Ziel sein soll.

Die Meldung kriegt man halt auf mehrere Arten weg.

1. behebe die angemahnte Schwachstelle in der Systemsteuerung zu den jeweils kritischen Lücken
2. nutze eine Benutzerdefinierte Sicherheitsrichtlinie unter "Sicherheitsberater" > Erweitert > Benutzerdefiniert > Checkliste benutzerspezifisch anpassen.

Beides erloest von den Meldungen. Die eine in dem der Fehler behoben wird, die andere in dem das jeweilige Verhalten nicht mehr geprueft wird.

 

[Gump]

Vielen Dank schon einmal für die Antworten und die Hilfe.

Ich habe zu Problem 1 die Empfohlene Aktion ausgeführt, wobei ich mir nicht sicher bin, was „Namen und Beschreibung des Benutzers von Kennwort ausschließen“ bedeutet?



Muss ich noch weiteren arbeiten unternehmen nachdem ich meine Einstellungen an der Diskstation vorgenommen habe?



Ein erneuter Scann Test von dem Sicherheitsberater zeigt nun das der Fehler behoben ist.

 

[Wollfuchs]

wobei ich mir nicht sicher bin, was „Namen und Beschreibung des Benutzers von Kennwort ausschließen“ bedeutet?

User heisst HANS und die Beschreibung ist "Account von Hans", dann darf das Passwort nicht "HANS", "Hans", "Account" und "von" enthalten.

 

[Gump]

Habe hier noch ein Problem und bin mir nicht sicher was ich einstellen muss.



Auf welchen Wert muss ich den SSH Port auf einen anderen Standardwert als 22 ändern und wie muss ich zusätzlich die SSH Port Einstellungen für SSH Clients ändern?

 

[Tommes]

Du kannst natürlich den SSH Port ändern, musst du aber nicht. Wenn du weißt, was du tust, kannst du dem Sicherheitsberater auch sagen, das er diesen Hinweis ignorieren soll. Hab ich bei mir z.B. so gemacht und der Sicherheitsberater ist glücklich.

 

[Wollfuchs]

brauchst du denn ssh?
wenn ja .. von innen oder auch von aussen?

wenn nur von innen .. mei, dann ggf. ignorieren.
von aussen kannst du mit security through obscurity machen und z.b. 22022 auf 22 mappen
oder gleich 22022 oder jeden anderen freien port nehmen wie du lust hast.

es geht bei der pruefung nur darum, dass ein "ziemlich dummer portscan" einen port 22
sofort mit ssh assoziiert und damit nach aussen klar wird, ahaaaaa, das ist ssh am start, mal
sehen was wir dummes damit anstellen koennen.

 

[Synchrotron]

Security by obscurity it TOT, das sollte man ganz schnell streichen.

c‘t hatte kürzlich einen Bericht über eine eigene Aktivität: Die haben sich ein Programm zusammengebaut, das bei einem Provider mit guter Bandbreite auf einem gemieteten Server gehostet, und dann mal eben das ganze IPv4-Internet abgescannt. Das ist mit heutiger Rechnerpower und Bandbreite keine unmögliche Aktion mehr. Die haben nur ein paar Tage gebraucht. Der Provider war informiert, und sie haben keinen Break versucht, also nur angeklopft und geschaut, ob da jemand im Klartext antwortet.

Dabei sind sie auf eine ganze Reihe ungesicherter Server gestoßen, deren Admins meinten, Security by Obscurity wäre eine sinnvolle Strategie. Also IP plus höherer Port = Mich findet ja keiner ? Das ist, wie wenn man sich beim Versteckspielen die Augen zu hält, damit die anderen einen nicht sehen.

• Daher grundsätzlich Ports nur dann nach außen öffnen, wenn man muss UND genau weiß, was man da tut.
• Gerne einen exotischen Port wählen, warum nicht, aber nicht darauf verlassen
• Und dann die offenen Ports sauber dicht holen, Firewall setzen, etc.

Jetzt entschuldige ich mich vorab für klare Worte: Wer nicht weiß, was der Sicherheitsberater sagt, ist auf einem guten Weg, wenn er hier fragt. Zugleich sollte er aber alle Ports dicht lassen (und auf keinen Fall UPnP aktivieren), bis er versteht, worum es geht.

 

[blurrrr]

Jetzt entschuldige ich mich vorab für klare Worte

Da gibt es rein garnichts zu entschuldigen

 

[tproko]

brauchst du denn ssh?

SSH aktiv / intern ist nie ein Fehler. Falls zB mal die root Partition voll wird und das so noch korrigiert werden kann.

Extern per Port Forward würde ich nicht machen. Sehe da wenig Usecases. Falls man darüber überlegt, sollte man ssh zusätzlich mit 2FA auth abschützen (ob das auf syno auch läuft, hab ich noch nicht versucht, da ich es nicht benötige privat. Bei redHat kann man es mit zusätzlichen pam Modulen aktivieren).

 

[Gump]

dem Sicherheitsberater auch sagen, das er diesen Hinweis ignorieren soll.

Wie kann ich das machen bzw. einstellen?

brauchst du denn ssh?

Ich bin mir nicht sicher ob ich SSH benötige?

Ich benutze die DS nicht im 7/24 Betrieb sondern nur als Datengrab.

Wenn ich die DS benötige wird diese eingeschaltet ansonsten bleibt diese Stromlos.

 

[Stationary]

SSH: gehst Du mit einer Terminalanwendung auf die Diskstation? Wenn nein, dann kann SSH meiner Meinung nach ausgeschaltet werden. Ich persönlich habe SSH ausgeschaltet, aber es gibt sicher Mitforisten, die es lieber anlassen.

 

[Wollfuchs]

Wie kann ich das machen bzw. einstellen?

Ich bin mir nicht sicher ob ich SSH benötige?

Ich benutze die DS nicht im 7/24 Betrieb sondern nur als Datengrab.

Wenn ich die DS benötige wird diese eingeschaltet ansonsten bleibt diese Stromlos.

• abschalten ueber die verwendung einer eigenen liste der zu pruefenden punkte des sicherheitsberaters
• wenn du nicht weisst ob du ssh brauchst, brauchst du es nicht
• reines datengrab ohne spezielle software (jdownloader, etc) sprechen fuer weglassen von ssh
• ein nas, das nur bei bedarf hochfaehrt, verschleisst schneller als im 24/7 betrieb, denn genau dafuer sind NAS und NAS Platten ausgelegt, nicht fuer andauernde neustarts. der stromverbrauch durch 24/7 ist bei einem kleinen NAS ja eher ueberschaubar.

 

[Tommes]

wenn du nicht weisst ob du ssh brauchst, brauchst du es nicht

Haben ist aber meist besser als brauchen. Sollte der DSM mal seinen Dienst quittieren, kann ein aktivierter SSH Zugang oftmals ein Anker sein.

ein nas, das nur bei bedarf hochfaehrt, verschleisst schneller als im 24/7 betrieb, denn genau dafuer sind NAS und NAS Platten ausgelegt, nicht fuer andauernde neustarts. der stromverbrauch durch 24/7 ist bei einem kleinen NAS ja eher ueberschaubar.

Und was hat das mit dem Thema hier zu tun? Ich kann dein Statement so auch nicht unterschreiben, jedoch möchte ich mich hierzu jetzt nicht weiter äußern. Vielleicht nur soviel... ein Auto was die meiste Zeit steht und nur für Kurzstrecken genutzt wird, verschleißt sicherlich auch schneller als ein Langstreckenfahrzeug. Nichts desto trotz ist es jedem selbst überlassen, wie er sein Auto - oder sein NAS - einsetzt.

Wie kann ich das machen bzw. einstellen?

Ich hab es nicht mehr genau im Kopf, da ich diese Einstellungen schon vor geraumer Zeit vorgenommen habe und mich der Sicherheitsberater damit nicht mehr belästigt. Ich meine aber, das das über die Schaltfläche "Überspringen" geht...



NACHTRAG: Ich muss mich korrigieren. Die Einstellungen findest du im Sicherheitsberater unter - Erweitert - Checkbox: Benutzerdefiniert - Schaltfläche: Checkliste benutzerdefiniert anpassen - ... und dann ... - Checkbox: Der Standardwert des SSH-Ports wurde nicht geändert - den Haken entfernen.

 

[tproko]

Wenn nein, dann kann SSH meiner Meinung nach ausgeschaltet werden.

Ich denke, ein interner Port, welcher keine Portfreigabe hat, tut nicht weh. Und wenn du jemals ssh Zugang benötigst, weil du keinen DSM Login mehr schaffst (zB. root ist voll), wirst du froh sein, dass ssh dann läuft

 

[the other]

Moinsen,
Wenn du dich mal intensiver mit deinem NAS befassen willst oder musst, dann ist ssh eh nötig, sag ich jetzt mal ketzerisch. Und wie schon gesagt wurde, wenn du das nur intern einrichtet und nicht von extern, dann ist das voll ok. Kannste ja zur Not dann noch (über den ssh Zugang mit Konsole ) etwas absichern...

 

[Gump]

gehst Du mit einer Terminalanwendung auf die Diskstation?

Was ist das?

Haben ist aber meist besser als brauchen. Sollte der DSM mal seinen Dienst quittieren, kann ein aktivierter SSH Zugang oftmals ein Anker sein.

Habe immer noch nicht die Bedeutung von SSH verstanden?

Allerdings lese ich heraus, dass es überwiegend sinn macht, es aktiviert zu lassen.

 

[Gump]

Der Standardwert des SSH-Ports wurde nicht geändert - den Haken entfernen.

Habe es geprüft dort ist bei mir kein Haken.

 

[the other]

Moinsen,
zu ssh:
https://de.wikipedia.org/wiki/Secure_ShellIn Kurzform: du hast nen Rechner, der irgendwo anders steht. Bei dem gibt es auch keine bunte Klickoberfläche, alles muss (wie früher) über die Kommandozeile (Terminal) eingerichtet werden, alle Infos musst du dir mit den richtigen Befehlen selber verschaffen, nix Grafik, viel Text, zum Teil auch kryptische Angaben. Vorteil: du kannst über ssh sicher auf andere Rechner in potentiell unsicheren Netzwerkumgebungen zugreifen. Da du aber idR daheim bist, wenn du am NAS rumschraubst und dein NAS vermutlich auch, fällt diese Anwendung meist weg. Aber auch im "sichereren" Heimnetzwerk gibt es Szenarien, die sie auf der Kommandozeile besser oder auch ausschließlich konfigurieren lassen.
So kannst du etwa bestimmte Protokolle einsehen, du kannst zB Konfigurationsseinstellungen einsehen (die über die GUI nicht zu sehen sind) oder auch bestimmte Befehle absetzen, die über GUI nicht gehen.
Auch dient ssh als Grundlage für Dateiprotokolle, etwa SFTP (statt FTP).
Ich hatte bereits einige Fälle, wo ich nur noch via ssh auf einen Client kam. Hier lassen sich kleinere Fehler meist wieder ausmerzen.